IPSec是网络层典型的安全协议，能够为IP数据包提供（）安全服务。

Internet 协议安全性（Internet Protocol Security，IPSec）是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。IPSec工作在TCP/IP协议栈的网络层，为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。

IPsec是一个协议体系，由建立安全分组流的密钥交换协议和保护分组流的协议两个部分构成，前者即为IKE协议，后者则包含AH、ESP协议。（1）IKE协议。Internet 密钥交换协议（Internet Key Exchange Protocol，IKE）属于一种混合型协议，由Internet安全关联和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）与两种密钥交换协议（OAKLEY与SKEME）组成，即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式（手工密钥交换和自动IKE）。（2）AH。认证头（Authentication Header，AH）是IPSec体系结构中的一种主要协议，它为IP数据报提供完整性检查与数据源认证，并防止重放攻击。AH不支持数据加密。AH常用摘要算法（单向Hash函数）MD5和SHA1实现摘要和认证，确保数据完整。（3）ESP。封装安全载荷（Encapsulating Security Payload，ESP）可以同时提供数据完整性确认和数据加密等服务。ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA-1来实现摘要和认证，确保数据完整。传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下的AH和ESP处理后需要新封装一个新的IP头。