複製鏈接
請複製以下鏈接發送給好友

隧道模式

鎖定
使用 IPSec 隧道模式時,IPSec 對 IP 報頭和有效負載進行加密,而傳輸模式只對 IP 有效負載進行加密。通過將其當作 AH 或 ESP 有效負載,隧道模式提供對整個 IP 數據包的保護。使用隧道模式時,會通過 AH 或 ESP 報頭與其他 IP 報頭來封裝整個 IP 數據包。外部 IP 報頭的 IP 地址是隧道終結點,封裝的 IP 報頭的 IP 地址是最終源地址與目標地址。
中文名
隧道模式
外文名
Tunnel Mode
種    類
IPSec,ESP
作    用
數據加密
加密對象
IP數據包
適用情況
網關到網關,服務器到網關等

目錄

隧道模式定義

IPSec 隧道模式對於保護不同網絡之間的通信(當通信必須經過中間的不受信任的網絡時)十分有用。隧道模式主要用來與不支持 L2TP/IPSec 或 PPTP 連接的網關終端系統進行互操作。可以在下列配置中使用隧道模式:
網關到網關
服務器到網關
服務器到服務器AH協議
隧道中報文的數據源鑑別
數據的完整性保護
對每組IP包進行認證,防止黑客利用IP進行攻擊
AH 隧道模式使用 AH 與 IP 報頭來封裝 IP 數據包並對整個數據包進行簽名以獲得完整性並進行身份驗證

隧道模式ESP

ESP 隧道模式採用 ESP 與 IP 報頭以及 ESP 身份驗證尾端來封裝 IP 數據包。
數據包的簽名部分表示對數據包進行簽名以獲得完整性並進行身份驗證的位置。數據包的加密部分表示受到機密性保護的信息。
由於為數據包添加了隧道新報頭,因此會對 ESP 報頭之後的所有內容進行簽名(ESP 身份驗證尾端除外),因為這些內容此時已封裝在隧道數據包中。原始報頭置於 ESP 報頭之後。在加密之前,會在整個數據包上附加 ESP 尾端。ESP 報頭之後的所有內容都會被加密,ESP 身份驗證尾端除外。這包括原始報頭,該報頭此時被視為數據包的數據部分的一部分。
然後,會將整個 ESP 有效負載封裝在未加密的新隧道報頭內。新隧道報頭內的信息只用來將數據包從源地址發送到隧道終結點。
如果通過公用網絡發送數據包,則數據包會路由到接收方 Intranet 的網關的 IP 地址。網關數據包進行解密、丟棄 ESP 報頭並使用原始 IP 報頭將數據包路由到 Intranet 計算機。
進行隧道操作時,ESP 與 AH 可組合使用,從而為隧道 IP 數據包提供保密性,同時為整個數據包提供完整性和身份驗證

隧道模式使用IPSec

IPSec 隧道只為 IP 通信提供安全性。該隧道可配置為保護兩個 IP 地址或兩 個 IP 子網之間的通信。如果在兩台計算機而不是兩個網關之間使用隧道,則 AH 或 ESP 有效負載之外的 IP 地址將與 AH 或 ESP 有效負載之內的 IP 地址相同。在 Windows XP 和 Windows Server 2003 家族中,IPSec 不支持協議特定或端口特定隧道。配置隧道的方法是,使用“IP 安全策略管理”和“組策略”控制枱以配置並啓用兩個規則:
1、用於出站隧道通信的規則。
出站通信規則是使用下述篩選器列表配置的:該列表描述通過隧道與在 IPSec 隧道對等(隧道另一端的計算機或路由器)配置的 IP 地址的隧道終結點發送的通信。
2用於入站隧道通信的規則。
入站通信規則是使用下述篩選器列表配置的:該列表描述通過隧道與本地 IP 地址的隧道終結點(隧道本地端的計算機或路由器)接收的通信。
[1] 
參考資料