2022年網絡安全復習筆記

第一章信息安全是防止對知識、事實、數(shù)據或能力非授權使用、誤用、篡改或拒絕使用所采取的措施（量度）。網絡安全是在分布網絡環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據、信息內容或能力被非授權使用、篡改或拒絕服務。計算機網絡的安全隱患IP安全:口令竊聽、IP欺騙、路由攻擊：DNS安全拒絕服務（DenialofService,DoS）攻擊:發(fā)送SYN信息分組、郵件炸彈：分布式拒絕服務（DistributedDenialofService,DDoS）攻擊網絡安全具有三個基本屬性機密性（保密性）是指保證信息與信息系統(tǒng)不被非授權者所獲取與使用，主要防范措施是密碼技術完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內容不被篡改，主要防范措施是校驗與認證技術可用性是指保證信息與信息系統(tǒng)可被授權人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下網絡安全模型為了在開放網絡環(huán)境中保護信息的傳輸，需要提供安全機制和安全服務，主要包含兩個部分：一部分是對發(fā)送的信息進行與安全相關的轉換，另一部分是由兩個主體共享的秘密信息，而對開放網絡是保密的。在設計網絡安全系統(tǒng)時，該網絡安全模型應完成4個基本任務：設計一個算法以實現(xiàn)和安全有關的轉換。產生一個秘密信息用于設計的算法。開發(fā)一個分發(fā)和共享秘密信息的方法。確定兩個主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務。網絡訪問安全模型黑客攻擊可以形成兩類威脅：信息訪問威脅、服務威脅信息安全分成3個階段通信安全的主要目的是解決數(shù)據傳輸?shù)陌踩珕栴}，主要的措施是密碼技術計算機安全的主要目的是解決計算機信息載體及其運行的安全問題，主要的措施是根據主、客體的安全級別，正確實施主體對客體的訪問控制網絡安全的主要目的是解決在分布網絡環(huán)境中對信息載體及其運行提供的安全保護問題，主要的措施是提供完整的信息安全保障體系，包括防護、檢測、響應、恢復。對稱密鑰密碼技術從加密模式上可分為兩類：序列密碼和分組密碼。序列密碼：RC4分組密碼：DES、IDEA、AES公鑰算法：RSA第二章風險分析是對需要保護的資產及其受到的潛在威脅進行鑒別的過程，風險是威脅和漏洞（脆弱性）的組合，正確的風險分析是保證網絡環(huán)境安全的極其重要的一步。資產的類型一般可分成以下4類：物理資源、知識資源、時間資源、信譽（感覺）資源網絡安全最終是一個折中的方案，需要對危害和降低危害的代價進行權衡：用戶的方便程度、管理的復雜性、對現(xiàn)有系統(tǒng)的影響、對不同平臺的支持。安全屬性來看，攻擊類型分為4類：阻斷攻擊截取攻擊篡改攻擊偽造攻擊。從攻擊方式來看，攻擊類型可分為被動攻擊和主動攻擊。從攻擊目的和效果將攻擊類型分為：訪問攻擊篡改攻擊拒絕服務攻擊否認攻擊，拒絕服務攻擊主要是針對計算機和網絡系統(tǒng)。否認攻擊是針對信息的可審性進行的風險管理：從本質上講，安全就是風險管理，漏洞和威脅是測定風險的兩個組成部分。風險是威脅和漏洞的綜合結果，沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險，風險的度量是要確定事件發(fā)生的可能性和造成的損失。第三章信息策略定義一個組織內的敏感信息以及如何保護敏感信息。包括：識別敏感信息，信息分類，敏感信息標記，敏感信息存儲，敏感信息傳輸，敏感信息銷毀安全策略兩個主要任務：確定安全的實施，使員工的行動一致第四章機密性服務機密性服務提供信息的保密。機密性服務能對抗訪問攻擊。機密性服務必須和可審性服務配合工作。機密性服務應考慮信息所在的形式和狀態(tài)完整性服務完整性服務提供信息的正確性。正確地使用完整性服務，可使用戶確信信息是正確的，未經非授權者修改過。