이 섹션에서는 VoIP를 간략하게 설명합니다. 여기에 포함된 섹션은 다음과 같습니다.
• VoIP란?
• VoIP 보안
이 장의 나머지 부분에서는 Dell SonicWALL VoIP를 구성하고 사용하는 방법을 설명합니다.
• VoIP 설정
VoIP(Voice over IP)는 IP(인터넷 프로토콜) 네트워크를 통해 음성 트래픽을 전송할 수 있도록 하는 기술 집합을 총칭하는 용어입니다. VoIP는 공중 전화망(PSTN)에 사용되는 기존의 아날로그 회선 교환 음성 통신과 달리 음성 통화의 음성 스트림을 데이터 패킷으로 전송합니다.
VoIP는 음성 전화 통신 및 데이터를 단일 통합 IP 네트워크 시스템으로 결합하여 네트워크 및 전자 통신을 수렴하는 데 큰 역할을 하고 있습니다. VoIP는 고가의 중복 인프라와 전자 통신 이용료를 없애 회사 비용을 절감하는 동시에, 고급 관리 기능과 통화 서비스 기능도 제공합니다.
통신 비용을 줄이고 회사 음성 서비스를 여러 위치에 분산된 직원들에게 확대 제공하기 위해 VoIP 기술을 구현하는 회사에서는 음성/데이터 네트워크 수렴과 관련된 보안 위험이 발생합니다. VoIP 배포에서는 VoIP 보안 및 네트워크 무결성이 반드시 필요한 요소입니다.
오늘날의 데이터 네트워크를 위협하는 것과 동일한 보안 위협이 VoIP에도 적용되지만, VoIP는 네트워크의 응용 프로그램으로 추가되기 때문에 위협의 심각성이 훨씬 더 커집니다. 또한 네트워크에 VoIP 구성 요소를 추가하면 새로운 보안 요구 사항도 추가됩니다.
VoIP에는 여러 가지 복잡한 표준이 적용되므로 소프트웨어 구현 내에서 버그와 취약성이 발생하기 쉽습니다. 오늘날 사용 가능한 모든 운영 체제 및 응용 프로그램을 위협하는 것과 같은 유형의 버그 및 취약성이 VoIP 장비에도 적용됩니다. 오늘날의 VoIP 통화 서버 및 게이트웨이 장치는 대부분 취약한 Windows 및 Linux 운영 체제를 기반으로 구축되었습니다.
VoIP의 방화벽 요구 사항
VoIP는 표준 TCP/UDP 기반 응용 프로그램보다 복잡합니다. 이처럼 VoIP에서는 신호 및 프로토콜이 복잡할 뿐만 아니라, 방화벽이 NAT(Network Address Translation)를 사용하여 원본 주소와 원본 포트 정보를 수정할 때 불일치 현상이 발생하기 때문에 표준 방화벽을 효율적으로 통과하기가 어렵습니다. 아래 이 같은 현상이 발생하는 몇 가지 이유가 나와 있습니다.
• VoIP가 서로 다른 두 프로토콜을 사용하여 작동하는 경우 - 클라이언트와 VoIP 서버 간의 신호 프로토콜 및 클라이언트 간의 미디어 프로토콜이 사용됩니다. 신호 프로토콜은 각 세션에 대해 미디어 프로토콜이 사용하는 포트/IP 주소 쌍(RTP/RTCP)을 동적으로 협상합니다. 방화벽은 이 정보를 동적으로 추적 및 유지 관리하여 세션에 선택된 포트를 안전하게 열고 적절한 시간에 닫아야 합니다.
• 신호 세션을 통해 여러 미디어 포트가 동적으로 협상되는 경우 - 신호 프로토콜의 페이로드에 미디어 포트 협상(IP 주소 및 포트 정보)이 포함됩니다. 방화벽은 각 패킷에서 심층 패킷 검사를 수행하여 정보를 가져오고 세션을 동적으로 유지 관리해야 하므로 방화벽에서 추가 처리 작업을 수행해야 합니다.
• 원본 및 대상 IP 주소가 VoIP 신호 패킷 내에 포함되는 경우 - NAT를 지원하는 방화벽이 패킷에 대해 IP 헤더 수준에서 IP 주소와 포트를 변환합니다. 완전 대칭 NAT 방화벽은 NAT 바인딩을 자주 조정하며 인바운드 패킷의 보호 대상 네트워크를 통과하도록 허용하는 '허점'을 임의로 닫을 수 있으므로, 서비스 공급자가 인바운드 호출을 고객에게 보내지 못하게 됩니다. VoIP를 효율적으로 지원하려면 패킷이 방화벽을 통과할 때 NAT 방화벽이 심층 패킷 검사를 수행하고 포함된 IP 주소/포트 정보를 변환해야 합니다.
• 방화벽이 서로 다른 VoIP 시스템에서 사용하는 여러 메시지 형식으로 구성된 신호 프로토콜 제품군을 처리해야 하는 경우 - 두 공급업체가 같은 프로토콜 제품군을 사용한다고 해서 이들 제품군을 상호 운용할 수 있는 것은 아닙니다.
복잡한 VoIP 및 NAT 때문에 발생하는 많은 문제를 해결하기 위해 공급업체는 SBC(Session Border Controller)를 제공합니다. SBC는 방화벽의 인터넷 쪽에 있으며, 모든 VoIP 미디어와 신호 트래픽을 종료한 후 다시 시작하여 VoIP 네트워크의 경계를 제어합니다. 실제로 SBC는 VoIP를 사용하도록 설정하지 않은 방화벽에 대해 VoIP 트래픽용 프록시로 사용됩니다. Dell SonicWALL 보안 어플라이언스는 VoIP가 사용하도록 설정된 방화벽이므로 네트워크에서 SBC를 사용하지 않아도 됩니다.
