使用 AH 和 ESP 时的安全注意事项
下表比较了由 AH 和 ESP 提供的保护。
表 19–2 由 IPsec 中的 AH 和 ESP 提供的保护
协议
|
包范围
|
保护
|
防止的攻击
|
AH
|
保护包中从 IP 数据包头到传输层头的内容
|
提供高完整性、数据验证:
-
确保接收者接收到的正是发送者发送的内容
-
在 AH 没有启用重放保护时容易受到重放攻击影响
|
重放、剪贴
|
ESP
|
保护数据报中紧跟在 ESP 之后的包。
|
使用加密选项时,对 IP 数据报进行加密。保证保密性
|
窃听
|
使用验证选项时,提供与 AH 相同的保护
|
重放、剪贴
|
同时使用两个选项时,提供高完整性、数据验证和保密性
|
重放、剪贴、窃听
|