完整性服務必須和可審性服務配合工作。完整性服務應考慮信息所在的形式和狀態(tài)。完整性服務可阻止篡改攻擊和否認攻擊?？捎眯苑湛捎眯苑仗峁┑男畔⑹强捎玫??？捎眯允购戏ㄓ脩裟茉L問計算機系統(tǒng)，存取該系統(tǒng)上的信息，運行各種應用程序。可用性還提供兩個計算機系統(tǒng)之間可用的傳輸信息的通信系統(tǒng)?？捎眯苑湛捎脕頊p少拒絕服務攻擊的影響，使系統(tǒng)得以在線恢復、正常運行?？蓪徯苑湛蓪徯苑毡旧聿⒉荒茚槍籼峁┍Ｗo，必須和其他安全服務結合?？蓪徯苑諘黾酉到y(tǒng)的復雜性，降低系統(tǒng)的使用能力。如果沒有可審性服務，機密性服務和完整性服務也會失效。身份認證技術口令技術采用物理形式的身份認證標記進行身份認證的鑒別技術身份認證協(xié)議身份認證協(xié)議一般有兩個通信方，可能還會有一個雙方都信任的第三方參與進行。身份認證協(xié)議可分為以下幾類：會話密鑰：傳統(tǒng)密鑰共享密鑰認證公鑰認證審計功能可審性的另一個重要功能是審計。審計提供歷史事件的記錄。數(shù)字簽名數(shù)字簽名是通信雙方在網上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。數(shù)字簽名的作用：保證信息完整性；提供信息發(fā)送者的身份認證。數(shù)字簽名的特征必須能夠驗證作者及其簽名的日期時間必須能夠認證簽名時刻的內容簽名必須能夠由第三方驗證，以解決爭議數(shù)字簽名分類數(shù)字簽名的執(zhí)行方式直接數(shù)字簽名：數(shù)字簽名的執(zhí)行過程只有通信雙方參與，弱點：方案的有效性取決于發(fā)方私鑰的安全性仲裁數(shù)字簽名數(shù)字簽名算法：RSA，DSS/DSA，ElGamal消息摘要消息X和已簽名的消息摘要D(H)合在一起是不可偽造的，是可檢驗的和不可否認的。消息摘要算法常用的散列函數(shù)有MD5、SHA-1消息摘要算法是精心選擇的一種單向函數(shù)Kerberos鑒別是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心的身份認證系統(tǒng)。提供網絡通信方之間相互的身份認證手段。Kerberos使用兩個服務器：鑒別服務器（AuthenticationServer,AS）、憑據授予服務器（Ticket-GrantingServer,TGS）。到目前共有5個版本。1、2、3版為實驗室版。第4、5版得到廣泛應用。第5版和第4版基本原理一致，只對第4版做了部分改進。公鑰基礎設施公鑰基礎設施（PublicKeyInfrastructure,PKI）是在分布式計算機系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和X.509證書安全服務的基礎設施。主要任務是在開放環(huán)境中為開放性業(yè)務提供基于公開密鑰技術的一系列安全服務，包括身份證書和密鑰管理、機密性、完整性、身份認證和數(shù)字簽名等。PKI提供的基本服務認證：采用數(shù)字簽名技術，簽名作用于相應的數(shù)據之上完整性：數(shù)字簽名：既可以是實體認證，也可以是數(shù)據完整性保密性：用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據加密不可否認性：發(fā)送方的不可否認——數(shù)字簽名，接受方的不可否認——收條+數(shù)字簽名訪問控制訪問控制是確定來訪實體有否訪問權以及實施訪問權限的過程。訪問控制表（AccessControlList,ACL）按行存儲矩陣。權利表（Capability）按列存儲矩陣。訪問控制分類根據能夠控制的訪問對象粒度可以分為：粗粒度訪問控制，中粒度訪問控制，細粒度訪問控制根據訪問控制策略的不同，訪問控制可以分為：自主訪問控制，強制訪問控制，基于角色的訪問控制第五章系統(tǒng)安全體系結構可信系統(tǒng)體系結構要素包括定義主體和客體的子集、可信計算基、安全邊界、基準監(jiān)控器和安全內核、安全域、資源隔離、安全策略和最小特權在計算機系統(tǒng)中全部保護機制的組合定義為可信計算基（trustedcomputingbase,TCB）。