傳送模式(傳輸模式)特點:
在傳送模式中,保留原始IP封包頭作為新的IP封包的封包頭,驗證封包頭插入在IP封包頭和原始的有效負載之間,僅有協定字段的值由于AH協定被改為了51。協定字段中用來表示上層協定号的舊值被放入驗證封包頭的後續封包頭字段中。
傳送模式有一個優點就是僅需在原始IP封包中添加幾個額外的,然而,由于原始的IP封包頭被用做新IP封包的封包頭,是以,僅有終端主機才能夠使用傳送模式,當IPSEC SA的兩個端點本身就是起主機的作用,并且它們不代表其他裝置起作用時,這種限制才是可以接受的。
隧道模式特點:
在隧道模式中,需要為新的IP封包建立一個新的IP封包頭,驗證封包被插入在原始IP封包頭和新IP封包頭之間,原始IP封包頭保持完整不變,而被封裝在新的IP封包中。
這種方法是在整個原始IP封包上提供驗證(包括原始IP封包頭和可變字段),除了驗證封包頭和新的IP封包頭的不可變字段。此外,為了添加和去除這些額外的封包頭需要更強的裝置能力。
原始IP封包頭完全沒有被修改,包含最終的目的IP位址,也包含原始的源IP位址。新的IP封包包含了IPSEC裝置的源和目的IP位址,是以不管SA的端點是主機是還是網關,都能使用隧道模式。
如果SA位于主機之間,新的源和目的IP位址通常是和原始位址相同的。在隧道模式中,在主機之間使用AH的主要原因是完完全驗證原始封包。
如果SA位于安全網關之間,新的源和目的IP位址是這些網關的位址。安全網關之間的隧道模式允許站點之間的通信聚集,這些站點通過一條經驗證的隧道互聯。
新的IP封包頭的協定字段包含的值是代表AH的51,在驗證封包頭的後續字段中包含的值是代表IP協定(4代表IPv4)的值。
本文轉自 拾瓦興閣 51CTO部落格,原文連結:http://blog.51cto.com/ponyjia/1033246
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)