.
AH 为IP数据包提供如下3种服务:
1、数据完整性验证
通过哈希函数(如MD5)产生的校验来保证
2、数据源身份认证
通过在计算验证码时加入一个预共享密钥或证书数据来实现
3、防重放攻击
AH报头中的序列号可以防止重放攻击。
下一头部:标识 AH 报头后面的负载类型。传输模式下,为 TCP、 UDP 或 ESP协议的编号, 隧道模式下,为 IP 或 ESP 协议的编号。
安全参数索引(SPI) :与目的 IP 地址和安全协议一起唯一标识 IPSec SA, 接收端设备通过 SPI 查找安全联盟,以解密 IPSec 协议保护的数据。
序列号(32 位) :唯一标识数据包,用于防重放攻击。
认证数据:包含数据完整性校验值 ICV,用于接收方进行完整性校验时对比,以
确认数据在传输过程中是否被篡改或丢失。
ESP 除了为IP数据包提供AH已有的3种服务外,还提供另外两种服务:
1、数据包加密
对一个IP包进行加密,可以是对整个IP包(隧道),也可以只加密IP包的载荷部分(传输),一般用于客户端计算机。
2、数据流加密。
一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始包继续转发,只能隧道模式。
加密是ESP的基本功能,而数据源身份认证、数据完整性验证以及防重放攻击都是可选的。
安全参数索引(SPI) :与目的 IP 地址和安全协议一起唯一标识 IPSec SA。
序列号(32 位) :唯一标识数据包,用于防重放攻击。
下一头部:标识 ESP 报头后面的负载类型,传输模式下,为 TCP 或 UDP 协议的编号, 隧道模式下,为 IP 协议的编号。
认证数据:包含数据完整性校验值 ICV,用于接收方进行完整性校验时对比,以
确认数据在传输过程中是否被篡改或丢失。
IPSEC工作模式
传输模式(Transport Mode)和隧道模式(Tunnel Mode)。本模块传输模式已经废弃(只能是主机到主机,且不支持nat穿越),如果选择ah+esp则不支持nat穿越。
AH和ESP都支持这两种模式,因此有6种组合:
传输模式的AH
隧道模式的AH
传输模式的ESP
隧道模式的ESP
传输模式的AH+ESP
隧道模式的AH+ESP
AH和ESP对比
ESP在隧道模式不验证外部IP头,因此ESP在隧道模式下可以在NAT环境中(两台vpn设备之间有nat设备)运行。
ESP在传输模式下会验证外部IP头部,将导致校验失败。
AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/8430.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
