IPSec的两种运行模式的性质和不同是什么?

1. 传输模式

要保护的内容是IP包的载荷，可能是TCP/UDP/ICMP等协议，还可能是AH/ESP协议(嵌套)。传输模式为上层协议提供安全保护，通常情况下，传输模式只适用于两台主机之间的安全通信。

正常情况下，传输层数据包在IP中添加一个IP头部构成IP包。启用IPSec之后，IPSec会在传输层数据前面增加AH/ESP或二者，构成一个AH/ESP数据包，然后再添加IP头部组成新的IP包。

2. 隧道模式

保护的内容是整个原始IP包，为IP协议提供安全保护。通常情况下，只要IPSec双方有一方是安全网关，就必须使用隧道模式。

路由器对需要进行IPSec保护的原始IP包看作一个整体，作为要保护的内容，前面加上AH/ESP头部，再添加新的IP头部，组成新的IP包。

隧道模式的数据包有两个IP头：内部头由路由器背后的主机创建，外部头由提供IPSec的设备(主机/路由器)创建。通信终点由受保护的内部头指定，而IPSec终点则由外部头指定。