公司实施 VoIP 技术可以降低通信成本,并将企业语音服务扩展到分布于各地的团队,但语音与数据网络的融合也会带来安全风险。VoIP 安全性和网络完整性是任何 VoIP 部署的必要部分。
一方面,VoIP 继承了当今数据网络饱受折磨的安全威胁,另一方面,VoIP 作为一项应用添加到网络上使得这些威胁更加危险。VoIP 组件的添加,给网络安全性提出了新的要求。
|
•
|
VoIP 采用两个单独的协议工作 - 一个信令协议(客户端与 VoIP 服务器之间)和一个媒体协议(客户端之间)。媒体协议 (RTP/RTCP) 用于各个会话的端口/IP 地址对由信令协议动态协商。防火墙需要动态跟踪并维护此信息,为会话安全打开选定的端口,并在适当的时候关闭端口。
|
|
•
|
多个媒体端口通过信令会话动态协商 - 媒体端口的协商包含在信令协议的有效负载中(IP 地址和端口信息)。防火墙需要对每个数据包执行深层检查以获取信息,并动态维持会话,因而需要额外的防火墙处理。
|
|
•
|
源和目标 IP 地址嵌入 VoIP 信令数据包中 - 支持 NAT 的防火墙在数据包的 IP 头级别转换 IP 地址和端口。完全对称的 NAT 防火墙会频繁调整其 NAT 绑定,且可能任意关闭针孔,使得入站数据包无法传入其所保护的网络,因而服务提供商将无法向客户发送入站呼叫。为了有效支持 VoIP,NAT 防火墙有必要在数据包穿越防火墙时,执行深层数据包检查并转换其嵌入的 IP 地址和端口信息。
|
|
•
|
不同 VoIP 系统使用不同的消息格式,防火墙需要处理包含各种消息格式的信令协议套件 - 两家供应商使用相同的协议套件,并不意味着其系统能够互操作。
|
