ポリシー・エージェントは、IP セキュリティー・ポリシー構成ファイル内の定義に基づいて、IP フィルター・ポリシーをスタックに与えます。スタックで IPv4 用の IP セキュリティーが使用可能になるには、TCP/IP プロファイルに IPCONFIG IPSECURITY がコーディングされている必要があります。スタックで IPv6 用の IP セキュリティーが使用可能になるには、TCP/IP プロファイルに IPCONFIG6 IPSECURITY もコーディングされている必要があります。スタックが構成済みポリシーを受け取るためには、ポリシー・エージェントがアクティブになっていなければなりません。IP フィルター・ポリシーは、ポリシー・エージェントとスタックがアクティブ時にインストールされます。IPSECURITY 対応のスタックの初期化時にポリシー・エージェントがアクティブでない場合は、そのポリシーからの IP フィルター規則はそのスタックに提供されません。 したがって、このスタックは、ポリシー・エージェントから IP フィルター・ポリシーを取得できない場合、ネットワーク・セキュリティーを確保するためにデフォルトの IP フィルター・ポリシーを提供します。デフォルトの IP フィルター・ポリシーは、内部スタック機能用として必要な一部の選択された ICMP および ICMPv6 メッセージを除き、事実上すべてのネットワーク・トラフィックを拒否します。このような拒否規則は明示的にコーディングされるものではなく、デフォルトの IP フィルター・ポリシーが有効になっているときには、常に暗黙的に追加されるものです。 デフォルトの IP フィルター・ポリシーは、スタック初期化以外のときにも有効になることがあります。デフォルトの IP フィルター・ポリシーは、以下のすべての場合に有効になります。
このデフォルト動作は、IP フィルター・ポリシーがインストールされていない場合にもネットワーク・セキュリティーが低下しないように設定されており、セキュア・デフォルト拒否ポリシーとの整合性も備えています。ただし、TCP/IP プロファイル内で IPSECRULE ステートメント (IPv4 用) または IPSEC6RULE ステートメント (IPv6 用) をコーディングすることによって、デフォルトの IP フィルター・ポリシーを変更することができます。IPSECRULE および IPSEC6RULE ステートメントは、デフォルト・ポリシーがアクティブ時に許可される IP トラフィック属性を記述します。デフォルトの動作はすべてのネットワーク・トラフィックを拒否します。このため、IPSECRULE および IPSEC6RULE ステートメントは、常に、デフォルト拒否ポリシーに対する例外を指定する許可規則となります。
注意が必要なことは、デフォルト IP フィルター・ポリシーも、変更を加えたデフォルト IP フィルター・ポリシーも、完全な IP セキュリティー・ポリシーが提供するような認証および暗号化の機能は備えていないという点です。すなわち、デフォルト・ポリシーは、IP セキュリティー・ポリシーが存在しないという状況で、単純な IP フィルター操作を行う機能をスタックに提供するだけです。