一體化手段破解VoIP安全難題

用老辦法解決新問(wèn)題

　　VoIP面臨的安全威脅類(lèi)型和大多數互聯(lián)網(wǎng)應用一樣，所以從這個(gè)角度來(lái)說(shuō)，人們可以把防護其他應用安全的措施轉移到VoIP系統中來(lái)。比如在IP傳輸層使用防火墻，用IPS/IDS解決方案進(jìn)行更深入的分析，使用應用程序或者協(xié)議分析器等。

　　可喜的是目前流行的防火墻在最新的發(fā)布版本中都有VoIP功能。這對VoIP安全程度的提高大有幫助。當然，要保障VoIP的安全，僅僅把原來(lái)的安全措施遷移過(guò)來(lái)還不夠，需要針對VoIP自身的特點(diǎn)進(jìn)行優(yōu)化。{{分頁(yè)}}

　　普遍意義上說(shuō)為了企業(yè)VoIP系統的安全，可以采取下面幾種手段：保護賬戶(hù)安全，在建立和升級賬戶(hù)過(guò)程中，為用戶(hù)提供的資源應當通過(guò)具有可靠的認證機制的加密隧道進(jìn)行；保護網(wǎng)絡(luò )安全，最好讓語(yǔ)音適配器能夠與已有的防火墻/路由器保持同步；保護呼叫安全，挑選包含VPN功能的設備；保證服務(wù)鏈的安全。

　　對于如何解決VoIP的安全問(wèn)題，專(zhuān)業(yè)廠(chǎng)商也推出了自己的解決方案。

　　阿爾卡特朗訊的IP語(yǔ)音通信系統——OmniPCX

　　Enterprise交換機已經(jīng)內置了安全防護系統。主要采用如下手段：削減Linux標準版操作系統中與IP語(yǔ)音通信無(wú)關(guān)的部分(非必要部分)，把500M源代碼削減至70M；縮減Linux分布式系統所需的TCP端口；采用可適應的Linux應用程序；加入掃描軟件；對OmniPCX

　　Enterprise通信服務(wù)器的訪(fǎng)問(wèn)采用可信的ssh、sftp、scp機制，用來(lái)替代telnet、ftp、rcp等。

　　Juniper推出的防火墻則利用對通訊協(xié)議的分析來(lái)識別應用，把行為管理和安全問(wèn)題聯(lián)合進(jìn)行處理。

　　目前VoIP還有向統一通信發(fā)展的趨勢，多種通信方式的整合也在一定程度上增加了安全風(fēng)險。廠(chǎng)商應當為未來(lái)可能發(fā)生的風(fēng)險早做準備，根據統一通訊整合式通信的特點(diǎn)，針對其不同的應用，開(kāi)發(fā)出有針對性的安全防護機制。

平衡安全與性能

　　VoIP的安全問(wèn)題確實(shí)值得重視，但是由于VoIP是一種語(yǔ)音通信方式，對業(yè)務(wù)的實(shí)時(shí)性要求非常高，企業(yè)在加強VoIP系統安全時(shí)要注意平衡安全與性能之間的關(guān)系。

　　通常意義上，為了達到和PSTN相媲美的語(yǔ)音通話(huà)質(zhì)量，VoIP單向流量的時(shí)延不得超過(guò)150毫秒，否則用戶(hù)體驗將會(huì )異常糟糕。一般來(lái)說(shuō)語(yǔ)音編碼可能占用30毫秒的時(shí)間，橫跨長(cháng)距離在公共IP網(wǎng)絡(luò )上傳送的語(yǔ)音呼叫可能占用長(cháng)達100毫秒、甚至125毫秒的時(shí)間。在這種情況下，如果防火墻、加密和入侵防御等安全措施帶來(lái)的時(shí)延過(guò)多的話(huà)，必然會(huì )大大影響客戶(hù)的使用體驗。

　　已經(jīng)有很多企業(yè)對VoIP的通話(huà)質(zhì)量進(jìn)行了抱怨，認為其和PSTN無(wú)法相比，而且還有回音出現，這大大影響企業(yè)部署VoIP系統的積極性。所以很難想象一個(gè)影響VoIP使用體驗的安全系統能夠得到客戶(hù)的歡迎，這一問(wèn)題值得致力于VoIP安全的企業(yè)去高度重視，找到有效的解決手段。

　　除了要平衡安全與性能之間的關(guān)系之外，值得注意的是安全是一整套體系。網(wǎng)絡(luò )安全不是一個(gè)點(diǎn)的概念，而是一個(gè)面的概念，要采用一個(gè)整體的安全防范體系。VoIP系統的安全不能和其他網(wǎng)絡(luò )應用互相割裂開(kāi)來(lái)，要對他們進(jìn)行綜合考慮，并且注意整體的投資收益問(wèn)題。