威胁防护与盲人摸象

　　现实的情况是，由于没有看到严重的VoIP安全事件，很多企业总是在已经部署VoIP之后，在逐渐依赖这一系统时，才开始逐步意识到安全的重要性。企业担心的安全问题主要包括通过电话记录或者语音邮件泄漏公司敏感的信息、窃听、恶意软件导致的系统崩溃和其他恶意攻击、以及机构内部和外部人员不正当地使用语音服务等。

　　要完全实现这些安全保障，企业需要在不同的网络层次实施各种安全措施，如认证、语音传输的加密、分离语音和数据网络、对语音服务器实施实时监控，应用一些专门防止黑客入侵和计算机病毒的产品如防火墙等。

　　显然，企业要一步做到所有这些是相当困难的，而且在目前的情况下也并不必要。在对待VoIP的安全问题上，我们不能像盲人摸象一样，每碰到一处就盲目放大，而是要根据实际的应用，结合当前主要的威胁所在，寻找适宜的防护方案。王卫认为目前VoIP的主要威胁可能来自于DoS，应该尽量降低网络暴露，加强网关的防护能力。

　　在网络的安全保护方面，人们首先最容易想到的产品就是防火墙。不过用传统的防火墙来解决VoIP的安全问题却有着很多的困难，首先协同工作就是一个问题。

　　由于语音通信中同时包含了数据流和信号流，语音呼叫信息组成了数据流，而信号流则进行呼叫建立和控制，依据的信号协议通常是H.323、会话初始协议（SIP）或媒体网关控制协议（MGCP）。对于信号信息的通过，我们一般可预留少量端口用于呼叫接入。而对于呼叫本身，由于是基于实时协议（RTP）和采用动态分配UDP端口方式，而不是通常情况下防火墙针对特定用户或应用采用的静态分配方式，因而让VoIP呼叫接入通过，意味着为所有通信打开了通道，当然其中也包括黑客。如此一来，防火墙也就失去了存在的意义。

　　防火墙的角色

　　那么，在VoIP的安全上，防火墙究竟能够扮演什么样的角色呢？

　　“实际上，现在的防火墙安全设备已经超过了传统的状态检查防火墙，采用深度数据包检测技术大大增强了安全能力和应用范围。” SonicWALL中国区技术经理蔡永生这样解释道。“在VoIP网络中，防火墙的传统角色正在发生本质上的变革。因为VoIP要求因特网上基于IP的资源是可预测的、静态可用的，但防火墙的网络地址转换功能给VoIP网络带来了障碍。通过“pin-holing”和其他技术，安全供应商已经找到了适应VoIP基础设施、保证互操作的方法。”

　　“SonicWALL的防火墙可以对通过的每个VoIP信令和媒体数据包进行状态检测，保证所有业务流的合法性。对于攻击者来说，攻击所使用的主要方法就是利用特殊编制的数据包来窥探和利用软硬件实现的缺陷，从而导致目标设备出现缓冲区溢出等问题。SonicWALL能够在非法数据包到达目标之前检测到它们并将其丢弃。”

　　对此，王卫也向记者作出了解释，他谈到：“与HTTP不同，SIP协议把IP地址放在了消息负载中，而不是消息的头文件中。因此，要让防火墙传递SIP消息，防火墙必须要通过深度检测了解这种应用程序，以便翻译出那个信息。Juniper开发的语音感知应用层网关（ALGs）技术，它使网络能够动态开放和关闭防火墙端口，允许出入呼叫经过防火墙。从而避免了开放大量防火墙端口，使网络暴露在端口扫描和黑客的危险之中。”

　　据王卫介绍，现在，通过扩展的协议支持，NetScreen深层检测防火墙可防止650多种应用级攻击和异常情况。客户可使用预定义的规则，也可创建定制的攻击组，并基于协议或严重程度安排应答顺序，从而为高效的网络保护提供细粒度的控制。

　　此外，深层检测防火墙技术还提供应用感知功能，使客户不仅能够抵御攻击，还能控制应用的使用。例如，客户可允许IM聊天，同时拒绝文件传输。

　　随着企业范围的VoIP部署涉及范围越来越宽，网络威胁越来越复杂，对VoIP防护的挑战也在加大。无论如何，要时刻记住，对于黑客来说，所有可能大规模普及的信息应用，都是等待上桌的美餐，VoIP也不例外，我们的企业不能再存有任何侥幸的心理，否则下一个被装入盘中的，可能就是你。