试述IPSec的两种工作模式。
答:一是传输模式(Transport Mode),为源到目的之间已存在的IP包(IP packet)提供安全性:IPSec传输模式被用于在端到端的两个通信实体之间提供IP传输的安全性,如为TCP连接或UDP数据包连接提供安全性。传输模式也保护了IP包的内容,特别是用于两个主机之间的端对端通信(例如:客户与服务器,或工作站与工作站)。传输模式中的ESP会加密数据包内容,有时也会认证数据包内容,但不认证IP的包头。IPSec对上层应用和TCP/UDP进行了加密封装,但还是采用原来数据包中的IP头。
二是隧道模式(tunnel mode),它把一个IP包放到一个新的IP包中,并以IPSec格式发往目的终点:IP包在添加了ESP字段后,整个包以及包的安全字段被认为是新的IP包外层内容,附有新的IP外层包头。原来的(及内层)包通过“隧道”从一个IP网络起点传输到另一个IP网点,中途的路由器可以检査IP的外层包头,并根据外层包头发往目的端点c因为原来的包已被打包,新的包可能有不同的源地址及目的地址,以达到安全的目的。
