AH定义于RFC2402中。该协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，与ESP协议相比，AH不提供对通信数据的加密服务，同样提供对数据的验证服务，但能比ESP提供更加广的数据验证服务，如图2所示：

　　它对整个IP数据包的内容都进行了数据完整性验证处理。在SA中定义了用来负责数据完整性验证的验证算法（即散列算法，如AH－MD5－HMAC、AH－SHA－HMAC）来进行这项服务。

　　AH和ESP都提供了一些抗重播服务选项，但是否提供抗重播服务，则是由数据包的接收者来决定的。

　　HiPER系列VPN安全网关设计支持L2TP，PPTP和IPSec，支持和多种设备在Internet上建立VPN，隧道连接了两个远端局域网，每个局域网上的用户都可以访问另一个局域网网上的资源：对方的设备可以使用如Windows 2000　服务器、Cisco PIX、华为Quidway 等路由器，netscreen、fortigate设备等其他支持标准的VPN网络设备。

　　除了以上介绍的隧道技术以外，作为一个网关的IP VPN安全网关还有以下特点，如备份技术，流量控制技术，包过滤技术，网络地址转换技术，抗击打能力和网络监控和管理技术等。

　　三、使用HiPER系列VPN安全网关的安全解决方案
　　根据上面所述的路由器安全特性设计的要求，HiPER系列VPN安全网关提供了各种网络安全解决方案，以适应不同的应用需求，包括：
　　·电子政务的VPN联网
　　·和Internet的安全互联
　　·通过Internet构建VPN
　　·电子商务应用
　　·教育系统校校通的应用

　　1．和Internet的安全互联

　　HiPER系列VPN安全网关提供了和Internet安全互联的解决方案，HiPER VPN
　　安全网关主要是通过基于访问列表的包过滤和网络地址转换，实现以下的功能：
　　·基于接口的包过滤
　　·可以通过对访问列表中时间段参数的设置，实现对与时间相关的访问管理。
　　·网管软件可以监控网络运行情况，以便用户的管理和控制。
　　·外部主机无法直接访问内部服务器。外部主机A无法通过内部服务器的实际地址来访问它，而外部主机B则可以通过路由器设置的虚拟地址来访问内部服务器，这样就可以在一定程度上保护内部服务器。这是通过网络地址转换来实现的，若同时配置了带访问列表的网络地址转换，则还可以限制外部主机对内部服务器的服务访问类型（如HTTP、FTP等）。
　　·内部主机可以路由器的管理下访问外部Server，在屏蔽内部网络地址信息的同时，还加强了对内部主机的管理。

　　2．通过Internet构建VPN
　　HiPER系列VPN安全网关通过Internet构建VPN的方案如图4。