| 기밀성 | 내용이 밖에서 안 보이게 | 페이로드를 암호화 | ESP 암호화(AES 등), IKE로 키 교환 | 인터넷을 지나가도 패킷 내용은 못 읽음 |
| 비연결형 무결성 | 패킷 하나하나가 중간에 바뀌지 않게 | 각 패킷에 위·변조 검출 태그 추가 | AH/ESP 인증 태그(HMAC-SHA2, AES-GMAC 등) | 누가 1바이트만 바꿔도 수신 측에서 바로 버림 |
| 데이터 송신처 인증 | “누가 보냈는지” 검증 | 송신자 비밀키 기반 인증값 검증 | AH/ESP 인증, IKE 인증(PSK/인증서) | 스푸핑 패킷이 인증 실패로 차단됨 |
| 재전송 방지 | 같은 패킷을 복사해 다시 보내도 무력화 | 시퀀스 번호와 슬라이딩 윈도우 체크 | AH/ESP 시퀀스 번호 + 재전송 윈도우 | 공격자가 예전 패킷 재전송해도 수신 측이 거부 |
| 접근제어 | 허용된 통신만 터널로 통과 | 트래픽 선택 정책으로 필터링 | SPD/SAD 정책, 라우터/방화벽 ACL | 본사↔지사 서브넷만 IPsec 허용 |
| 제한된 트래픽의 무결성 보증 | 트래픽 특성 보호(메타데이터 노출 축소) | 주소/프로토콜 정보 은닉, 패딩 | 터널 모드, 패딩(길이 숨김), (일부) TFC | 외부에서 내부 IP/통신 패턴을 파악하기 어려움
|
