IPsec: differenze tra le versioni

Le linee verdi sottendono la parte di pacchetto che viene sottoposta a crittografia, mentre le linee azzurre sottendono la parte di pacchetto che viene sottoposta a controllo di autenticità e integrità. Nella modalità trasporto l'header IP originale rimane in chiaro (quindi non protetto) per l'instradamento del pacchetto fino all'endpoint destinatario che sarà anche responsabile di processare l'autenticazione e la decrittazione del payload ESP. Diversamente, nella modalità tunnel l'header IP originale viene crittografato (quindi protetto) assieme all'header TCP e ai dati, ed è quindi necessario introdurre un nuovo IP header (in giallo) con le informazioni necessarie per l'instradamento fino al dispositivo delegato ( [[Gateway (informatica)|gateway]] / [[firewall]] ) alla chiusura del tunnel IPsec con decrittazione del payload ESP, dipsositivodispositivo che provvederà a sua volta ad inoltrare il pacchetto autenticato e decifrato verso l'endpoint dichiarato nell'header IP originale (in grigio). Per quanto riguarda gli algoritmi di cifratura possono essere utilizzati [[Data Encryption Standard]] (DES), [[3DES]], [[Advanced Encryption Standard|AES]] e [[Blowfish]].