在使用IPSec安全發(fā)送數(shù)據(jù)之前，必須在雙方之間進(jìn)行協(xié)商，確定雙方如何傳輸和保護(hù)發(fā)送的數(shù)據(jù)，協(xié)商的方法依據(jù)的是標(biāo)準(zhǔn)的IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）認(rèn)證規(guī)則。經(jīng)過協(xié)商，會(huì)產(chǎn)生安全關(guān)聯(lián)（即Security Association，簡(jiǎn)稱SA）約定，在SA中包含雙方協(xié)商出來的安全協(xié)議和安全參考索引（即Security Parameter Index）等參數(shù)。從順序上講，IKE將協(xié)商分為兩個(gè)階段，第一個(gè)階段稱為主模式SA，其功能是在兩臺(tái)主機(jī)之間建立一個(gè)新的安全的，經(jīng)過計(jì)算機(jī)或者用戶身份驗(yàn)證的數(shù)據(jù)傳輸通道，讓雙方可以在其中安全通訊。第二個(gè)階段稱為快速模式SA，其功能是使用通過使用IPSEC協(xié)議，利用加密算法（例如AES、3DES、DES等），以及完整性和驗(yàn)證數(shù)據(jù)的散列算法，來創(chuàng)建會(huì)話密鑰，對(duì)通訊數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)傳輸?shù)陌踩?。在該階段會(huì)創(chuàng)建兩個(gè)SA，分別用來管理傳輸?shù)臄?shù)據(jù)和接收的數(shù)據(jù)。

IPSec的運(yùn)作模式包括傳輸模式和信道模式，前者表示在雙方通信過程中，需要對(duì)方來協(xié)商使用IPSec協(xié)議，后者表示只有與特定的主機(jī)通訊時(shí)，才需要協(xié)商使用IPSec協(xié)議，該模式只用于兩個(gè)不同網(wǎng)絡(luò)內(nèi)的主機(jī)的安全通訊，例如，可以將兩臺(tái)Windows Server 2008 R2服務(wù)器當(dāng)作路由器來使用，分別連接兩個(gè)不同的網(wǎng)絡(luò)，在兩者之間可以使用該模式。IPSec協(xié)議實(shí)際上包括AH（Authentication Header）和 ESP（Encapsulation Security Protocal）兩種協(xié)議，兩者的作用是對(duì)發(fā)送的數(shù)據(jù)繼進(jìn)行簽名認(rèn)證，執(zhí)行數(shù)據(jù)完整性檢查，保證其沒有被篡改。確保數(shù)據(jù)原來的準(zhǔn)確性。不同的是，前者不會(huì)對(duì)數(shù)據(jù)進(jìn)行加密，而后者可以對(duì)其進(jìn)行加密。在Windows 7/2008等系統(tǒng)中，可以通過新建連接安全規(guī)則的方法來啟用IPSec。當(dāng)然，對(duì)老版本的Windows XP等系統(tǒng)來說，需要使用自定義IP安全策略管理來實(shí)現(xiàn)。