对于要接入Internet的VPN也可以采用同样的方式：来自Internet VRF路由表（缺省路由表）的路由发布到准备接入Internet的VPN的VRF路由表中，这时，该VPN与Internet之间必须使用经过注册的Internet IP地址。
　　
　　3．防火墙
　　
　　（1）VPN间防火墙
　　
　　企业之间往来密切时，它们之间需要进行VPN之间的通信，这时就有了VPN连接。但在多数情况下，企业仍有可能希望保持与互连企业间逻辑上的独立性。为了实现这一目的，可以在两个VPN之间配置防火墙，此时的防火墙在SP处管理，而不在企业内。
　　
　　要通过防火墙连接两个VPN，必须在PE路由器上为每个VPN增加一个接口，用于连接防火墙（如图3所示）。这样，从VPN A路由器到VPN B的数据包到达PE路由器后，由于PE到VPN B的路由指向与防火墙相连的接口，因此，数据包将穿过防火墙，并通过另一个接口（属于VPN B的接口）回到PE路由器。
　　
　　由于交换机不提供流量的独立性，因此，如果防火墙的两个接口要连接交换机，则最好使用两台交换机分别连接防火墙的两个接口；如果只能连接在同一个交换机上，必须在防火墙的两边使用不同的VLAN。
　　
　　（2）Internet防火墙
　　
　　连接到其他SP的PE路由器必须通过防火墙实现与其他SP的互联互通。如果一个防火墙可能用于所有VPN（共享防火墙），则PE路由器通过这一道防火墙完成与其他SP的互连，PE路由器在缺省VRF路由表中维护Internet路由，Internet路由被发布到需要Internet接入的VPN VRF表中，而各VPN的路由则被发布到PE路由器的缺省VRF表中，并进而通过防火墙发布到Internet中。需要接入Internet的VPN必须使用经过注册的IP地址。
　　
　　图4为通过防火墙接入Internet的一种情况，Internet路由表被看作另外一个VPN，而与其他VPN的连接需要通过一个外置的防火墙。
　　
　　如果所有VPN必须通过同一个防火墙，其安全策略必须完全相同。如果要为每个VPN配置个性化的安全策略，则必须为每个VPN配置独立的防火墙，PE路由器也要为每个VPN增加一个接口，在防火墙之外，这些连接又可以汇总到一个路由器中，再通过同一台路由器连接其他SP。
　　
　　（3）CE防火墙
　　
　　对于庞大的网络，安全管理较难，这时，可对网络加以分割。越来越多的企业正在用防火墙来分割不同的分支机构，以保证内部网络的安全性。
　　
　　在分割企业网并在MPLS网络中作为一个VPN时，在每个CE路由器上放置一道防火墙可以使整个网络更易于管理。这时，办公室以外的所有设备都被视为不可信任，即使来自本公司其他部门的流量也同样需要进行安全检查。
　　
　　4．IPSec与MPLS结合
　　
　　在MPLS网上运行IPSec，通过数据加密和头部鉴权（AH），可提供额外的系统安全，即使来自MPLS网络内部的攻击也无法破坏VPN的安全性。
　　
　　IPSec可以运行在CE路由器或远离核心网的设备上，如果CE路由器在用户的控制之中，IPSec将是非常好的选择；如果CE属于SP的管理范围，那么用户就必须确定是否信任SP，决定IPSec是运行在CE上还是在SP的范围之外增加其他IPSec设备。