郑州做网站的公司哪家好网站域名使用费多少

郑州做网站的公司哪家好,网站域名使用费多少,吉林网络推广代运营,如何做融资网站作者#xff1a;chen-trueqq.com仅供学习交流#xff0c;如有错误恳请指出#xff01;先说结论#xff1a;AH协议不支持NAT穿越#xff0c;无论是传输模式还是隧道模式#xff0c;无论有无开启NAT-T功能#xff1b;在未开启NAT-T功能前提下#xff0c;ESP隧道模式和传输…作者chen-trueqq.com仅供学习交流如有错误恳请指出先说结论·AH协议不支持NAT穿越无论是传输模式还是隧道模式无论有无开启NAT-T功能·在未开启NAT-T功能前提下ESP隧道模式和传输模式均支持穿越NAT设备但是会有很多限制导致使用起来不方便或产生问题·在开启NAT-T功能前提下ESP隧道模式和传输模式均可以正常稳定的穿越NAT。IPSecIP Security是一组在IP网络层提供安全通信能力的协议族主要依靠两种数据保护子协议AH与ESP对IP报文实施完整性校验、身份认证、加密以及抗重放等安全保护。·认证头Authentication HeaderAHIP协议号51。提供数据源认证与消息完整性保护并支持抗重放但是不提供加密因此不具备保密性。·封装安全载荷Encapsulating Security PayloadESPIP协议号50。提供数据加密以实现保密性并且可选提供数据源认证与消息完整性保护同时支持抗重放。在实际工程中ESP通常同时启用加密与完整性保护应用也最为广泛。AH与ESP均支持两种工作模式Mode用于决定对IP报文的保护范围·传输模式Transport Mode保留原始IP头仅对上层负载如 TCP/UDP/ICMP等数据进行保护常用于主机到主机的端到端安全通信。·隧道模式Tunnel Mode将整个原始IP包封装为“内层报文”再添加新的外层IP头并对内层整包进行保护常用于网关到网关的站点互联以及远程接入VPN场景。一、AH协议的保护范围① AH传输模式的保护范围即认证数据ICV的覆盖范围·上层数据即TCP/UDP/ICMP头 数据·AH头除ICV字段外计算ICV时将ICV字段本身置零参与计算·原始IP头中“不可变/端到端应保持一致”的字段典型包括源/目 IP、协议号等这类不应在中途改动的字段。而对于TTL、IP头校验和、DSCP、以及其它一些可能被中间设备改写的字段计算ICV时将它们置零忽略参与计算。② AH隧道模式的保护范围即认证数据ICV的覆盖范围·内层原始IP包整体包括内层IP头部 上层数据TCP/UDP/ICMP头 数据·AH头除ICV字段外计算ICV时将ICV字段本身置零参与计算·外层IP头中“不可变/端到端应保持一致”的字段典型包括源/目 IP、协议号等这类不应在中途改动的字段。而对于TTL、IP头校验和、以及其它一些可能被中间设备改写的字段计算ICV时将它们置零忽略参与计算。图 AH协议保护范围二、ESP协议的保护范围① ESP传输模式的保护范围加密和认证范围1、加密范围·上层数据即TCP/UDP/ICMP头 数据·ESP尾ESP TrailerPadding PadLen NextHeader。2、认证范围若启用·ESP头SPI Sequence Number·全部加密区的密文② ESP隧道模式的保护范围加密和认证范围1、加密范围·内层原始IP包整体包括内层IP头部 上层数据TCP/UDP/ICMP头 数据·ESP尾ESP TrailerPadding PadLen NextHeader。2、认证范围若启用·ESP头SPI Sequence Number·全部加密区的密文图 ESP协议保护范围三、AH协议不支持NAT穿越如下图所示主机A与主机B之间建立了基于IPSec AH的安全通信可为传输模式或隧道模式且路径中经过NAT网关。