TCB涉及硬件、軟件和固件。網絡體系結構的觀點ISO7498-2標準定義了5類安全服務、8種特定的安全機制、5種普遍性安全機制OSI安全體系結構的5類安全服務:鑒別（對等實體鑒別，數(shù)據原發(fā)鑒別），訪問控制，數(shù)據機密性（連接機密性，無連接機密性，選擇字段機密性，通信業(yè)務流機密性），數(shù)據完整性(帶恢復的連接完整性，無恢復的連接完整性，選擇字段的連接完整性，無連接完整性，選擇字段無連接完整性)，抗否認（有數(shù)據原發(fā)證明的抗否認，有交付證明的抗否認）普遍性安全機制：可信功能度，安全標記，事件檢測，安全審計跟蹤，安全恢復特定的安全機制：加密機制，數(shù)字簽名機制，訪問控制機制，數(shù)據完整性機制，交換鑒別機制，業(yè)務流量填充機制，路由控制機制，公證機制安全特性是基于ISO7498-2的5種安全服務，包括鑒別、訪問控制、數(shù)據機密性、數(shù)據完整性、抗否認。第六章物理網絡風險及安全攻擊包括：竊聽回答（重放）插入拒絕服務（DoS）局域網LAN的安全攻擊類型 破壞干擾故意攻擊防御方法：防火墻特權區(qū) LAN連接DMZ：DMZ是在LAN和WAN之間的一個隔離的網段，DMZ對網絡安全提供3個關鍵的好處：限制數(shù)據流、限制物理連接以及監(jiān)控訪問點無線網絡安全無線網風險分組嗅測：無線網攻擊的最簡單方式。無線網上的數(shù)據流本質上是一總線結構服務集標識SSID信息：SSID通常設置為一個公司名、家庭名或街道地址。這種數(shù)據類型能被潛在的攻擊者破壞假冒寄生者直接安全漏洞風險緩解的方法SSID打標簽，不使SSID廣播，天線放置，MAC過濾，WEP，其他密碼系統(tǒng)，網絡體系結構數(shù)據鏈路層風險及安全數(shù)據鏈路層風險隨意模式：隨意模式攻擊：隨意模式通常用于網絡分析和查錯工具，但是攻擊者也能利用該模式進行攻擊。隨意模式的檢測方法：使用ARP檢測連接隨意模式，使用ICMP檢測隨意模式，使用DNS檢測隨意模式負載攻擊，地址攻擊，幀外數(shù)據，轉換通道，物理風險數(shù)據鏈路層風險緩解方法：硬編碼，數(shù)據鏈路身份鑒別，高層身份鑒別，分析器和工具PPP和SLIP的風險：身份鑒別，雙向通信，用戶教育MAC和ARP的風險：MAC的風險：硬件框架攻擊，偽裝攻擊，負載攻擊ARP受損的影響：資源攻擊，DoS攻擊，中間人攻擊（MitM攻擊）緩解ARP的受損：硬編碼ARP表，ARP過期，過濾ARP回答，鎖住ARP表交換機攻擊：交換機中毒攻擊，交換機淹沒攻擊網絡層風險及安全路由風險;直接路由器攻擊,路由表中毒，路由表淹沒，路由度量攻擊，路由器環(huán)路攻擊地址機制的風險：假地址，地址攔截，假釋放攻擊，假的動態(tài)分配分段的風險：丟失分段攻擊，最大的不分段大小，分段重組網絡層安全：安全協(xié)議，網絡不兼容能力，體系結構，安全過濾，防火墻和出口過濾IP風險：地址沖突，IP攔截，回答攻擊，分組風暴，分段攻擊，轉換通道IP安全可選方案：禁用ICMP，非路由地址，網絡地址轉換NAT，反向NAT，IP過濾，出口過濾，IPSec，IPv6匿名：網絡匿名是阻止識別連接的參與者。網絡匿名有3個不同屬性：源匿名、目的匿名和鏈路匿名。第七章傳輸層核心功能傳輸層定義網絡層和面向應用層之間的接口，從應用層抽象連網功能，包括連接管理、分組組裝和服務識別，傳輸層有兩個核心成分，即傳輸層端口和序列。傳輸層風險:緩解對TCP攻擊的方法:改變系統(tǒng)框架,阻斷攻擊指向,識別網絡設備,狀態(tài)分組檢驗,入侵檢測系統(tǒng)（IDS）,入侵防御系統(tǒng)（IPS），高層協(xié)議UDP風險:非法的進入源,UDP攔截，UDP保持存活攻擊，UDPSmurf攻擊，UDP偵察安全套接字層SSLSSL分為兩層，上面是SSL協(xié)商層，雙方通過協(xié)商約定有關加密的算法、進行身份鑒別等；下面是SSL記錄層，它把上層的數(shù)據經分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進行身份鑒別，但大量數(shù)據傳輸仍使用對稱密鑰方式。