MPLS组网能保证网络安全？

长期以来，大型企业的网络连接主要是基于ATM/FR基于技术。ATM/FR技术可以提供高质量的技术QoS为了保证其高安全性的连接能力，尽管该技术存在信令过程复杂、宽带资源浪费等缺陷，但大多数网络运营商和企业用户仍在使用它。在过去的十年里，许多企业将以前基于专线连接的专业网络转移到ATM/FR这种方法可以降低基于虚拟专用网()的网络连接成本。

用户在使用MPLS网络最关心的问题之一是网络MPLS安全问题，那MPLS如何确保解决方案的安全，让我们一起讨论。

(1)MPLS的安全保护

互联网直接建立在公共网络上，实现简单.方便.灵活，但其安全问题也更加突出。企业必须确保上传的数据不被攻击者窥视和篡改，并防止非法用户访问网络资源或私人信息。MPLS在网络中，报纸以标签的形式转发，具有和ATM/FR虚拟电路具有相同的安全级别，可以保证常用数据的安全。

加密隧道可用于安全要求高的场合，进一步保护数据的私有性.完整性使数据在线传输而不被非法窥视和篡改。

例如，用户中的用户需要通过网络发送非常重要的数据IPSEC用户路由器可以选择性地配置加密隧道传输CE配置设备及以下设备。

(2)访问Internet的安全防范

1.地址转换

发送地址转换，实现私人网络地址与公共网络地址之间的转换。地址转换的优点是屏蔽了内部网络的实际地址；外部网络不能通过地址代理直接访问内部网络。

支持带访问控制列表的地址转换。通过配置，用户可以指定可以通过地址转换的主机，以有效地控制内部网络对外部网络的访问。结合地址池，还可以支持多对多地址转换，更有效地利用用户的合法性IP地址资源。

2.包装过滤技术

IP报文的IP报头及上层协议(如TCP)报头的每个域都包含了路由器可以处理的信息。通常用于包装过滤IP以下属性：

IP的源.目的地址和协议域

TCP或UDP的源.目的端口

ICMP码.ICMP的类型域

TCP的标志域

表示单独的请求连接SYN

表示连接确认SYN/ACK

表示正在使用的会话连接

表示连接终断FIN

不同的规则是由这些域的各种组合形成的。例如，禁止从主机1开始.1.1.1到主机2.2.2.2的FTP连接、包过滤可以创建这样的规则来丢弃相应的报纸：

IP目的地址=2.2.2.2

IP源地址=1.1.1.1

IP的协议域=6(TCP)

目的端口=21(FTP)

一般不需要考虑其他域。

Qudiway支持基于接口的包过滤，可以在一个接口的进出两个方向过滤报纸。

同时支持基于时间段的包装过滤，可以规定过滤规则的时间范围，如每周一8:00到20:00FTP其余时间禁止报文，FTP连接。在设置时间段时，绝对时间段、周期时间段、连续时间段和离散时间段可以一起使用，在应用中具有很大的灵活性。使用包过滤防火墙规则，可以根据网络和数据包的特点灵活设计不同的安全规则，保护网络的安全。

在MPLS在解决方案中，包装过滤防火墙可以设置在各业务的出口或整个企业网络的出口中。有必要在拒绝交换的不同应用程序的资源出口节点中设置包装过滤策略。

(3)防火墙的安全保护

防火墙保护网络免受“不信任”网络攻击，但也必须允许两个网络之间的合法通信。防火墙具有以下基本特征：

防火墙保护网络之间的通信必须通过防火墙。

防火墙只能通过各种配置策略验证的合法数据包。

防火墙本身必须有很强的抗攻击性.渗透能力。

防火墙可以保护内部网络的安全，防止受保护的网络受到外部网络的攻击。硬件防火墙应支持多个网络接口LAN接口(如Ethernet.TokenRing.FDDI)，这些接口用于连接几个网络。这些网络中的连接必须由硬件防火墙和防火墙控制，并验证连接.过滤。

由于防火墙的特点，防火墙可以设置在私人网络的边界。Internet的出口处.重要的内部局域网出口等。这可以在更大程度上保护这些私人网络的安全。

总而言之，MPLS首先，链路有一定的安全性，然后可以通过IPsec加强安全，最后通过配置防火墙稳定安全。