隧道模式使用 IPSec 隧道模式时,IPSec 对 IP 报头和有效负载进行加密,而传输模式只对 IP 有效负载进行加密。通过将其当作 AH 或 ESP 有效负载,隧道模式提供对整个 IP 数据包的保护。使用隧道模式时,会通过 AH 或 ESP 报头与其他 IP 报头来封装整个 IP 数据包。外部 IP 报头的 IP 地址是隧道终结点,封装的 IP 报头的 IP 地址是最终源地址与目标地址。
IPSec 隧道模式对于保护不同网络之间的通信(当通信必须经过中间的不受信任的网络时)十分有用。隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行互操作。可以在下列配置中使用隧道模式:
•网关到网关
•服务器到网关
•服务器到服务器
AH 隧道模式如下图所示,AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。
ESP 隧道模式如下图所示,ESP 隧道模式采用 ESP 与 IP 报头以及 ESP 身份验证尾端来封装 IP 数据包。
数据包的签名部分表示对数据包进行签名以获得完整性并进行身份验证的位置。数据包的加密部分表示受到机密性保护的信息。
由于为数据包添加了隧道新报头,因此会对 ESP 报头之后的所有内容进行签名(ESP 身份验证尾端除外),因为这些内容此时已封装在隧道数据包中。原始报头置于 ESP 报头之后。在加密之前,会在整个数据包上附加 ESP 尾端。ESP 报头之后的所有内容都会被加密,ESP 身份验证尾端除外。这包括原始报头,该报头此时被视为数据包的数据部分的一部分。
然后,会将整个 ESP 有效负载封装在未加密的新隧道报头内。新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点。
如果通过公用网络发送数据包,则数据包会路由到接收方 Intranet 的网关的 IP 地址。网关对数据包进行解密、丢弃 ESP 报头并使用原始 IP 报头将数据包路由到 Intranet 计算机。
进行隧道操作时,ESP 与 AH 可组合使用,从而为隧道 IP 数据包提供保密性,同时为整个数据包提供完整性和身份验证。
使用 IPSec 隧道IPSec 隧道只为 IP 通信提供安全性。该隧道可配置为保护两个 IP 地址或两个 IP 子网之间的通信。如果在两台计算机而不是两个网关之间使用隧道,则 AH 或 ESP 有效负载之外的 IP 地址将与 AH 或 ESP 有效负载之内的 IP 地址相同。在 Windows XP 和 Windows Server 2003 家族中,IPSec 不支持协议特定或端口特定隧道。配置隧道的方法是,使用“IP 安全策略管理”和“组策略”控制台以配置并启用两个规则:
1.
|
用于出站隧道通信的规则。
出站通信规则是使用下述筛选器列表配置的:该列表描述通过隧道与在 IPSec 隧道对等(隧道另一端的计算机或路由器)配置的 IP 地址的隧道终结点发送的通信。
|
2.
|
用于入站隧道通信的规则。
入站通信规则是使用下述筛选器列表配置的:该列表描述通过隧道与本地 IP 地址的隧道终结点(隧道本地端的计算机或路由器)接收的通信。
|
此外,也需要为每个规则指定筛选器操作、身份验证方法以及其他设置。
