長期以來，大型企業(yè)的網(wǎng)絡(luò)連接主要是基于ATM/FR基于技術(shù)。ATM/FR技術(shù)可以提供高質(zhì)量的技術(shù)QoS為了保證其高安全性的連接能力，盡管該技術(shù)存在信令過程復(fù)雜、寬帶資源浪費等缺陷，但大多數(shù)網(wǎng)絡(luò)運營商和企業(yè)用戶仍在使用它。在過去的十年里，許多企業(yè)將以前基于專線連接的專業(yè)網(wǎng)絡(luò)轉(zhuǎn)移到ATM/FR這種方法可以降低基于虛擬專用網(wǎng)()的網(wǎng)絡(luò)連接成本。

用戶在使用MPLS網(wǎng)絡(luò)最關(guān)心的問題之一是網(wǎng)絡(luò)MPLS安全問題，那MPLS如何確保解決方案的安全，讓我們一起討論。

(1)MPLS的安全保護

互聯(lián)網(wǎng)直接建立在公共網(wǎng)絡(luò)上，實現(xiàn)簡單.方便.靈活，但其安全問題也更加突出。企業(yè)必須確保上傳的數(shù)據(jù)不被攻擊者窺視和篡改，并防止非法用戶訪問網(wǎng)絡(luò)資源或私人信息。MPLS在網(wǎng)絡(luò)中，報紙以標(biāo)簽的形式轉(zhuǎn)發(fā)，具有和ATM/FR虛擬電路具有相同的安全級別，可以保證常用數(shù)據(jù)的安全。

加密隧道可用于安全要求高的場合，進一步保護數(shù)據(jù)的私有性.完整性使數(shù)據(jù)在線傳輸而不被非法窺視和篡改。

例如，用戶中的用戶需要通過網(wǎng)絡(luò)發(fā)送非常重要的數(shù)據(jù)IPSEC用戶路由器可以選擇性地配置加密隧道傳輸CE配置設(shè)備及以下設(shè)備。

(2)訪問Internet的安全防范

1.地址轉(zhuǎn)換

發(fā)送地址轉(zhuǎn)換，實現(xiàn)私人網(wǎng)絡(luò)地址與公共網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點是屏蔽了內(nèi)部網(wǎng)絡(luò)的實際地址；外部網(wǎng)絡(luò)不能通過地址代理直接訪問內(nèi)部網(wǎng)絡(luò)。

支持帶訪問控制列表的地址轉(zhuǎn)換。通過配置，用戶可以指定可以通過地址轉(zhuǎn)換的主機，以有效地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。結(jié)合地址池，還可以支持多對多地址轉(zhuǎn)換，更有效地利用用戶的合法性IP地址資源。

2.包裝過濾技術(shù)

IP報文的IP報頭及上層協(xié)議(如TCP)報頭的每個域都包含了路由器可以處理的信息。通常用于包裝過濾IP以下屬性：

IP的源.目的地址和協(xié)議域

TCP或UDP的源.目的端口

ICMP碼.ICMP的類型域

TCP的標(biāo)志域

表示單獨的請求連接SYN

表示連接確認(rèn)SYN/ACK

表示正在使用的會話連接

表示連接終斷FIN

不同的規(guī)則是由這些域的各種組合形成的。例如，禁止從主機1開始.1.1.1到主機2.2.2.2的FTP連接、包過濾可以創(chuàng)建這樣的規(guī)則來丟棄相應(yīng)的報紙：

IP目的地址=2.2.2.2

IP源地址=1.1.1.1

IP的協(xié)議域=6(TCP)

目的端口=21(FTP)

一般不需要考慮其他域。

Qudiway支持基于接口的包過濾，可以在一個接口的進出兩個方向過濾報紙。

同時支持基于時間段的包裝過濾，可以規(guī)定過濾規(guī)則的時間范圍，如每周一8:00到20:00FTP其余時間禁止報文，F(xiàn)TP連接。在設(shè)置時間段時，絕對時間段、周期時間段、連續(xù)時間段和離散時間段可以一起使用，在應(yīng)用中具有很大的靈活性。使用包過濾防火墻規(guī)則，可以根據(jù)網(wǎng)絡(luò)和數(shù)據(jù)包的特點靈活設(shè)計不同的安全規(guī)則，保護網(wǎng)絡(luò)的安全。

在MPLS在解決方案中，包裝過濾防火墻可以設(shè)置在各業(yè)務(wù)的出口或整個企業(yè)網(wǎng)絡(luò)的出口中。有必要在拒絕交換的不同應(yīng)用程序的資源出口節(jié)點中設(shè)置包裝過濾策略。

(3)防火墻的安全保護

防火墻保護網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)攻擊，但也必須允許兩個網(wǎng)絡(luò)之間的合法通信。防火墻具有以下基本特征：

防火墻保護網(wǎng)絡(luò)之間的通信必須通過防火墻。

防火墻只能通過各種配置策略驗證的合法數(shù)據(jù)包。

防火墻本身必須有很強的抗攻擊性.滲透能力。

防火墻可以保護內(nèi)部網(wǎng)絡(luò)的安全，防止受保護的網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)支持多個網(wǎng)絡(luò)接口LAN接口(如Ethernet.TokenRing.FDDI)，這些接口用于連接幾個網(wǎng)絡(luò)。這些網(wǎng)絡(luò)中的連接必須由硬件防火墻和防火墻控制，并驗證連接.過濾。

由于防火墻的特點，防火墻可以設(shè)置在私人網(wǎng)絡(luò)的邊界。Internet的出口處.重要的內(nèi)部局域網(wǎng)出口等。這可以在更大程度上保護這些私人網(wǎng)絡(luò)的安全。

總而言之，MPLS首先，鏈路有一定的安全性，然后可以通過IPsec加強安全，最后通過配置防火墻穩(wěn)定安全。