ipsec协议工作模式分为传输模式与隧道模式两种。
ipsec协议的AH协议与ESP协议都可在这两种模式下工作。这样可产生四种组合,即传输模式下的ESP、隧道模式下的ESP、传输模式下的AH和隧道模式下的AH。两种工作模式可嵌套用,从而达到多层次的安全保障。
1.传输模式
①保护方式:IP头与上层协议头间得插进1个特别的ipsec头。
②对IP包的部分信息给出安全保护,即向IP数据包的上层数据(TCP、UDP、ICMP消息等)给出安全保护。
③用AH传输模式,主要认证保护IP数据包,除IP头中的可变信息。
④用ESP传输模式,加密与认证双重保护IP数据包的上层信息。
⑤安企通道上的传输为端到端的, ipsec在端点进行加密与认证,主机必须配置ipsec。
一般状况下,传输模式仅用在两台主机间的安全通信。
2.隧道模式
①保护方式:需保护的整个IP包均要封装进另一个IP数据报里,同时在外部和内部IP头间插进一个ipsec头,向新的IP数据包给出安全保护。
②保护整个IP数据包。
③用AH隧道模式,除可变字段外,认证保护整个IP数据包。
④用ESP隧道模式,给整个IP数据包进行加密与认证双重保护。
⑤隧道终点就是安全性网关,也说网关与目的主机间的通信是安全的,其思想为先把数据包用ipsec策略传至安全性网关,再通过安全性网关正常传至目的主机。
全部原始的或内部包由该隧道在IP网的一端传至另一端,沿途的路由器只检查最外面的IP报头,内部本来的IP报头不检查。因加了一个新的IP报头,所以新IP报文的目的地址可能和本来的不一样。
描述了ipsec的传输模式:在漫游主机A与单位内部网络下,主机B或主机C之间用传输模式下的ESP进行端对端的安全保护。
在ipsec传输模式中,若需同时用AH与ESP,它们的次序是很重要的。应先用ESP,再拿AH再次保护保护后的数据包,这样就会在ESP的整个载荷上也能达到数据的完整性。若先拿AH保护再借助ESP,而ESP头是在AH之后添加的,那么由AH给出的数据完整性就仅适用在传输载荷,无法保护ESP头,与期望的尽可能多地以数据为基础计算出数据的完整性不符合,这样不能达到完整性保护的目的。