IPsec 实际上是一个协议族，它有几个可以使用或不使用的子协议，整体安全性依次取决于其中的每一个以及它们的配置方式：

• 用于协议协商和密钥管理的 IKE
• AH 用于身份验证、完整性和我认为的一些协议保护
• ESP用于加密，然后是一些。

好处：

• 对应用程序和用户透明（在大多数情况下）。需要强调的是，这不是微不足道的一点——我曾多次向客户建议加密通道，例如使用 SSL——但是他们无权访问源代码，或者供应商不支持 SSL 等——并且 IPsec 基本上是插入式加密（就应用程序而言）并且完全不在应用程序的范围内。
• 非常安全，如果实施正确
• 不太容易出现用户错误（如 SSL）
• 比 SSL 更有效，如果您要加密大部分流量

缺点：

• 部署可能很复杂，具体取决于您的网络和要求
• 不能通过 Internet 或与未知客户端一起使用（好吧，不完全准确，但仍然适用于大多数意图和目的）。
• 如果部署不正确（例如，没有 ESP，但是我有 IPsec，对吗？），可能会给网络管理员提供虚假的安全感。
• 如果您不需要加密所有流量（但 IPsec 无论如何都会这样做），那么效率要比 SSL 低得多。

IPsec 提供两种模式：

• Authentication Header：每个数据包都有一个附加的消息验证码，以保证其完整性；这还包括一些针对重放攻击的保护（当攻击者发送先前交换的数据包的副本时）。

• Encapsulated Security Payload：每个数据包都经过加密（并且还有一个 MAC）；加密不仅包括数据包数据，还包括大部分头部；添加了一个新的标题。这可用于将数据包发送到解密主机，然后解密主机将其路由到其最终目的地（攻击者无法知道数据包真正打算去哪里）。

密码学是合理的，因为它经历了与 SSL 或 SSH 等其他协议相同的痛苦的指定攻击修复周期。

与 SSL 的主要区别在于 IPsec 在机器级别运行：它保护从一台机器到另一台机器的数据，而 SSL 在应用程序之间（例如 Web 浏览器和 Web 服务器）。在大多数情况下（但不是全部），这没有相关的区别，但记住它仍然很好。

最大的实际区别是，Average Joe 的 PC 是一个完全配置的支持 SSL 的引擎，但任何 IPsec 尝试都可能失败，因为它需要 Joe 对其配置进行相当多的调整（大多数操作系统都实现了 IPsec，包括 Windows从 Windows 2000 开始，但实现不是问题——配置是）。

IPsec 是IPv6 的一个强制性组件，因此 IPsec 至少在 IPv6 变得流行时才会普及——这应该发生在 2007 年……

IPsec 旨在提高安全性，但同样，该协议也不是那么接近理想的解决方案。想到的优势之一是安全性，这是显而易见的。根据情况，它可能具有以下缺点：

• 加密/解密会占用一些CPU资源；
• 管理复杂网络的流量策略可能很复杂；
• 如果 IPsec 用于传输模式，则承诺的安全性是有问题的；

它不能根据基于云的网络的需求运行/扩展，因此不相关（或即将相关）