用戶在使用MPLS VPN網(wǎng)絡(luò)最關(guān)心的一個問題是MPLS VPN的安全問題，那MPLS VPN解決方案如何保證安全呢，下面我們一起來探討。

(1)MPLS VPN的安全保護

互聯(lián)網(wǎng)VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。在MPLS VPN網(wǎng)絡(luò)中，使用標(biāo)簽形式進行報文的轉(zhuǎn)發(fā)，具有和ATM/FR虛電路相同的安全級別，可以保證通常應(yīng)用的數(shù)據(jù)安全。

在安全性要求很高的場合可以應(yīng)用加密隧道則進一步保護了數(shù)據(jù)的私有性、完整性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。

例如用戶VPN中的用戶需要有很重要數(shù)據(jù)通過VPN網(wǎng)絡(luò)發(fā)送，可以通過IPSEC配置加密隧道選擇性傳送，加密隧道可以在用戶路由器CE設(shè)備及其以下設(shè)備上配置。

(2) 訪問Internet的安全防范

1、地址轉(zhuǎn)換

發(fā)地址轉(zhuǎn)換，用來實現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實際地址;外部網(wǎng)絡(luò)不可能穿過地址代理來直接訪問內(nèi)部網(wǎng)絡(luò)。

支持帶訪問控制列表的地址轉(zhuǎn)換。通過配置，用戶可以指定能夠通過地址轉(zhuǎn)換的主機，以有效地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。結(jié)合地址池，還可以支持多對多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。

2、包過濾技術(shù)

IP報文的IP報頭及所承載的上層協(xié)議(如TCP)報頭的每個域包含了可以由路由器進行處理的信息。包過濾通常用到IP報文的以下屬性：

IP的源、目的地址及協(xié)議域;

TCP或UDP的源、目的端口;

ICMP碼、ICMP的類型域;

TCP的標(biāo)志域

表示請求連接的單獨的SYN

表示連接確認(rèn)的SYN/ACK

表示正在使用的一個會話連接

表示連接終斷的FIN

由這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機1.1.1.1到主機 2.2.2.2的FTP連接，包過濾可以創(chuàng)建這樣的規(guī)則用于丟棄相應(yīng)的報文：

IP目的地址 = 2.2.2.2

IP源地址 = 1.1.1.1

IP的協(xié)議域 = 6 (TCP)

目的端口 = 21 (FTP)

其他的域一般情況下不用考慮。

Qudiway 支持基于接口的包過濾，即可以在一個接口的進出兩個方向上對報文進行過濾。

同時支持基于時間段的包過濾，可以規(guī)定過濾規(guī)則發(fā)生作用的時間范圍，比如可設(shè)置每周一的8：00至20：00允許FTP報文，而其余時間則禁止FTP連接。在時間段的設(shè)置上，可以采用絕對時間段和周期時間段以及連續(xù)時間段和離散時間段配合使用，在應(yīng)用上具有極大的靈活性。使用包過濾防火墻規(guī)則，可以根據(jù)網(wǎng)絡(luò)的特點和數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)的特點，靈活的設(shè)計不同的安全規(guī)則，來保護網(wǎng)絡(luò)的安全。

在MPLSVPN解決方案中，包過濾防火墻可以設(shè)置在各個業(yè)務(wù)VPN的出口，也可以設(shè)置在整個企業(yè)網(wǎng)的出口，在拒絕互通的不同應(yīng)用共同訪問的資源出口節(jié)點設(shè)置包過濾策略是非常必要的。

(3) 防火墻的安全保護

防火墻是保護一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信。防火墻具有如下基本特征：

經(jīng)過防火墻保護的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。

只有經(jīng)過各種配置的策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。

防火墻本身必須具有很強的抗攻擊、滲透能力。

防火墻可以保護內(nèi)部網(wǎng)絡(luò)的安全，可以使受保護的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個網(wǎng)絡(luò)接口，這些接口都是LAN接口(如Ethernet、Token Ring、FDDI)，這些接口用來連接幾個網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進行的連接都必須經(jīng)過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾。

由于防火墻具有的特性，防火墻可以設(shè)置在私有網(wǎng)絡(luò)的邊界出。例如Internet的出口處、重要內(nèi)部局域網(wǎng)的出口處等。這樣可以更大的程度上保護這些私有網(wǎng)絡(luò)的安全。

總而言之，MPLS VPN首先鏈路有一定的安全性，其次其可以通過IPsec VPN加強安全，最后可以通過配置防火墻穩(wěn)固安全，如果你有更好的建議，可以提出，我們可以一起探討。