定義
IPSec 隧道模式對於保護不同網路之間的通信(當通信必須經過中間的不受信任的網路時)十分有用。隧道模式主要用來與不支持 L2TP/IPSec 或 PPTP 連線的網關或終端系統進行互操作。可以在下列配置中使用隧道模式:
網關到網關
伺服器到網關
伺服器到伺服器AH協定
隧道中報文的數據源鑑別
數據的完整性保護
對每組IP包進行認證,防止黑客利用IP進行攻擊
AH 隧道模式使用 AH 與 IP 報頭來封裝 IP 數據包並對整個數據包進行簽名以獲得完整性並進行身份驗證。
ESP
ESP 隧道模式採用 ESP 與 IP 報頭以及 ESP 身份驗證尾端來封裝 IP 數據包。
數據包的簽名部分表示對數據包進行簽名以獲得完整性並進行身份驗證的位置。數據包的加密部分表示受到機密性保護的信息。
由於為數據包添加了隧道新報頭,因此會對 ESP 報頭之後的所有內容進行簽名(ESP 身份驗證尾端除外),因為這些內容此時已封裝在隧道數據包中。原始報頭置於 ESP 報頭之後。在加密之前,會在整個數據包上附加 ESP 尾端。ESP 報頭之後的所有內容都會被加密,ESP 身份驗證尾端除外。這包括原始報頭,該報頭此時被視為數據包的數據部分的一部分。
然後,會將整個 ESP 有效負載封裝在未加密的新隧道報頭內。新隧道報頭內的信息只用來將數據包從源地址傳送到隧道終結點。
如果通過公用網路傳送數據包,則數據包會路由到接收方 Intranet 的網關的 IP 地址。網關對數據包進行解密、丟棄 ESP 報頭並使用原始 IP 報頭將數據包路由到 Intranet 計算機。
進行隧道操作時,ESP 與 AH 可組合使用,從而為隧道 IP 數據包提供保密性,同時為整個數據包提供完整性和身份驗證。
使用IPSec
IPSec 隧道只為 IP 通信提供安全性。該隧道可配置為保護兩個 IP 地址或兩 個 IP 子網之間的通信。如果在兩台計算機而不是兩個網關之間使用隧道,則 AH 或 ESP 有效負載之外的 IP 地址將與 AH 或 ESP 有效負載之內的 IP 地址相同。在 Windows XP 和 Windows Server 2003 家族中,IPSec 不支持協定特定或連線埠特定隧道。配置隧道的方法是,使用“IP 安全策略管理”和“組策略”控制台以配置並啟用兩個規則:
1、用於出站隧道通信的規則。
出站通信規則是使用下述篩選器列表配置的:該列表描述通過隧道與在 IPSec 隧道對等(隧道另一端的計算機或路由器)配置的 IP 地址的隧道終結點傳送的通信。
2 、用於入站隧道通信的規則。
入站通信規則是使用下述篩選器列表配置的:該列表描述通過隧道與本地 IP 地址的隧道終結點(隧道本地端的計算機或路由器)接收的通信。