613.两台主机之间使用 IPSec VPN 传输数据, 为了隐藏真实的 IP 地址和尽可能高地保证数据 的安全性,则使用 IPSec VPN 的哪种模式和协议封装较好?

这道题考查的是 IPSec（IP Security）协议中**工作模式**和**安全协议**的选择，核心需求有两个： 1. **隐藏真实的 IP 地址**。 2. **尽可能高地保证数据的安全性**。 我们需要从 IPSec 的两种模式（传输模式、隧道模式）和两种协议（AH、ESP）进行分析。 ### 1. 模式选择：传输模式 vs 隧道模式 * **传输模式 (Transport Mode)**： * 只加密 IP 数据包的有效载荷（即上层协议数据，如 TCP/UDP 段）。 * **保留原始的 IP 头部**。这意味着通信双方的真实源 IP 和目的 IP 是明文可见的。 * 通常用于主机到主机的通信。 * **结论**：无法隐藏真实 IP 地址，不符合题目要求。 * **隧道模式 (Tunnel Mode)**： * 对整个原始 IP 数据包（包括原始 IP 头部和有效载荷）进行封装和加密。 * 在外层添加一个新的 IP 头部，这个新头部的源和目的地址通常是 VPN 网关的地址。 * **原始 IP 头部被加密保护**，外部网络只能看到 VPN 网关的 IP，无法得知内部主机的真实 IP。 * **结论**：可以隐藏真实 IP 地址，符合题目要求。因此，**选项 B 正确，选项 C 错误**。 ### 2. 协议选择：AH vs ESP * **AH (Authentication Header，认证头)**： * 提供数据完整性校验、数据源认证和抗重放服务。 * **不提供数据加密功能**。数据内容以明文形式传输。 * 在隧道模式下，虽然能认证外层 IP 头，但因为它不加密，所以无法隐藏内部信息，且安全性低于 ESP（因为缺乏机密性）。 * **结论**：无法保证数据的机密性（安全性不够高），不符合“尽可能高地保证数据的安全性”这一要求。因此，**选项 A 错误**。 * **ESP (Encapsulating Security Payload，封装安全载荷)**： * 提供数据加密（机密性）、数据完整性校验、数据源认证和抗重放服务。 * 能够对数据进行加密，防止窃听。 * 结合隧道模式使用时，既能加密数据内容，又能隐藏原始 IP 结构。 * **结论**：提供了更高的安全性（包含加密），符合题目要求。因此，**选项 D 正确**。 ### 综合分析 * 为了**隐藏真实 IP 地址**，必须使用**隧道模式 (B)**。 * 为了**尽可能高地保证数据的安全性**（特别是机密性），必须使用支持加密的 **ESP 协议 (D)**。 因此，最佳组合是 **隧道模式 + ESP 协议**。 ### 最终答案 **B、D**