esp协议的传输模式与隧道模式对ip数据，ipsec隧道模式和传输模式的区别

esp协议的传输模式与隧道模式对ip数据 的处理方法的不一样点是什么?

1、封装过程

传输模式，不会改变原始报文的IP头，仅仅会在原始IP头后面封装一部分ipsec协议。

隧道模式，会在原始IP报文头前面添加新的IP头，还在新的IP头后面封装一部分ipsec协议。

2、优点

隧道模式更安全，传输模式性能好，解放了更多带宽。

3、应用场景

传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End的应用场景。

隧道模式在AH、ESP处理后面再封装了一个外网IP头，主要用于Site-to-Site的应用场景。

IPSEC协议中隧道模式与传输模式的区别？

区别是保护范围不一样。

隧道模式（Tunnel Mode）用于保护整个IP数据报（涵盖IP头部）并故将他封装在一个新的IP数据报中进行传输。在隧道模式下，通信的两个网关当中建立一个加密隧道，这个隧道保护了两端当中的全部IP数据，对端设备只可以看到加密的数据，没办法看到原始数据的主要内容和数据报头信息。隧道模式一般用于达到机构当中的安全通信，比如两个不一样组织当中的VPN。

传输模式（Transport Mode）只保护IP数据报的有效载荷，即只保护上层协议的数据，依然不会保护IP数据报头。在传输模式下，IP数据报的有效载荷唯有一些会进行加密认证，IP头则保持原有的格式不变，并被直接加入到加密后的有效载荷中一起传输。这样可在保证通信安全的前提下，减少额外的开销，在IP方面传输数据较少，互联网性能更高。传输模式一般用于点对点的安全通信，比如两个主机当中的VPN。

主要反映在其加密范围不一样。隧道模式将整个IP数据包进行加密，涵盖IP头与数据负载部分，然后再将加密后的整个数据包再封装在一个新的IP数据包中进行传输。而传输模式则仅仅加密数据负载部分，IP头则也还是保持不加密状态。因素是，传输模式在一部分场景下，需将数据包传输到多个节点，而且，每个节点都需IP头来识别数据包的目标地。相比之下，隧道模式合适在两个节点当中建立安全的通信链接，因为它的加密范围更大，针对数据的保护更彻底。需要大家特别注意的是，隧道模式比传输模式的开销更大，因为这个原因需更强的计算能力和更大的带宽支持。

在于隧道模式会将整个IP数据报进行封装，以保证数据的完整性和机密性，然后在外部IP数据报中传输；而传输模式仅仅会对数据负载进行加密和认证，而不涵盖整个IP数据报。因为这个原因，隧道模式比传输模式提供了更高的安全性和灵活性，但会增多一部分额外的开销。同时需要大家特别注意的是，隧道模式和传输模式的使用主要还是看安全需求的不一样，需按照详细情况进行选择。

隧道（tunnel）模式 ：对整个IP数据包进行加密，封装新的IP头进行路由。

ESP协议下隧道模式的报文格式：

AH协议下隧道模式的报文格式：

传输（transport）模式 ：只对IP协议的数据部分进行加密，使用原始IP头路由。

在于：隧道模式会将整个IP报文加密，涵盖IP头部和数据部分，同时加入新的IP头和ESP头；而传输模式则只加密数据部分，IP头部不做改变，仅加入ESP头。这样做的因素是隧道模式适用于网关到网关当中的加密通信，一定要在原有IP头部的基础上另外，一个新的IP头部，以便匹配对方的IP地点位置；而传输模式适用于主机到主机当中的加密通信，不用改变原有的IP头部。应该拿出来说一下的是，隧道模式可以同时加密多个主机当中的通信，而传输模式只适用于两个主机当中的通信。

区别：

1、封装过程

传输模式，不会改变原始报文的IP头，仅仅会在原始IP头后面封装一部分ipsec协议

隧道模式，会在原始IP报文头前面添加新的IP头，还在新的IP头后面封装一部分ipsec协议。

2、优点

隧道模式更安全，传输模式性能好，解放了更多带宽

3、应用场景

传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End的应用场景。

隧道模式在AH、ESP处理后面再封装了一个外网IP头，主要用于Site-to-Site的应用场景。

互联网安全技术机制主要有什么？

计算机互联网安全技术简称互联网安全技术，指为处理诸如如何有效进行介入控制，还有如何保证数据传输的安全性的技术手段，主要涵盖物理安全分析技术，互联网结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

技术分类

虚拟网技术

虚拟网技术主要根据近几年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的根据广播的局域网技术发展为面向连接的技术。因为这个原因，网管系统有能力限制局域网通讯的范围而不需要通过开销很大的路由器。

防火墙技术

互联网防火墙技术是一种用来加强互联网当中访问控制,防止外部互联网用户以非法手段通过外部互联网进入内部互联网,访问内部互联网资源,保护内部互联网操作环境的特殊互联网互联设备.它对两个或多个互联网当中传输的数据包如链接方法根据一定的安全策略来开展检查,以决定互联网当中的通信是不是被允许,并监视互联网运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)还有电路层网关,屏蔽主机防火墙,双宿主机等类型.

