互联网VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。在MPLS VPN网络中,使用标签形式进行报文的转发,具有和ATM/FR虚电路相同的安全级别,可以保证通常应用的数据安全。
在安全性要求很高的场合可以应用加密隧道则进一步保护了数据的私有性、完整性,使数据在网上传送而不被非法窥视与篡改。
例如VPN中的用户需要有很重要数据通过VPN网络发送,可以通过IPSEC配置加密隧道选择性传送,加密隧道可以在用户路由器CE设备及其以下设备上配置。
发地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络不可能穿过地址代理来直接访问内部网络。
支持带访问控制列表的地址转换。通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性:
IP的源、目的地址及协议域;
TCP或UDP的源、目的端口;
ICMP码、ICMP的类型域;
TCP的标志域;
表示请求连接的单独的SYN;
表示连接确认的SYN/ACK;
表示正在使用的一个会话连接;
表示连接终断的FIN;
由这些域的各式各样的组合形成不同的规则。比如,要禁止从主机1.1.1.1到主机 2.2.2.2的FTP连接,包过滤可以创建这样的规则用于丢弃相应的报文:
IP目的地址 = 2.2.2.2;
IP源地址 = 1.1.1.1;
IP的协议域 = 6 (TCP);
目的端口 = 21 (FTP);
其他的域一般情况下不用考虑。
Qudiway 支持基于接口的包过滤,即可以在一个接口的进出两个方向上对报文进行过滤。
同时支持基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比如可设置每周一的8:00至20:00允许FTP报文,而其余时间则禁止FTP连接。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上具有极大的灵活性。使用包过滤防火墙规则,可以根据网络的特点和数据包经过网络的特点,灵活的设计不同的安全规则,来保护网络的安全。
在MPLS vpn解决方案中,包过滤防火墙可以设置在各个业务VPN的出口,也可以设置在整个企业网的出口,在拒绝互通的不同应用共同访问的资源出口节点设置包过滤策略是非常必要的。
防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:
1 经过防火墙保护的网络之间的通信必须都经过防火墙。
2 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。
3 防火墙本身必须具有很强的抗攻击、渗透能力。
防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。
由于防火墙具有的特性,防火墙可以设置在私有网络的边界处。例如Internet的出口处、重要内部局域网的出口处等。这样可以更大的程度上保护这些私有网络的安全。
总而言之,MPLS VPN首先链路有一定的安全性,其次其可以通过IPsec VPN加强安全,最后可以通过配置防火墙稳固安全。
1 成本低
MPLS简化了ATM与IP的集成技术,使L2和L3技术有效地结合起来,降低了成本,减少了用户的前期投资。
2 资源利用率高
由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
3 网络速度稳定可靠
由于使用标签交换,缩短了每一跳过程中地址搜索的时间,减少了数据在网络传输中的时间,提高了网络速度。
4 组网灵活,可拓展性强
由于MPLS使用的是ANY TO ANY的连接,提高了网络的灵活性和可扩展性。灵活性方面,可以制订特殊的控制策略,满足不同用户的特殊需求,实现增值业务。扩容性包括:一方面网络中可以容纳的VPN数目更大;另一方面,在同一VPN中的用户很容易扩充。
5 使用方便
MPLS技术将被更广泛地应用在各个运营商的网络当中,这会对企业用户建立全球的VPN带来极大的便利。
6 安全性高
采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
7 业务综合能力强
网络能够提供数据、语音、视频相融合的能力。
8 MPLS的QoS保证
用户可以根据自己不同的业务需求,通过在CE侧的配置,来赋予不同的QOS等级。通过这种QOS技术,既保证了网络的服务质量,又降低了用户的成本。
9 适用于较大的企事业单位
适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如互联网企业、电商行业、网络公司、IT公司、金融业、贸易行业、物流行业等。
下一篇:企业全球分部VPN网络互联方案