简述IPSec的两种运行模式的性质和不同？

1、传输模式：要保护的内容是IP包的载荷，可能是TCP/UDP/ICMP等协议，还可能是AH/ESP协议（嵌套）。传输模式为上层协议提供安全保护，通常情况下，传输模式只适用于两台主机之间的安全通信。正常情况下，传输层数据包在IP中添加一个IP头部构成IP包。启用IPSee之后，IPSee会在传输层数据前面增加AH/ESP第二者，构成一个AH/ESP数据包，然后再添加IP头部组成新的IP包。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。
2、隧道模式：保护的内容是整原始IP包。为IP协议提供安全保护。通常情况下，只要IPSec双方有一方是安全网关，就必须使用隧道模式。路由器对需要进行IPSec保护的原始IP包看作一个整体，作为要保护的内容，前面加上AH/ESP头部，再必须使用隧道模式。路由器对需要进行IPSec保护的原始IP包看作一个整体，作为要保护的内容，前面加上AH/ESP头，再添加新的IP头部，组成新的IP包。隧道模式的数据包有两个IP头；内部头由路由器背后的主机创建，外部头由提供IPSec的设备（主机/路由器）创建。通信终点由受保护的内部头指定，而IPSec终点则由外部头指定。

略