IP 安全协议(IPSec)
    安全的远程访问须由第2 层隧道协议（L2TP）和网络层安全协议(IPSec)结合一起实现。这二者彼此分工协作， L2TP 协议专用来建立数据传输的隧道，而IPSec 协议则专用来保护数据，为数据传输提供安全加密措施。
    IPSec 是一个标准的第三层安全协议，是一个协议包。IPSec 是IETF 于1998 年11月公布的IP 安全标准。它工作在七层OSI 协议中的网络层，用于保护IP 数据包，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间、网络安全网关之间(如防火墙、路由器)，或主机与网关之间。其目标是为IPv4 和IPv6 提供具有较强的互操作能力、高质量和基于密码的安全。
    目前， IPSec 有两种版本，一种是基于IPv4 协议的，另一种是基于IPv6 协议的，但IPSec 对于IPv4 是可选的，对于IPv6 是强制性的。
    IPSec 在IP 层上对数据包进行高强度的安全处理，提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流的机密性等安全服务。各种应用程序可以享用IP 层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。IPSec 可连续或递归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端安全、虚拟专用网络(VPN) 和安全磁道技术。
    IPSec 的工作主要有数据验证( Authentication )、数据完整( Integrity )和信任（ Confidentiality )。数据验证主要确保接收的数据与发出的数据相同，并且确保发送数据者的真实性；数据完整主要确保数据在传输过程中没有被篡改；信任主要确认通信双方的相互信任关系，确保冒名者的通信，通常使用Encryption (加密〉来确立信任。IPSec包含内容可分开使用，也可合并使用，视具体方案而定。目前IPSec 协议可以采用两种方法来对数据提供加密和认证：ESP （ EncapsulatingSecurityPayload )协议和AH(AuthenticationHeader) 协议。
    AH 可以提供数据源认证(确保接收到的数据是来自发送方)、数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)，使用卧在AC-MD-5 和HMAC-SHA-l 等算法。而ESP 支持数据的保密性，使用DES 、Triple-DES 、RC5 、RC4、IDEA 和BLOWFISH 等算法。剧的认证范围如图3-64 所示。

    ESP 的加密和认证范围如图3-65 所示。
    AH 和ESP 均支持两种模式:传输模式和隧道模式。
    传输模式主要是为上层协议提供保护，同时增如了IP 包载荷的保护。例如， TCP段或UDP 段、ICMP 包均是在主机协议枝的IP 层进行操作。典型地，传输模式用于在两台主机(如服务器与工作站之间、两个工作站之间)进行的端到端通信。当一个主机在IPv4 上运行AH 或ESP 时，其载荷是跟在E 报头后茧的数据，对IPv6 而言，其载荷是跟在IP 报头后面的数据和IPv6 的任何扩展头。
    传输模式的ESP 可以加密和认证(可选)IP 载荷，但不包括IP 头。传输模式的AH可以认证IP 载荷和IP 头的选中部分。
    隧道模式对整个IP 包提供保护。为了达到这个目的，当IP 包加AH 或ESP 域之后，整个数据包加安全域被当作一个新IP 包的载荷，并拥有一个新的外部IP 包头。原来或内部的整个包利用隧道在网络之间传输，沿途路由器不能检查内部IP 包头。由于原来的包被封装，新的、更大的包可以拥有完全不同的源地址与目的地址，以增强安全性。当SA 的一端或两端为安全网关时使用隧道模式，如使用IPSec 的防火墙或路由器。防火墙外的主机在没有IPSec 时也可以实现安全通信。而当主机生成的未保护包通过本地网络边缘的防火墙或安全路由器时， IPSec 提供隧道模式的安全性。