据书中所述,传输模式适合的场景仅仅是在主机与主机之间的IPsec的流量保护。一开始我还不大理解,知道现在就有些眉目了。看上图的这个实验场景,在左右两端的防火墙建立ipsec传输模式隧道,感兴趣流是内网主机的网段,那么会出现什么问题?
出现的问题
当左边的主机去ping右边的主机的地址的时候,会匹配上左边防火墙上IPsec的感兴趣流,那么这就会导致防火墙为其打上IPsec的加密首部,但是原目地址还是PC1和PC2,而不像隧道模式会根据隧道两端的IP地址为其打上新的IP首部。那么此时左边的防火墙FW1根据路由表将源地址为192.168.1.1目的地址为192.168.2.1的数据包转发给防火墙FW2 ,但是此时右边的防火墙FW2并不会对该数据包进行解密,这就是出现的主要的问题,它做的处理是直接将报文进行转发,当然这我不知道是模拟器的缘故,但是即便是可以进行解密,那么内网主机的IP地址也已经暴露了。于是当FW2将加密后的数据进行直接转发后,PC2是无法识别的,这将会导致业务中断。
总结:
防火墙对待传输模式加密后的报文的态度是:只有目的地址是自己的报文才会进行解密,如果目的地址不是自己的就直接转发(PS:可能是模拟器的缘故)