图 AH传输模式穿越NAT失败举例AH提供了消息完整性保护其核心机制是发送端在计算AH头部中的认证数据时会把报文中需要被保护的内容纳入哈希计算其中包括IP头部中那些按规范应保持端到端一致的字段典型如源/目的IP等并将计算得到的认证数据随AH报文一起发送给接收端。接收端收到AH报文后会按同样规则对报文重新计算认证数据并与报文携带的认证数据进行比对若不一致则认为报文被篡改或伪造进而丢弃报文。当AH报文经过NAT网关时NAT会对报文进行地址转换SNAT/DNAT从而修改IP头部中的源/目IP等字段。由于这些字段属于AH认证计算所覆盖的范围NAT的改写会导致接收端基于“被改写后的IP头”重新计算出的认证数据与报文中携带的认证数据不一致最终触发AH完整性校验失败并造成丢包。因此AH与NAT天生不兼容。这一结论对两种模式均成立·AH传输模式下AH直接保护原始IP头中的相关字段NAT改地址必然破坏校验·AH隧道模式下AH同样会认证外层IP头中应保持不变的字段而NAT改写外层地址同样会导致校验失败。综上AH协议不支持穿越NAT无论是传输模式还是隧道模式只要路径中存在会修改IP头地址信息的NAT设备都将导致AH认证失败。四、ESP协议有限度的支持NAT穿越以前示拓扑为例若主机A与主机B之间建立IPSec ESP安全通信可为传输模式或隧道模式且路径中经过NAT网关。与AH不同ESP的完整性校验若启用不覆盖外层IP头而是覆盖ESP头 ESP负载 ESP尾ESP Trailer因此NAT对外层IP地址的改写不会直接导致ESP的认证数据校验失败。1ESP传输模式穿越NAT认证不一定失败但业务层面容易掉坑在传输模式下ESP会把上层协议头TCP/UDP/ICMP等也一起加密/认证。因此即便ESP本身不会因为NAT改外层IP头而导致认证数据校验失败但仍然可能在以下方面出现问题·TCP/UDP校验和问题NAT改写源/目的IP 后按协议规则TCP/UDP的校验和应随之更新但传输模式下TCP/UDP头在ESP加密区内NAT看不到也改不了导致接收端解密后可能出现校验和不匹配进而引发丢包、连接异常等现象。注意对于一些不依赖TCP/UDP校验和的IP流量比如ICMP Ping理论上ESP传输模式是可以穿越NAT的但在真实网络里是否“真的能过”强烈依赖NAT是否支持/放行ESP以及是否存在多主机并发PAT等情况。·ESP没有端口导致NAT/PAT复用困难ESP是三层协议IP协议号50不像TCP/UDP有端口可用于NAT/PAT做多路复用。若多个内网主机共享一个公网地址并发建立ESP流量许多NAT设备难以稳定区分和回送常见现象包括“只能通一个”“并发冲突”“会话不稳定”等。因此ESP传输模式在密码学机制上不怕NAT改外层地址但在承载TCP/UDP以及多对一PAT的场景下经常因为校验和与复用问题而不够可靠。2ESP隧道模式穿越NAT天然、稳定但仍可能被“无端口复用”所限制隧道模式的优势在于·内外层解耦避免传输模式的TCP/UDP校验和问题隧道模式把“原始内层IP包”整体加密/认证内层TCP/UDP校验和依赖的是内层IP地址。NAT改写的是外层IP头不会影响内层地址与内层校验和。·ESP认证仍不覆盖外层IP头NAT对外层地址的改写不会直接破坏ESP认证数据的校验这一点与ESP传输模式一样。但隧道模式仍存在一个现实问题·纯ESP依旧没有端口PAT多路复用依旧困难当公网侧只有一个公网IP、且需要多台内网主机并发建立/维持ESP会话时NAT设备仍可能因为“无端口”而复用能力受限导致连接不稳定。因此ESP隧道模式更适合NAT环境但如果不做额外处理仍可能被NAT/PAT的会话复用能力卡住。为解决“ESP无端口导致NAT/PAT难以复用”和“传输模式下TCP/UDP校验和难以更新”等问题工程实践中通常启用NAT-TNAT Traversal功能。NAT-T的核心思想就是把ESP变成“看起来像普通UDP”的流量。并且NAT-T功能只对ESP有效对AH无效。有关NAT-T功能原理我会在后面单独详细描述。