㈠ IPSEC协议中隧道模式与传统模式的区别

IPSec协议概述
IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。
1)保证Internet上各分支办公点的安全连接:
2)保证Internet上远程访问的安全:
3)通过外部网或内部网建立与合作伙伴的联系:
4)提高了电子商务的安全性:
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。

隧道模式(Tunneling Mode)和传送模式(Transport Mode)

隧道模式可以在两个Security Gateway间建立一个安全"隧道",经由这两个Gateway Proxy的传送均在这个隧道中进行。隧道模式下的IPSec报文要进行分段和重组操作,并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。
隧道模式下,除了源主机和目的地主机之外,特殊的网关也将执行密码操作。在这种模式里,许多隧道在网关之间是以系列的形式生成的,从而可以实现网关对网关安全。
+————————————————————+
| 新IP头 | IPsec头 | IP头 | TCP头 | 数据 |
+————————————————————+

传送模式加密的部份较少,没有额外的IP报头,工作效率相对更好,但安全性相对于隧道模式会有所降低。
传送模式下,源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP(第二层隧道协议)而生成的单一隧道来发送的。数据(密码文件)则是由源主机生成并由目的地主机检索的。
+————————————————+
| IP头 | IPsec头 | TCP头 | 数据 |
+————————————————+

㈡ IPsec协议的两种工作模式

一种是隧道模式,一种是传输模式。传输模式只对IP数据包的有效负载进行加密或认证,此时继续使用原始IP头部。隧道模式对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,原来IP头被加密,有效地防止“中间人”攻击。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。