少女时代mini四辑:IPSEC的两种工作模式是什么?

IPSEC Services和你的上网没多少联系，只和安全有关。
如果是精简系统，无论禁止或删除这项服务都是可以的

附录：
IPSec协议概述
IPSec是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。
IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。
1)保证Internet上各分支办公点的安全连接：公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络，而只需依托Internet即可以获得同样的效果。
2)保证Internet上远程访问的安全：在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
3)通过外部网或内部网建立与合作伙伴的联系：IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。
4)提高了电子商务的安全性：尽管在电子商务的许多应用中已嵌入了一些安全协议，IPSec的使用仍可以使其安全级别在原有的基础上更进一步，因为所有由网络管理员指定的通信都是经过加密和认证的。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。
IPSec的优点
IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。
如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。
IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为，关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全，IPSec必须成为配置在所有相关平台（包括Windows NT，Unix和Macintosh系统）的网络代码中的一部分。
实际上，现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的功能，这也正是IPSec所提供的。
IPSec的实现方式
IPSec的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。
IPSec数据包可以在压缩原始IP地址和数据的隧道模式使用。
传输模式通常当ESP在一台主机（客户机或服务器）上实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
ESP 支持传输模式，这种方式保护了高层协议。传输模式也保护了IP包的内容，特别是用于两个主机之间的端对端通讯（例如，客户与服务器，或是两台工作站）。传输模式中的ESP加密及有时候会认证IP 包内容，但不认证IP的包头。这种配置对于装有IPSec的小型网络特别有用。
但是，要全面实施VPN，使用隧道模式会更有效。ESP也支持隧道模式，保护了整个IP包。为此，IP包在添加了ESP字段后，整个包以及包的安全字段被认为是新的IP包外层内容，附有新的IP外层包头。原来的（及内层）包通过“隧道”从一个IP网络起点传输到另一个IP网点，中途的路由器可以检查IP的内层包头。因为原来的包已被打包，新的包可能有不同的源地址及目的地址，以达到安全的目的。
隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的路由器或防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec 也能安全地通信。这些主机所生成的未加保护的网包，经过外网，使用隧道模式的安全组织规定（即SA，发送者与接收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数）传输。
以下是隧道模式的IPSec运作的例子。某网络的主机甲生成一个IP包，目的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。防火墙把所有出去的包过滤，看看有哪些包需要进行IPSec的处理。如果这个从甲到乙的包需要使用IPSec，防火墙就进行IPSec的处理，并把网包打包，添加外层IP包头。 这个外层包头的源地址是防火墙，而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送到主机乙的防火墙，中途的路由器只检查外层的IP包头。主机乙网络的防火墙会把外层IP包头除掉，把IP内层发送到主机去。