IPSec(Internet Protocol Security)是一種常用于保護(hù)網(wǎng)絡(luò)通信的協(xié)議。它提供了數(shù)據(jù)傳輸的加密、認(rèn)證和完整性保護(hù)。IPSec有兩種工作模式,即傳輸模式和隧道模式。
1.IPSec的兩種工作模式分別適合用什么場景
傳輸模式中只對數(shù)據(jù)部分進(jìn)行加密,只有IP頭被保留不變。因此,傳輸模式常用于在兩個已知節(jié)點之間的通信。比如說,在分支機(jī)構(gòu)和總部之間建立VPN連接時使用傳輸模式。
隧道模式則對整個IP數(shù)據(jù)包都進(jìn)行加密,既包括IP頭也包括IP數(shù)據(jù),再將整個加密后的數(shù)據(jù)包填在一個新的IP數(shù)據(jù)包里頭進(jìn)行轉(zhuǎn)發(fā)。因此,隧道模式常用于遠(yuǎn)程訪問VPN或在兩個未知節(jié)點之間的通信。
2.傳輸模式的使用情況
傳輸模式更適合那些僅對數(shù)據(jù)有效負(fù)載進(jìn)行保護(hù)的情況。因為在傳輸模式下,原始IP頭不被加密或認(rèn)證,如果有攻擊者截獲了IP數(shù)據(jù)包,他們將能夠查看數(shù)據(jù)包的頭部信息,并且可能有機(jī)會修改此信息。傳輸模式即可確保點對點的數(shù)據(jù)傳輸安全。
3.隧道模式的使用情況
隧道模式更適合保護(hù)整個IP數(shù)據(jù)包和許多未知節(jié)點間的通信。隧道模式不僅可以用于連接兩個網(wǎng)關(guān)之間的VPN,也可以用于連接兩個網(wǎng)絡(luò)之間的VPN。通過隧道模式,一臺主機(jī)就可以與另一個網(wǎng)絡(luò)上的任何其他設(shè)備進(jìn)行安全通信。