目前對(duì)于邊緣路由器的應(yīng)用也很廣泛，同時(shí)其中也存在很多問(wèn)題，于是我研究了一下邊緣路由器中基于MPLS的VPN技術(shù)的安全性，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。如果企業(yè)部署了基于多協(xié)議標(biāo)簽交換（MPLS）的管理式虛擬專用網(wǎng)（VPN）服務(wù)，不但能得到優(yōu)質(zhì)的服務(wù)，使成本大大降低，還能享受到與幀中繼和ATM技術(shù)同等的安全性。正如思科建議的和CiscoPoweredNetwork服務(wù)供應(yīng)商實(shí)施的那樣，供應(yīng)商MPLS網(wǎng)絡(luò)的良好設(shè)計(jì)和部署將能夠防范或杜絕拒絕服務(wù)（DoS）和欺詐等常見(jiàn)攻擊。

人們對(duì)MPLS技術(shù)的安全性存在幾個(gè)誤解。最大的誤解是：基于IP的MPLS不安全。事實(shí)上，為增強(qiáng)安全性，MPLS為本地IP網(wǎng)絡(luò)增加了很多功能，包括路徑隔離、數(shù)據(jù)隔離、分組過(guò)濾和網(wǎng)絡(luò)隱藏機(jī)制等。

另一個(gè)誤解是，服務(wù)供應(yīng)商客戶相互之間可以侵入到對(duì)方的VPN中。事實(shí)上，這是根本不可能的，因?yàn)椴煌蛻舻腗PLSVPN是完全隔離的。第三個(gè)誤解是，MPLSVPN容易遭受外部DoS攻擊。這也是不對(duì)的。純MPLSVPN網(wǎng)絡(luò)是非常安全的。如果供應(yīng)商邊緣路由器只提供VPN接入，同時(shí)提供互聯(lián)網(wǎng)接入的MPLS核心也可以有效防止DoS攻擊。另一個(gè)常見(jiàn)問(wèn)題是，即使為VPN服務(wù)使用了專用的供應(yīng)商邊緣路由器，也容易遭受DoS攻擊。雖然理論上正確，但實(shí)際使用中從未遇到這個(gè)問(wèn)題，因?yàn)樵谑褂弥泻苋菀装l(fā)現(xiàn)并斷開(kāi)與入侵者的連接。

不需要修改地址

管理式VPN服務(wù)不需要對(duì)企業(yè)的內(nèi)部網(wǎng)、臺(tái)式機(jī)或服務(wù)器作較大的改動(dòng)。多數(shù)企業(yè)都采用了專用IP定址計(jì)劃。基于成本和安全原因，企業(yè)希望在移植到管理式IPVPN服務(wù)的共享網(wǎng)絡(luò)環(huán)境時(shí)沿用原來(lái)的計(jì)劃。MPLS允許不同的VPN使用相同的地址空間（RFC1918）。由于為每條IPv4路徑添加了64位路徑標(biāo)識(shí)符，因此，即使是共用地址，在MPLS核心中也是唯一的。每個(gè)VPN客戶和MPLS核心本身都可以完全獨(dú)立地使用整個(gè)IPv4地址空間。

路由和數(shù)據(jù)分離

MPLS通過(guò)兩種方式實(shí)現(xiàn)路由分離。第一種方式是將每個(gè)VPN分配到虛擬路由和轉(zhuǎn)發(fā)（VRF）實(shí)例。供應(yīng)商邊緣路由器上的每個(gè)VRF只保留某個(gè)VPN的路徑，保留時(shí)可以使用靜態(tài)配置的路徑，也可以使用供應(yīng)商邊緣與客戶機(jī)邊緣路由器之間運(yùn)行的路由協(xié)議。第二種方式是為多協(xié)議邊緣網(wǎng)關(guān)協(xié)議（BGP）添加唯一VPN標(biāo)識(shí)符，例如路徑辨別符。多協(xié)議BGP在相關(guān)的供應(yīng)商邊緣路由器之間交換VPN路徑，并將路由信息保存在VPN專用的VRF中。對(duì)于每個(gè)VPN來(lái)講，MPLS網(wǎng)絡(luò)上的路由是相互分離的。

