IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。
在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。
通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包–包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。
当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
ESP 支持传输模式,这种方式保护了高层协议。
传输模式也保护了IP包的内容,特别是用于两个主机之间的端对端通讯(例如,客户与服务器,或是两台工作站)。
传输模式中的ESP加密及有时候会认证IP 包内容,但不认证IP的包头。
这种配置对于装有IPSec的小型网络特别有用。
但是,要全面实施VPN,使用隧道模式会更有效。
ESP也支持隧道模式,保护了整个IP包。
为此,IP包在添加了ESP字段后,整个包以及包的安全字段被认为是新的IP包外层内容,附有新的IP外层包头。
原来的(及内层)包通过“隧道”从一个IP网络起点传输到另一个IP网点,中途的路由器可以检查IP的内层包头。
因为原来的包已被打包,新的包可能有不同的源地址及目的地址,以达到安全的目的。
隧道模式被用在两端或是一端是安全网关的架构中,例如装有IPSec的路由器或防火墙。
使用了隧道模式,防火墙内很多主机不需要安装IPSec 也能安全地通信。
这些主机所生成的未加保护的网包,经过外网,使用隧道模式的安全组织规定(即SA,发送者与接收者之间的单向关系,定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数)传输。
以下是隧道模式的IPSec运作的例子。
某网络的主机甲生成一个IP包,目的地址是另一个网中的主机乙。
这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。
防火墙把所有出去的包过滤,看看有哪些包需要进行IPSec的处理。
如果这个从甲到乙的包需要使用IPSec,防火墙就进行IPSec的处理,并把网包打包,添加外层IP包头。
这个外层包头的源地址是防火墙,而目的地址可能是主机乙的网络边缘的防火墙。
现在这个包被传送到主机乙的防火墙,中途的路由器只检查外层的IP包头。
主机乙网络的防火墙会把外层IP包头除掉,把IP内层发送到主机乙去。