通過雙方協(xié)商，SSL可支持多種身份鑒別、加密和檢驗算法同網絡層安全機制相比，傳輸層安全機制的主要優(yōu)點是它提供基于進程對進程的（而不是主機對主機的）安全服務和加密傳輸信道，利用公鑰體系進行身份鑒別，安全強度高，支持用戶選擇的加密算法DNS風險及緩解方法直接風險無身份鑒別的響應DNS緩存受損ID盲目攻擊破壞DNS分組技術風險DNS域攔截DNS服務器攔截：DNS攔截通常發(fā)生的兩種情況，即系統(tǒng)被破壞或IP攔截更新持續(xù)時間動態(tài)DNS社會風險相似的主機名自動名字實現(xiàn)社會工程域更新緩解風險的方法直接威脅緩解：補丁，內部和外部域分開，限制域的轉換，鑒別的域轉換，有限的緩沖間隔，拒絕不匹配的回答技術威脅的緩解：加固服務器，防火墻偵察威脅的緩解：限制提供DNS信息，限制域轉換，限制請求，去除反向查找，分開內部和外部域，去除額外信息，隱藏版本社會威脅緩解：鎖住域，使用有效聯(lián)系，不間斷支持，自己主持優(yōu)化DNS配置確定可信的回答SMTP郵件風險偽裝報頭及垃圾郵件中繼和攔截SMTP和DNS低層協(xié)議E-mail的倫理問題HTTP風險URL漏洞：主機名求解攻擊，主機偽裝，統(tǒng)一資源標識符（URI）偽裝，剪切和拼接，濫用查詢，SQL插入，跨站腳本常見的HTTP風險：無身份鑒別的客戶，無身份鑒別的服務器，客戶端隱私，信息泄露，服務器定位輪廓，訪問操作系統(tǒng)，低層協(xié)議，不安全的應用程序第八章防火墻防火墻是建立在內外網絡邊界上的過濾封鎖機制，內部網絡被認為是安全和可信賴的，而外部網絡（通常是Internet）被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經授權的通信進出被保護的內部網絡，通過邊界控制強化內部網絡的安全政策。防火墻的功能：訪問控制功能內容控制功能全面的日志功能集中管理功能自身的安全和可用性附加功能：流量控制，NAT，VPN防火墻的局限性不能防范不經防火墻的攻擊。不能防止感染病毒的軟件或文件的傳輸。不能防止數(shù)據驅動式攻擊。不能防止內部用戶的破壞。不能防備不斷更新的攻擊防火墻的分類從實現(xiàn)技術方式，可分為包過濾防火墻、應用網關防火墻、代理防火墻和狀態(tài)檢測防火墻。從形態(tài)上，可分為軟件防火墻和硬件防火墻。包過濾技術是防火墻根據數(shù)據包中包頭信息有選擇地實施允許通過或阻斷。核心是安全策略即過濾規(guī)則的設計。應用網關技術是建立在應用層上的協(xié)議過濾，針對特別的網絡應用服務協(xié)議即數(shù)據過濾協(xié)議，且能夠對數(shù)據包進行分析并形成相關的報告。代理服務器是運行在防火墻主機上的專門的應用程序或者服務器程序被屏蔽子網體系結構的優(yōu)點入侵者必須突破3個不同的設備（而且外部網絡無法探測到）才能非法入侵內部網絡、外部路由器、堡壘主機，還有內部路由器。網絡管理員就可以保證內部網絡是“不可見”的，并且只有在DMZ網絡上選定的服務才對Internet開放。內部網絡上的系統(tǒng)不能直接通往Internet，保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。包過濾路由器直接將數(shù)據引向DMZ網絡上所指定的系統(tǒng)，消除了堡壘主機雙重宿主的必要。能夠支持比雙重宿主堡壘主機更大的數(shù)據包吞吐量。NAT（網絡地址變換）可以安裝在堡壘主機上，從而避免在內部網絡上重新編址或重新劃分子網。