理论教育 传输模式与隧道模式-信息安全基础

传输模式与隧道模式-信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:ESP支持两种使用模式:传输模式和隧道模式。传输模式下的ESP,加密并可选地验证IP载荷,但不包括IP头。图7-9ESP的传输模式2. 隧道模式隧道模式为整个IP数据包提供保护。这里的隧道模式SA,是由位于本地网络边界的防火墙或安全路由器中的IPSec软件所建立的。这里有一个隧道模式IPSec如何运行的例子。该防火墙过滤所有传出的数据包,以确定是否需要进行IPSec处理。图7-10ESP的隧道模式

传输模式与隧道模式-信息安全基础

ESP支持两种使用模式:传输模式和隧道模式。

1. 传输模式

传输模式(Transport Mode)主要为上层协议提供保护。也就是说,传输模式保护IP包的载荷。例子包括TCP段或UDP段,在协议栈中二者都位于IP之上,如图7-9所示。通常,传输模式用于两个主机(例如,客户端和服务器,或两个工作站)之间的端到端通信。当主机在IPv4上运行ESP时,载荷通常是跟在IP头之后的数据。对于IPv6,载荷通常则是跟在IP头和存在的任何IPv6扩展头之后(目标选项头除外)的数据。

传输模式下的ESP,加密并可选地验证IP载荷,但不包括IP头。

图7-9 ESP的传输模式

2. 隧道模式(www.daowen.com)

隧道模式为整个IP数据包提供保护。为实现这一点,在将ESP字段添加到IP包之后,把整个包加上安全字段看成是带有新的IP头的新的外部IP包的载荷,如图7-10所示。整个原来的(内部的)包,通过一个隧道从IP网络的一个节点传播到另一个节点;沿途的路由器不会检查内部IP头。由于原始的数据包被封装,新的较大的数据包可能具有完全不同的源和目标地址,从而增加了安全性。当安全关联的一端或两端是安全网关(例如,实施了IPSec的防火墙或路由器)时,可以使用隧道模式。在隧道模式下,防火墙之后的网络上的许多主机都可以进行安全通信,而无须实施IPSec。由这些主机生成的未受保护的数据包,通过由隧道模式SA创建的隧道在外部网络中传输。这里的隧道模式SA,是由位于本地网络边界的防火墙或安全路由器中的IPSec软件所建立的。

这里有一个隧道模式IPSec如何运行的例子。一个网络上的主机A产生了一个数据包,其目的地址是另一个网络上的主机B。这个数据包从主机A路由到A所在的网络的边界的防火墙或安全路由器。该防火墙过滤所有传出的数据包,以确定是否需要进行IPSec处理。如果这个从A到B的数据包需要进行IPSec处理,则防火墙执行IPSec处理并用一个外部IP头封装这个数据包。该外部IP数据包的源IP地址是这个防火墙,目标地址可能是形成B的本地网络边界的防火墙。这个数据包现在路由到B的防火墙,中间的路由器仅检查外部IP头。在B的防火墙上,外部IP头被剥离,内部数据包被传送到B。

隧道模式下的ESP,加密并可选地验证整个内部IP数据包,包括内部IP头。

图7-10 ESP的隧道模式

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