MPLS組網能保證網絡安全？

長期以來，大型企業的網絡連接主要是基于ATM/FR基于技術。AT♛M/FR技術可以提供高質量的技術QoS為了保證其高安全性的連接能力，盡管該技術存在信令過程復雜、寬帶資源浪費等缺陷，但大多數網絡運營商和企業用戶仍在使用它。在過去的十年里，許多企業將以前基于專線連接的專業網絡轉移到ATM/FR這種方法可以降低基于虛擬𒆙專用網()的網絡連接成本。

用戶在使用MPLS網絡最關心的問題之一是網絡MPLS安全問題，那MPLS如何確保解決方案的安全，讓我們一起討論。

(1)MPLS的安全保護

互聯網直接建立在公共網絡上，實現簡單.方便.靈活，但其安全問題也更加突出。企業必須確保上傳的數據不被攻擊者窺視ꦓ和篡改，并防止非法用戶訪問網絡資源或私人信息。MPLS在網絡中，報紙以標簽的形式轉發，具有和ATM/FR虛擬電路具有相同的安全級別，可以保證常用數據的安全。

加密隧道可用于安全要求高的場合，進一步保護數據的私有性.完整性使數據在線傳輸而不被非法窺視和篡改。

例如，🦋用戶中的用戶需要通過網絡發送非常重要的數據IPSEC用戶路由器可以選擇性地配꧑置加密隧道傳輸CE配置設備及以下設備。

(2)訪問Internet的安全防范

1.地址轉換

發送地址轉換，實現私人網絡地址與公共網絡地址之間的轉換。地址轉換的優點是屏ꦆ蔽了內部網絡的實際地址；外部網絡不能通過地址代理直♏接訪問內部網絡。

支持帶訪問控制列表的地址轉換。通過配置，用戶可以指定可以通過地址轉換的主機，以有效地控制內部網絡對外部網絡的訪問。結合地址池，還可🍬以支持多對多地址轉換，更有效地利用用戶的合法性IP地址資源。

2.包裝過濾技術

IP報文的IP報頭及上層協議(如TCPᩚᩚᩚᩚᩚᩚ⁤⁤⁤⁤ᩚ⁤⁤⁤⁤ᩚ⁤⁤⁤⁤ᩚ𒀱ᩚᩚᩚ)報頭的每個域都包含了路由器可以處理的信息。通常用于包裝過濾I💝P以下屬性：

IP的源.目的地址和協議域

TCP或UDP的源.目的端口

ICMP碼.ICMP的類型域

TCP的標志域

表示單獨的請求連接SYN

表示連接確認SYN/ACK

表示正在使用的會話連接

表示連接終斷FIN

不同的規則是由這些域的各種🐎組合形成的ꦫ。例如，禁止從主機1開始.1.1.1到主機2.2.2.2的FTP連接、包過濾可以創建這樣的規則來丟棄相應的報紙：

IP目的地址=2.2.2.2

IP源地址=1.1.1.1

IP的協議域=6(TCP)

目的端口=21(FTP)

一般不需要考慮其他域。

Qudiway支持基于接口的包過濾，可以在一個接口的進出兩個方向過濾報紙。

同時支持基💙于時間段的包裝過濾，可以規定過濾規則的時間范圍，如每周一8:00到20:00FTP其余時間禁止報文，FTP連接。在設置時間段時，絕對時間段、周期時間段、連續時間段和離散時間段可以一起使用，在應用中具有很大的靈活性。使用包過濾防🌺火墻規則，可以根據網絡和數據包的特點靈活設計不同的安全規則，保護網絡的安全。

在MPLS在解決方案中，包裝過🐼濾防火墻可以設置在各業務的出口或整個企業網絡的出口中。有必要在拒絕交換的不同應🌞用程序的資源出口節點中設置包裝過濾策略。

(3)防火墻的安全保護

防火墻保護網絡免受“不信任”網絡攻擊，但也必須允許兩個網絡之間的合法通信。防火墻具有以下基本特征：

防火墻保護網絡之間的通信必須通過防火墻。

防火墻只能通過各種配置策略驗證的合法數據包。

防火墻本身必須有很強的抗攻擊性.滲透能力。

防火墻可以保護內部網絡的安全，防止受保護的網絡受到外部網絡的攻擊。硬件防火墻應支持多個網絡接口LAN接口(如Ethernet.Token🧸Ring.FDDI)，這些接口用于連接幾個網絡。這些網絡中的連接必須由硬件防火墻和防火墻控制，并驗證連接.過濾。

由于防火墻的特點，防火墻可以設置在私人網絡的邊界。Int🐟ernet的出口處.重要的內🧸部局域網出口等。這可以在更大程度上保護這些私人網絡的安全。

總而言之，MPLS首先，鏈路有一定的安全性，然后可以通過I❀Psec加強安全，最后通過配置防火墻穩定安全。