在數(shù)據包過濾規(guī)則中有兩種基本的安全策略：默認接受和默認拒絕，默認拒絕應該是更安全的第九章1.VPNVPN有3種類型：AccessVPN（遠程訪問VPN）、IntranetVPN（企業(yè)內部VPN，網關對網關VPN）和ExtranetVPN（企業(yè)擴展VPN）VPN的優(yōu)點：降低成本，易于擴展，保證安全密碼技術是實現(xiàn)VPN的關鍵核心技術之一隧道技術通過對數(shù)據進行封裝，在公共網絡上建立一條數(shù)據通道（隧道），讓數(shù)據包通過這條隧道傳輸?shù)诙铀淼绤f(xié)議有以下幾種：L2F，PPTP，L2TP第三層隧道協(xié)議有以下幾種：IPSec,GRE無論何種隧道協(xié)議，其數(shù)據包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。根據隧道的端點是用戶計算機還是撥號接入服務器，隧道可以分為兩種：自愿隧道（VoluntaryTunnel）強制隧道（CompulsoryTunnel）自愿隧道是最普遍使用的隧道類型,創(chuàng)建自愿隧道的前提是客戶端和服務器之間要有一條IP連接（通過局域網或撥號線路）。客戶端計算機可以通過發(fā)送VPN請求來配置和創(chuàng)建一條自愿隧道強制隧道由支持VPN的撥號接入服務器來配置和創(chuàng)建。用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的撥號接入服務器作為隧道客戶端，成為隧道的一個端點。能夠代替客戶端計算機來創(chuàng)建隧道的網絡設備包括支持PPTP協(xié)議的FEP（Front-EndProcessor，前端處理器）、支持L2TP協(xié)議的LAC（L2TPAccessConcentrator，L2TP接入集中器）或支持IPSec的安全IP網關。自愿隧道技術為每個客戶創(chuàng)建獨立的隧道，而強制隧道中FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享，而不必為每個客戶建立一條新的隧道。PPTP協(xié)議提供了PPTP客戶端和PPTP服務器之間的加密通信。PPTP客戶端和服務器之間的報文有兩種：控制報文負責PPTP隧道的建立、維護和斷開；數(shù)據報文負責傳輸用戶的真正數(shù)據L2TP主要由LAC和LNS構成，LAC支持客戶端的L2TP，它用于發(fā)起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。L2TP客戶端和服務器之間的報文也有兩種：控制報文和數(shù)據報文。這兩種報文均采用UDP協(xié)議封裝和傳送PPP幀。PPP幀的有效載荷即用戶傳輸數(shù)據，可以經過加密和/或壓縮。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE只提供封裝，既不進行加密，也不進行驗證，因此通常與其他安全協(xié)議結合使用。第十章IPSec安全體系結構IPSec不是一個單獨的協(xié)議，而是一組協(xié)議。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IPSec的功能：作為一個隧道協(xié)議實現(xiàn)了VPN通信，保證數(shù)據來源可靠，保證數(shù)據完整性，保證數(shù)據機密性IPSec包含了3個最重要的協(xié)議：AH、ESP和IKE。AH為IP數(shù)據包提供3種服務：無連接的數(shù)據完整性驗證、數(shù)據源身份認證和防重放攻擊。ESP除了為IP數(shù)據包提供AH已有的3種服務外，還提供另外兩種服務：數(shù)據包加密、數(shù)據流加密。IKE協(xié)議負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE將密鑰協(xié)商的結果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時使用。SA（SecurityAssociation，安全聯(lián)盟）是兩個IPSec實體（主機、安全網關）之間經過協(xié)商建立起來的一種協(xié)定。