病毒防护技术

病毒历来是信息系统安全的主要问题之一。因为互联网的广泛互联，病毒的传播途径和速度大大提高。

将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通...计算机互联网安全技术简称互联网安全技术，指为处理诸如如何有效进行介入控制，还有如何保证数据传输的安全性的技术手段，主要涵盖物理安全分析技术，互联网结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

技术分类

虚拟网技术

虚拟网技术主要根据近几年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的根据广播的局域网技术发展为面向连接的技术。因为这个原因，网管系统有能力限制局域网通讯的范围而不需要通过开销很大的路由器。

防火墙技术

互联网防火墙技术是一种用来加强互联网当中访问控制,防止外部互联网用户以非法手段通过外部互联网进入内部互联网,访问内部互联网资源,保护内部互联网操作环境的特殊互联网互联设备.它对两个或多个互联网当中传输的数据包如链接方法根据一定的安全策略来开展检查,以决定互联网当中的通信是不是被允许,并监视互联网运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)还有电路层网关,屏蔽主机防火墙,双宿主机等类型.

病毒防护技术

病毒历来是信息系统安全的主要问题之一。因为互联网的广泛互联，病毒的传播途径和速度大大提高。

将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播，主要是恶意的Java控件官方网站。

(4) 通过群件系统传播。

病毒防护的主要技术请看下方具体内容：

(1) 阻止病毒的传播。

在防火墙、代理服务器、SMTP服务器、互联网服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应持续性更新，并下发到桌面系统。

(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，不允许未经许可的控件下载和安装。

入侵检测技术

利用防火墙技术，经过认真的配置，一般可以在内外网当中提供安全的互联网保护，降低了互联网安全风险。但是仅仅使用防火墙、互联网安全还远远不够：

(1) 入侵者可找寻防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 因为性能的限制，防火墙一般不可以提供实时的入侵检测能力。

入侵检测系统是近几年产生的新型互联网安全技术，目标是提供实时的入侵检测及采用对应的防护手段，如记录证据用于跟踪和恢复、断开互联网连接等。

实时入侵检测能力之故此，重要第一它可以对付来自内部互联网的攻击，其次它可以缩短hacker入侵时间。

入侵检测系统可分为两类：根据主机和根据互联网的入侵检测系统。

安全扫描技术

互联网安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统相互配合可以提供很高安全性的互联网。

安全扫描工具一般也分为根据服务器和根据互联网的扫描器。

认证和数字签名技术

认证技术主要处理互联网通讯途中通讯双方的身份认可，数字签名作为身份认证技术中的一种详细技术，同时数字签名还可用于通信途中的不可抵赖要求的达到。

VPN技术

1、企业对VPN 技术的需求

企业总部和各分支机构当中采取internet互联网进行连接，因为internet是公用互联网，因为这个原因，一定要保证其安全性。我们将利用公共互联网达到的私用互联网称为虚拟私用网(VPN)。

2、数字签名

数字签名作为验证发送者身份和消息完整性的按照。公共密钥系统(如RSA)根据私有/公共密钥对，作为验证发送者身份和消息完整性的按照。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人都可以验证签名的真实性。伪造数字签名从计算能力上是不可行的。

3、IPSEC

IPSec作为在IP v4及IP v6上的加密通讯框架，已为相当大一部分厂商所支持，预估在1998年将确定为IETF标准是VPN达到的Internet标准。

IPSec主要提供IP互联网层上的加密通讯能力。该标准为每个IP包增多了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。

ipsec的功能？

IPsec主要由以下功能组成：

一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证还有防重放攻击保护；

二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；

三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。

什么叫标志寄存器？

　　32位CPU所含有的寄存器有：

　　4个数据寄存器(EAX、EBX、ECX和EDX)

　　2个变址和指针寄存器(ESI和EDI) 2个指针寄存器(ESP和EBP) 6个段寄存器(ES、CS、SS、DS、FS和GS)

　　1个指令指针寄存器(EIP) 1个标志

寄存器

　　1、数据寄存器

　　数据寄存器主要用来保存操作数和运算结果等信息，以此节省读取操作数所需占用总线和访问存储器时间。

　　32位CPU有4个32位的通用寄存器EAX、EBX、ECX和EDX。对低16位数据的存取，不影响高16位的数据。这些

　　低16位寄存器分别命名为：AX、BX、CX和DX，它和先前的CPU中的寄存器相完全一样。

　　4个16位寄存器又可分割成8个独立的8位寄存器(AX：AH-AL、BX：BH-BL、CX：CH-CL、DX：DH-DL)，每个寄

　　存器都拥有自己的名称，可独立存取。程序员可利用数据寄存器的这样的“可分可合”的特性，灵活地处理字/字 节的信息。......

摘自：

http://www.minicangku.cn/news/2023/0630/864.html

吉林专升本备考资料及辅导课程

吉林专升本培训班-名师辅导课程