MPLS VPN的网络安全
防火墙
数字加密

对XYZ宽带IP关键业务主机系统及相关应用服务器设置防火墙。同时为保证业务的不间断运行，还需采用两台防火墙加装专用高可用控制软件，组成计算机集群。两台主机设置相同的浮动地址，正常情况下两台防火墙不断同步自己的状态检测表，一旦某台防火墙出现故障，Cisco PIX failover会自动将它的IP地址切换到另一台防火墙上，这时，所有的业务数据流都转移到正常的防火墙上，切换时间只需数秒，能够保证业务系统连续正常运行。

Cisco PIX防火墙以及Cisco IOS防火墙特性保护重要资源免受未许可访问的入侵。许多现有的安全控制机制是建立在静态访问列表(ACL)基础之上的，ACL只能在网络层，最多在传送层进行传送监控。现在，有了关联访问控制(CBAC),动态的应用监测和控制功能得以实现。CBAC在CiscoIOS防火墙特性集中占重要地位。通过检查和跟踪应用层协议状态信息，CBAC增加了智能性。它可以根据会话状态的信息动态地创建或删除ACL条目。同时，CBAC还对信息包控制通道进行监测控制通道中的应用特定命令。这是个极为重要的功能，因为许多应用协议(如H.323,FTP,RPC等)都包括多个创建的通道，这正是控制通道中动态协商的结果。