SA是單向的，進入（inbound）SA負責處理接收到的數(shù)據包，外出（outbound）SA負責處理要發(fā)送的數(shù)據包。每個SA由三元組<SPI，源/目的IP地址，IPSec協(xié)議>唯一標識IPSec有兩種運行模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。AH和ESP都支持這兩種模式，因此有4種可能的組合：傳輸模式的AH、隧道模式的AH、傳輸模式的ESP和隧道模式的ESP。傳輸模式要保護的內容是IP包的載荷，傳輸模式為上層協(xié)議提供安全保護。通常情況下，傳輸模式只用于兩臺主機之間的安全通信隧道模式保護的內容是整個原始IP包，隧道模式為IP協(xié)議提供安全保護。通常情況下，只要IPSec雙方有一方是安全網關或路由器，就必須使用隧道模式。MAC算法將一段給定的任意長度的報文和一個密鑰作為輸入，產生一個固定長度的輸出報文，稱為報文摘要或者指紋。AH傳輸模式：被AH驗證的區(qū)域是整個IP包（可變字段除外），包括IP包頭部，因此源IP地址、目的IP地址是不能修改的，否則會被檢測出來。AH在傳輸模式下和NAT是沖突的，不能同時使用，或者可以說AH不能穿越NAT。AH隧道模式：在隧道模式中，AH插入到原始IP頭部字段之前，然后在AH之前再增加一個新的IP頭部。隧道模式下，AH驗證的范圍也是整個IP包，因此AH和NAT的沖突在隧道模式下也存在。ESP協(xié)議除了可以提供無連接的完整性、數(shù)據來源驗證和抗重放攻擊服務之外，還提供數(shù)據包加密和數(shù)據流加密服務。ESP協(xié)議提供數(shù)據完整性和數(shù)據來源驗證的原理和AH一樣，也是通過驗證算法實現(xiàn)。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)必須實現(xiàn)的驗證算法：HMAC-MD5、HMAC-SHA1、NULL。NULL認證算法是指實際不進行認證。ESP的加密采用的是對稱密鑰加密算法。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)都必須實現(xiàn)的算法：DES-CBC、NULL。NULL加密算法是指實際不進行加密。ESP協(xié)議規(guī)定加密和認證不能同時為NULL。傳輸模式保護的是IP包的載荷，ESP插入到IP頭部（含選項字段）之后，任何被IP協(xié)議所封裝的協(xié)議（如傳輸層協(xié)議TCP、UDP、ICMP，或者IPSec協(xié)議）之前。如果使用了加密，SPI和序號字段不能被加密。如果使用了驗證，驗證數(shù)據也不會被加密，因為如果需要ESP的驗證服務，那么接收端會在進行任何后續(xù)處理（例如檢查重放、解密）之前進行先驗證。SP的驗證不會對整個IP包進行驗證，IP包頭部（含選項字段）不會被驗證。因此，ESP不存在像AH那樣的和NAT模式沖突的問題。除了ESP頭部之外，任何IP頭部字段都可以修改，只要保證其校驗和計算正確，接收端就不能檢測出這種修改。ESP頭部包含SPI和序列號字段。ESP尾部包含填充、填充長度和下一個頭字段ESP隧道模式：隧道模式保護的是整個IP包，對整個IP包進行加密。ESP插入到原IP頭部（含選項字段）之前，在ESP之前再插入新的IP頭部。ESP頭部含有SPI和序號字段；ESP尾部含有填充、填充頭部和下一個頭字段；如果選用了驗證，ESP的驗證數(shù)據字段中包含了驗證數(shù)據。ESP頭部和ESP驗證數(shù)據字段不被加密。在隧道模式中，內部IP頭部被加密和驗證。外部IP頭部既不被加密也不被驗證，不被加密是因為路由器需要這些信息來為其尋找路由；不被驗證是為了能適用于NAT等情況。隧道模式下對整個原始IP包進行驗證和加密，可以提供數(shù)據流加密服務；而ESP在傳輸模式下不能提供流加密服務，因為源、目的IP地址不被加密SAKMP只是為SA的屬性和協(xié)商、修改、刪除SA的方法提供了一個通用的框架，并沒有定義具體