【正确答案】IPSec有两种工作方式：传输方式(Transport Mode)和隧道模式(TunnelMode)，AH和ESP均可应用于这两种方式。传输方式通常应用于主机之间端对端通信，该方式要求主机支持IPSec。隧道方式应用于网关模式中，即在主机的网关(防火墙、路由器)上加载IPSec，这个网关就同时升级为安全网关(Security Gatewayr，SG)。
   传输模式主要为上层协议提供保护，AH或ESP包头插入在IP包头和运输层协议包头之间。传输模式下ESP并没有对IP包头加密处理，源、目的IP地址内容是可见的，而AH认证的是整个IP头，完整性保护强于ESP。
   在隧道方式下，整个IP包都封装在一个新的IP包中，并在新的IP包头和原来的IP包头之间插入IPSec头(AH/ESP)。在隧道模式下，如果应用了ESP，原始IP包头是加密的，真正的源、目的IP地址是隐藏的，新IP头中指定的源、目的IP地址一般是源、目的安全网关的地址。