IPSEC主要由三个协议组成：

1. AH(Authentication Header)认证报头，提供对报文完整性的报文的源地址进行认证。

2. ESP(Encapsulating Security Payload)封装安全载荷，提供对报文内容的加密和认证功能。

3. IKE(Internet Key Exchange) Internet密钥交换，协商信源和信宿节点间保护IP报文的AH和ESP的相关参数，如加密、认证的算法和密钥、密钥的生存时间等。又称为安全联盟。 AH和ESP是网络层协议，IKE是应用层协议。一般情况下，IPSEC仅指网络层协议AH和ESP。由于 IPSEC服务是在网络层提供的，任何上层协议都可以使用到此服务。

传输层：安全套接字层(SSL)和传输层安全协议TLS

安全套接层(Secure Sockets Layer，SSL)是网景公司(Netscape)在推出Web浏览器首版的同时，提出的协议。SSL采用公开密钥技术，保证两个应用间通信的保密性和 可靠性，使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持，目前已成为互联网上保密通讯的工业标准，现行Web浏览器普 遍将Http和SSL相结合，从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议 (例如：Http、FTP、Telnet等等 ) 能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据 都会被加密，从而保证通信的私密性。

▲　图：SSL位于传输层上

传输层安全协议(TLS)是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信，TLS确保没有第三方能窃听或盗取信息。TLS是 安全套接字层(SSL)的后继协议。TLS由两层构成：TLS记录协议和TLS握手协议。TLS记录协议使用机密方法，如数据加密标准(DES)，来保证 连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并协商加密算法和密钥。TLS利用密钥算法 在互联网上提供端点身份认证与通讯保密，其基础是公钥基础设施(public key infrastructure，PKI)。不过在实现的典型例子中，只有网络服务者被可靠身份验证，而其客户端则不一定。这是因为公钥基础设施普遍商业运 营，电子签名证书相当昂贵，普通大众很难买得起证书。协议的设计在某种程度上能够使主从式架构应用程序通讯本身预防窃听、干扰(Tampering)、和 消息伪造。

会话层：SOCKS代理技术

SOCKS是一种网络传输协议，主要用于客户端与外网服务器之间通讯的中间传递。SOCKS是"SOCKetS"的缩写。

当防火墙后的客户端要访问外部的服务器时，就跟SOCKS代理服务器连接。这个代理服务器控制客户端访问外网的资格，允许的话，就将客户端的请求发往外部的服务器。这个协议最初由Devid Koblas开发，而后由NEC的Ying-Da Lee将其扩展到版本4。最新协议是版本5，与前一版本相比，增加支持UDP、验证，以及IPv6。根据OSI模型，SOCKS是位于应用层与传输层之间的中间层。

应用层：应用程序代理

应用程序代理工作在应用层之上，位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务 器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数 据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。并对应用 层以下的数据透明。应用层代理服务器用于支持代理的应用层协议，如：HTTP、HTTPS、FTP、TELNET等。由于这些协议支持代理，所以只要在客 户端的浏览器或其他应用软件中设置“代理服务器”项，设置好代理服务器的地址，客户端的所有请求将自动转发到代理服务器中。然后由代理服务器处理或转发该 请求。