17、网络安全与密码学知识解析

网络安全与密码学知识解析

1. ESP 模式介绍

ESP（封装安全载荷）有传输模式和隧道模式两种，它们在网络安全中发挥着不同的作用。
- 传输模式
- 原理 ：在传输模式下，ESP 头会紧接在 IP 头之后插入。若数据报已有 IPsec 头，ESP 头则会插在这些头之前，ESP 尾部和可选的认证数据会附加到有效负载之后。
- 优缺点 ：该模式的缺点是它既不对 IP 头进行认证，也不加密，这可能导致虚假数据包被用于 ESP 处理。优点是处理开销较低。通常，此模式由主机使用，网关无需支持。
- 隧道模式
- 原理 ：会构建一个带有新 IP 头的新 IP 数据包，然后像传输模式一样应用 ESP。原始数据报成为新 ESP 数据包的有效负载数据，若同时选择加密和认证，它将得到完全保护，但新 IP 头仍不受保护。
- 应用场景 ：当安全关联的任一端是网关时，会使用隧道模式，比如在两个防火墙之间就总是使用该模式。例如，两个安全网关可以建立一个 ESP 隧道，用于保护它们所连接网络之间的所有流量。
- 优缺点 ：优点是能对封装的 IP 数据报进行全面保护，还可使用私有地址；缺点是会带来额外的处理开销。不过，网关通常也支持传输模式，当网关充当主机，即流量目的地是网关本身时，就允许使用该模式，如可以使用传输模式向网关发送 SNMP 命令。在隧道模式中，外部头的 IP 地址不必与内部头的地址相同，而主机无需支持