传输模式

1. 特点
   • 保护内容：主要保护IP数据包的有效载荷（即TCP、UDP等协议的数据部分），IP头部不被加密或认证。
   • 处理位置：通常在主机（如PC、服务器等）上进行处理。
   • 封装形式：在原IP数据包基础上，添加IPSec头（如AH或ESP头），然后再封装成新的IP数据包。
2. 应用场景
   • 主机到主机的安全通信：适用于在同一网络环境下，主机之间需要进行安全通信的场景，例如企业内部不同主机间传输敏感数据，如数据库查询结果、用户认证信息等。
   • 端到端加密：当通信双方希望只对数据进行加密，而网络基础设施（如路由器等）不需要处理加密内容时，传输模式较为合适。
3. 与隧道模式的区别
   • 封装对象：传输模式封装的是原IP数据包的有效载荷，隧道模式封装的是整个原IP数据包。
   • 应用位置：传输模式常用于主机之间，隧道模式常用于网络边界设备（如防火墙、VPN网关等）。
   • 对网络的影响：传输模式对网络基础设施要求较低，因为网络设备无需处理加密部分；隧道模式下，网络设备可以透明地传输封装后的数据包，但隧道模式增加了额外的IP头部开销。

隧道模式

1. 特点
   • 保护内容：对整个IP数据包进行保护，包括原IP头部和有效载荷。新的IP头部会被添加，用于路由隧道化后的数据包。
   • 处理位置：一般在网络边界设备（如VPN网关、防火墙等）上执行。
   • 封装形式：原IP数据包被当作新IP数据包的有效载荷，添加新的IP头部和IPSec头（AH或ESP头）进行封装。
2. 应用场景
   • 站点到站点的VPN连接：例如企业的两个分支机构之间通过Internet建立安全连接，隧道模式可以将分支机构内部网络的IP数据包封装并安全传输。
   • 穿越不支持IPSec的网络：当数据需要经过不支持IPSec的网络（如某些公共网络）时，隧道模式可以确保数据安全传输，因为外部网络设备只看到新的IP头部，而不会干扰内部加密和认证的数据。
3. 与传输模式的区别
   • 封装对象：如上述，隧道模式封装整个原IP数据包，传输模式仅封装有效载荷。
   • 应用位置：隧道模式侧重于网络边界设备间，传输模式侧重于主机间。
   • 安全性：隧道模式安全性更高，因为整个数据包包括原IP头部都被保护；传输模式仅保护有效载荷。
   • 开销：隧道模式由于添加了新的IP头部，额外开销更大；传输模式相对开销较小。