基于多協(xié)議標簽交換的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn).pdf

1、VPN（虛擬專用網(wǎng)絡(luò)）實例間隔離性出色是MPLS（多協(xié)議標簽交換）網(wǎng)絡(luò)的一個重要特點，也正是由于這一優(yōu)勢，在最近幾年，不同企業(yè)甚至不同行業(yè)間，均廣泛采用這一網(wǎng)絡(luò)。然而，VPN實例內(nèi)的安全性問題卻沒有進行充分的考慮。當前階段中，通常將安全設(shè)備安裝在MPLS VPN的網(wǎng)絡(luò)邊緣處，也就是CE（用戶邊緣）設(shè)備部位，以達到保護的效果。然而，在網(wǎng)絡(luò)的分支機構(gòu)比較復(fù)雜的情況下，CE設(shè)備也通常會隨之增加，在這種情況下，利用這一方式通常需要支付較高的成本

2、，而且不利于整網(wǎng)的實用性，同時，在后續(xù)維護和管理中也會帶來較大的困難。因此，設(shè)計一個既能有效地針對MPLS VPN實例進行安全防護又能節(jié)省工程成本的安全解決方案非常有必要。
　　本文描述了如何在BGP/MPLS VPN網(wǎng)絡(luò)環(huán)境中的P（服務(wù)提供商）設(shè)備旁掛UTM（統(tǒng)一威脅管理）設(shè)備，實現(xiàn)對MPLS VPN實例的安全防護，打破了目前常規(guī)的在MPLS VPN網(wǎng)絡(luò)邊緣處部署安全設(shè)備進行防護的做法。文中對系統(tǒng)需求進行詳細分析，定義了系統(tǒng)設(shè)計

3、目的、設(shè)計原則、用戶角色、業(yè)務(wù)流程、功能性及非功能性需求，從原理出發(fā)設(shè)計了系統(tǒng)的實施環(huán)境，并對主要的幾個原理進行詳細解釋，在之后的系統(tǒng)實現(xiàn)和測試中取得了預(yù)期的測試結(jié)果。文中首次提出利用BGP（邊界網(wǎng)關(guān)協(xié)議）路由協(xié)議的local-pref屬性，實現(xiàn)MPLS VPN報文的引流、回注，同時利用路由策略防止環(huán)路的出現(xiàn)以及多個分支機構(gòu)互訪帶來的各種問題，并在UTM設(shè)備上開啟IPS（入侵防御系統(tǒng)）、AV（反病毒）防護，實現(xiàn)整網(wǎng)的可用性和安全性的平衡