MPLSVPN通過(guò)IPVPN轉(zhuǎn)發(fā)表的分離而實(shí)現(xiàn)第三層數(shù)據(jù)分離。服務(wù)供應(yīng)商核心內(nèi)的轉(zhuǎn)發(fā)基于標(biāo)記。MPLS將設(shè)置供應(yīng)商邊緣路由器開(kāi)始和結(jié)束的標(biāo)記交換路徑（LSP）。分組只能通過(guò)與該VPN相關(guān)的供應(yīng)商邊緣路由器接口進(jìn)入VPN，而且由接口確定路由器應(yīng)該使用哪個(gè)轉(zhuǎn)發(fā)表。這種地址計(jì)劃、路徑和數(shù)據(jù)的分離能夠幫助MPLSVPN實(shí)現(xiàn)與幀中繼或ATMVPN相當(dāng)?shù)陌踩浴?/P>

隱藏核心

將MPLS核心網(wǎng)絡(luò)對(duì)外隱藏起來(lái)，能夠增加攻擊的難度。MPLS隱藏核心的方法是對(duì)分組進(jìn)行過(guò)濾，以及不在邊緣以外顯示網(wǎng)絡(luò)信息。分組過(guò)濾能防止向外暴露VPN客戶的內(nèi)部網(wǎng)絡(luò)信息或MPLS核心。由于只有供應(yīng)商邊緣路由器包含VPN專用信息，因而并不需要顯示內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔ⅰ７?wù)供應(yīng)商只需按照供應(yīng)商邊緣和客戶邊緣之間的動(dòng)態(tài)路由協(xié)議的要求，顯示供應(yīng)商邊緣路由器的地址即可。

在動(dòng)態(tài)提供路徑的情況下，如果客戶VPN必須向MPLS網(wǎng)絡(luò)公開(kāi)其路徑，也不會(huì)降低網(wǎng)絡(luò)安全性，因?yàn)楹诵闹涣私饩W(wǎng)絡(luò)路徑，而不了解具體主機(jī)的路徑。由于供應(yīng)商網(wǎng)絡(luò)不向第三方或互聯(lián)網(wǎng)顯示地址信息，因此，MPLSVPN環(huán)境完全能夠阻擋住攻擊者發(fā)動(dòng)的攻擊。在提供共享互聯(lián)網(wǎng)接入的VPN服務(wù)中，服務(wù)供應(yīng)商可以利用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）宣布路徑。即使使用這種方法，向互聯(lián)網(wǎng)公開(kāi)的信息量也不會(huì)高于典型的互聯(lián)網(wǎng)接入服務(wù)。

阻擋攻擊

為防止路由器遭受攻擊，服務(wù)供應(yīng)商將對(duì)分組進(jìn)行過(guò)濾，并隱藏地址。訪問(wèn)控制列表（ACL）只包含從客戶邊緣路由器到路由協(xié)議端口的接入。外部黑客的慣用方法是，先穿過(guò)MPLS核心，然后直接攻擊供應(yīng)商邊緣路由器，或者攻擊MPLS信令機(jī)制，最終攻入第3層VPN。對(duì)路由器進(jìn)行適當(dāng)?shù)呐渲每梢酝瑫r(shí)防止這兩種攻擊。雖然設(shè)備地址不對(duì)外公開(kāi)，但內(nèi)部黑客可以猜測(cè)。MPLS地址分離機(jī)制認(rèn)為向內(nèi)傳輸?shù)姆纸M屬于VPN客戶的地址空間，由于邏輯上不可見(jiàn)，因而黑客不可能通過(guò)地址猜測(cè)攻入核心路由器。

通過(guò)路由配置，服務(wù)供應(yīng)商可以防止黑客直接攻擊供應(yīng)商邊緣路由器上的已知對(duì)等接口。靜態(tài)路由是最安全的方法。在這種情況下，供應(yīng)商邊緣路由器將拒絕動(dòng)態(tài)路由請(qǐng)求。靜態(tài)路由指向供應(yīng)商邊緣路由器的IP地址，或者客戶邊緣路由器的接口。當(dāng)路由指向接口時(shí)，客戶邊緣路由器不需要知道核心網(wǎng)絡(luò)中的任何IP地址，甚至不需要知道供應(yīng)商邊緣路由器的地址。