IPsec操作

在通過各種隧道和網關的過程中，會向數據包添加額外的標頭，在每次通過網關時，數據報都包含在新的標頭中。此標頭中包含安全參數索引(SPI)，SPI一個系統用于查看數據包的算法和密鑰，此系統中的有效負載也受到保護，因為將檢測到數據中的任何更改或錯誤，從而導致接收方丟棄數據包。

標頭應用于每個隧道的開頭，然后在每個隧道的末尾進行驗證和刪除，這種方法可以防止不必要的開銷累積。

IPsec操作

IPsec的一個重要部分是安全關聯(SA)，SA使用AH和ESP中攜帶的SPI編號來指示哪個SA用于數據包，還包括IP目標地址以指示端點：這可以是防火墻，路由器或用戶。

安全關聯數據庫(SAD)用于存儲所有使用的SA，SAD使用安全策略來指示路由器應該對數據包執行的操作，三個例子包括完全丟棄數據包，僅丟棄SA，或替換不同的SA。正在使用的所有安全策略都存儲在安全策略數據庫中。

IPSec安全網關產品用途

IPSec 方案安全網關產品采用一體化設計，硬件、整機、軟件均具有自主知識產權。同時，IPSec 方案安全網關完全采用國產化的隨機數模塊，方案設備和加密卡為同一企業生產，技術完全自主可控。

IPSec 方案安全網關產品作為一種提供IPSec 方案功能和信息加密的設備，為用戶內部網絡數據傳輸，提供機密性、完整性保護以及數據源鑒別等安全保障，廣泛應用于大中型企業事業單位，通過 IPSec 方案 產品可以實現企業總部與各個分支機構、合作伙伴、移動辦公人員之間的遠程接入等多種網絡互聯需求，同時對這些遠程網絡中傳輸的數據提供完整性等安全防護手段。

IPSec VPN網關導入協議原因

導入IPSEC協議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數據。

IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能。另外一個原因，是因為Internet迅速發展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現異地網絡的的互連通。

IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通。