MPLS解決方案如何保證安全

用戶在使用MPLS VPN網絡最關心的一個問題是MPLS VPN的安全問題☂，那MPLS VPN解決方案如何保ꦿ證安全呢，下面我們一起來探討。

(1)MPLS VPN的安全保護

互聯網VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出꧃。企業必需要確保其VPN上傳送的數據不被攻擊者窺視和篡改༒，并且要防止非法用戶對網絡資源或私有信息的訪問。在MPLS VPN網絡中，使用標簽形式進行報文的轉發，具有和ATM/FR虛電路相同的安全級別，可以保證通常應用的數據安全。

在安全性要求很高的場🅷合可以應用加密隧道則進一步保護了數據的私有性、完整性，使數據在網上傳送而不被非法窺視與篡改。

例如用戶♎VPN中的ไ用戶需要有很重要數據通過VPN網絡發送，可以通過IPSEC配置加密隧道選擇性傳送，加密隧道可以在用戶路由器CE設備及其以下設備上配置。

(2) 訪問Internet的安全防范

1、地址轉換

發地址轉換，用來實現私有網絡地址與公有網絡地址之間的轉換。地址轉換的優點在于屏蔽了內部網絡的實際地址;外部網絡不可能穿過地址🌠代理來直接訪問內部網絡。

支持帶訪問控制列表的地址轉換。通過配置，用戶可以指定能夠通過地址轉換的主機，以有效地控制內部網絡對外部網絡的訪問。結合地址池，還可以支持多對多的൩地址轉換，更有效地利用用戶的合❀法IP地址資源。

2、包過濾技術

IP報文的IP🎃報🎀頭及所承載的上層協議(如TCP)報頭的每個域包含了可以由路由器進行處理的信息。包過濾通常用到IP報文的以下屬性：

IP的源、目的地址及協議域;

TCP或UDP的源、目的端口;

ICMP碼、ICMP的類型域;

TCP的標志域

表示請求連接的單獨的SYN

表示連接確認的SYN/ACK

表示正在使用的一個會話連接

表示連接終斷的FIN

由這些域的各式各樣的꧑組合形成不同的規則。比如，要禁止從主機1.1.1.1到主機 2.2.2.2的FTP連接，包過濾可以創建這樣的規則用于丟棄相應的報文：

IP目的地址 = 2.2.2.2

IP源地址 = 1.1.1.1

IP的協議域 = 6 (TCP)

目的端口 = 21 (FTP)

其他的域一般情況下不用考慮。

Qudiway 支持基于接口的包過濾，即可以在一個接口的進出兩個方向上對報文進行過濾。

同時支持基于時間段的包過濾，可以規定過濾規則發生作用的時間范圍，比如可設置每周一的8：𝔉00至20：00允許FTP報文，而其余時間則禁止FTP連接。在時間段的設置上，可以采用絕對時間段和周期時間段以及連續時間段和離散時間段配合使用，在應ꦉ用上具有極大的靈活性。使用包過濾防火墻規則，可以根據網絡的特點和數據包經過網絡的特點，靈活的設計不同的安全規則，來保護網絡的安全。

在MPLSVPN解決方案中，包過濾防火墻𒊎可以設置在各個業務VPN的出口，也可以設置在整個企業網的出🍌口，在拒絕互通的不同應用共同訪問的資源出口節點設置包過濾策略是非常必要的。

(3) 防火墻的安全保護

防火墻是保護一個網絡免受“不信任”的網絡的攻擊，但是同時還必須允許兩﷽個網絡之間可以進行合法的通信。防火墻具有如下基本特征：

經過防火墻保護的網絡之間的通信必須都經過防火墻。

只有經過各種配置的策略驗證過的合法數據包才可以通過防火墻。

防火墻本身必須具有很強的抗攻擊、滲透能力。

防火墻可以保護內部網絡的安全，可以使受保護的網絡避免遭到外部網絡的攻擊。硬件防火墻應該可以支持若干個網絡接口，這些接口都是LAN接口(如Ethernet、Token Rin🏅g、FDDI)，這些接口用來連接幾個網絡。在這些網絡中進行的連接都必須經過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾。

由于防火墻具有的特性，防火墻可以設置在私有網絡的邊界出。例如Internet的出口處、重要內部局域網的出口處等。這樣可以更大的程度上保護💝這些私有網絡的安全。

總而言🔥🔥之，MPLS VPN首先鏈路有一定的安全性，其次其可以通過IPsec VPN加強安全，最后可以通過配置防火墻穩固安全，如果你有更好的建議，可以提出，我們可以一起探討。