MPLS VPN解决方案如何保证安全

用户在使用MPLS VPN网络最关心的一个问题是MPLS VPN的安全问题，那MPLS VPN解决方案如何保证安全呢，下面我们一起来探讨。

　　(1)MPLS VPN的安全保护

　　互联网VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。在MPLS VPN网络中，使用标签形式进行报文的转发，具有和ATM/FR虚电路相同的安全级别，可以保证通常应用的数据安全。

　　在安全性要求很高的场合可以应用加密隧道则进一步保护了数据的私有性、完整性，使数据在网上传送而不被非法窥视与篡改。

　　例如用户VPN中的用户需要有很重要数据通过VPN网络发送，可以通过IPSEC配置加密隧道选择性传送，加密隧道可以在用户路由器CE设备及其以下设备上配置。

　　(2) 访问Internet的安全防范

　　1、地址转换

　　发地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络不可能穿过地址代理来直接访问内部网络。

　　支持带访问控制列表的地址转换。通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法IP地址资源。

　　2、包过滤技术

　　IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性：

　　IP的源、目的地址及协议域;

　　TCP或UDP的源、目的端口;

　　ICMP码、ICMP的类型域;

　　TCP的标志域

　　表示请求连接的单独的SYN

　　表示连接确认的SYN/ACK

　　表示正在使用的一个会话连接

　　表示连接终断的FIN

　　由这些域的各式各样的组合形成不同的规则。比如，要禁止从主机1.1.1.1到主机 2.2.2.2的FTP连接，包过滤可以创建这样的规则用于丢弃相应的报文：

　　IP目的地址 = 2.2.2.2

　　IP源地址 = 1.1.1.1

　　IP的协议域 = 6 (TCP)

　　目的端口 = 21 (FTP)

　　其他的域一般情况下不用考虑。

　　Qudiway 支持基于接口的包过滤，即可以在一个接口的进出两个方向上对报文进行过滤。

　　同时支持基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如可设置每周一的8：00至20：00允许FTP报文，而其余时间则禁止FTP连接。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。使用包过滤防火墙规则，可以根据网络的特点和数据包经过网络的特点，灵活的设计不同的安全规则，来保护网络的安全。

　　在MPLSVPN解决方案中，包过滤防火墙可以设置在各个业务VPN的出口，也可以设置在整个企业网的出口，在拒绝互通的不同应用共同访问的资源出口节点设置包过滤策略是非常必要的。

　　(3) 防火墙的安全保护

　　防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征：

　　经过防火墙保护的网络之间的通信必须都经过防火墙。

　　只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。

　　防火墙本身必须具有很强的抗攻击、渗透能力。

　　防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口(如Ethernet、Token Ring、FDDI)，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。

　　由于防火墙具有的特性，防火墙可以设置在私有网络的边界出。例如Internet的出口处、重要内部局域网的出口处等。这样可以更大的程度上保护这些私有网络的安全。

　　总而言之，MPLS VPN首先链路有一定的安全性，其次其可以通过IPsec VPN加强安全，最后可以通过配置防火墙稳固安全，如果你有更好的建议，可以提出，我们可以一起探讨。