网络层安全 | IPSec模式

分类 - 计算机网络 | 网络层

本文从网络层的安全考虑开始。安全在网络层的两个主机、两个路由器或一个主机和一个路由器之间实现。

直接使用网络层服务的程序，包括路由协议，都受到网络层安全的保护。由于 UDP 是一个无连接协议，无法将传输层安全机制应用于 UDP，使用 UDP 的应用程序也可以从此服务中受益。我们在这里仅以 IPSec 作为应用层安全的例子进行讨论。互联网工程任务组 (IETF) 创建了一组称为 IP 安全 (IPSec) 的协议，用于在网络级别保护数据包。IPSec 有助于创建经过身份验证和私有的数据包，从而使 IP 层受益。

IPSec 模式

IPSec 可以通过两种方式使用：传输模式或隧道模式。

1. 传输模式 - 在传输模式下，IPSec 保护从传输层发送到网络层的信息。换句话说，传输模式保护将包含在网络层中的有效载荷，如图所示。

请注意，传输模式不提供 IP 头部保护。换句话说，传输模式保护来自传输层的数据包，但它不保护整个 IP 数据包（IP 层有效载荷）。在此模式下，通过添加 IPSec 头部（和尾部）来增强来自传输层的信息。之后会包含 IP 头部。

当需要主机到主机（端到端）数据保护时，我们通常采用传输模式。发送方主机使用 IPSec 对从传输层发送的有效载荷进行身份验证和/或加密。接收方主机通过 IPSec 将 IP 数据包传输到传输层，以验证身份验证和/或解密。这个概念在图中得到了说明。

1. 隧道模式 - 当 IPSec 用于隧道模式时，它会保护整个 IP 数据包。如图所示，它以一个包含头部的 IP 数据包开始，使用 IPSec 安全技术加密整个数据包，然后插入一个新的 IP 头部。

稍后我们将看到新的 IP 头部与其原始 IP 头部在信息方面有何不同。如以下图所示，隧道模式通常在两个路由器之间、一个主机和一个路由器之间，或一个路由器和一个主机之间使用。这看起来就像整个原始数据包通过一个虚构的隧道传输，以防止在发送方和接收方之间篡改。

在传输模式下，IPSec 层位于传输层和网络层之间。在隧道模式下，数据在网络层和 IPSec 层之间来回传输，然后才发送回网络层。下图比较了这两种模式。