VoIP 기술은 H.323과 SIP의 두 가지 기본 프로토콜을 기반으로 구축되었습니다.
H.323
H.323은 ITU(International Telecommunications Union)에서 개발한 표준으로, 컴퓨터/터미널/네트워크 장치/네트워크 서비스 간의 음성, 화상 및 데이터 통신에 포괄적인 프로토콜 제품군입니다. H.323은 사용자가 개인 IP 네트워크와 인터넷처럼 비연결형 패킷 교환 네트워크를 통해 지점 간 멀티미디어 전화 통화를 이용할 수 있도록 설계되었습니다. 화상 회의 장비, VoIP 장비 및 인터넷 전화 소프트웨어/장치 제조업체에서는 H.323을 광범위하게 지원합니다.
H.323은 TCP와 UDP 조합을 신호에 사용하고 ASN.1을 메시지 인코딩에 사용합니다. H.323v1은 1996년에, H.323v5는 2003에 출시되었습니다. 이처럼 오래된 표준인 H.323은 대다수 초기 VoIP 제공업체에서 사용되었습니다.
H.323 네트워크는 다음과 같은 네 가지 유형의 엔터티로 구성됩니다.
• 터미널 - 멀티미디어 통신용 클라이언트 끝점입니다. 예로 H.323 사용 인터넷 전화 또는 PC를 들 수 있습니다.
• 게이트키퍼 - 통화 설정 및 끊기 서비스를 수행하고 통신용 H.323 터미널을 등록합니다. 여기에 포함된 작업은 다음과 같습니다.
– 주소 변환
– RAS(등록, 허용 제어, 상태)
– ILS(Internet Locator Service). ILS도 이 범주에 속하지만 H.323에는 포함되지 않습니다. ILS는 H.323 메시지가 아닌 LDAP(Lightweight Directory Access Protocol)를 사용합니다.
• MCU(Multipoint Control Unit) - 터미널 사이의 다중 지점 통신 시 회의를 제어하고 데이터를 분산합니다.
• 게이트웨이 - 회선 교환 PSTN(Packet Switched Telephone Network) 같은 기타 통신 서비스와 H.323 네트워크 간의 상호 운용에 사용됩니다.
SIP
SIP(Session Initiation Protocol) 표준은 IETF(Internet Engineering Task Force)에서 개발되었습니다. RFC 2543은 1999년 3월에 출시되었고, RFC 3261은 2002년 6월에 출시되었습니다. SIP는 세션을 시작, 관리하고 종료하기 위한 신호 프로토콜로, '현재 상태'와 이동성을 지원하며 UDP(User Datagram Protocol) 및 TCP(Transmission Control Protocol)을 통해 실행할 수 있습니다.
SIP를 사용하는 경우 VoIP 클라이언트에서 통화 세션을 시작/종료하고, 회의 세션에 구성원을 초대하며, 그 외 전화 통신 관련 작업을 수행할 수 있습니다. 또한 SIP를 사용하면 PBX(Private Branch Exchange), VoIP 게이트웨이 및 기타 통신 장치가 표준화된 공동 작업을 통해 통신할 수 있습니다. SIP는 H.323의 과도한 오버헤드도 방지하도록 설계되었습니다.
SIP 네트워크는 다음의 논리 엔터티로 구성됩니다.
• UA(사용자 에이전트) - 통화를 시작, 수신하고 종료합니다.
• 프록시 서버 - UA 대신 요청을 전달하거나 요청에 응답합니다. 프록시 서버는 여러 서버로 요청을 분기할 수 있습니다. 연속 사용자 에이전트(B2BUA)는 통과하는 통화의 각 레그를 고유한 두 SIP 통화 세션(프록시 서버와 거는 전화 간의 세션, 프록시 서버와 받는 전화 간의 세션)으로 처리하는 프록시 서버 유형입니다. 기타 프록시 서버는 같은 통화의 모든 레그를 단일 SIP 통화 세션으로 처리합니다.
• 리디렉션 서버 - 요청에 응답하지만 요청을 전달하지는 않습니다.
• 등록 서버 - UA 인증 및 등록을 처리합니다.
다음 섹션에서는 Dell SonicWALL의 통합 VoIP 서비스를 설명합니다.
• VoIP 보안
• 트래픽 적법성 - 방화벽을 통과하는 모든 VoIP 신호 및 미디어 패킷의 상태 저장 검사를 통해 모든 트래픽이 적법한지 확인할 수 있습니다. 구현상의 결함을 악용하여 대상 장치에서 버퍼 오버플로 등을 발생시키는 패킷을 공격 방법으로 사용하는 공격자들이 많습니다. Dell SonicWALL 보안 어플라이언스는 잘못된 패킷이 대상에 도착하기 전에 감지하여 삭제합니다.
• VoIP 프로토콜용 응용 프로그램 계층 보호 기능 - Dell SonicWALL IPS(침입 방지 서비스)를 통해 응용 프로그램 수준 VoIP 악용을 완벽하게 방지할 수 있습니다. IPS에는 구성 가능한 고성능 스캔 엔진과 동적으로 업데이트/프로비저닝되는 공격 및 취약성 서명 데이터베이스가 통합되어 있어 정교한 트로이 목마와 다형성 위협으로부터 네트워크를 보호할 수 있습니다. Dell SonicWALL은 악성 트래픽이 보호되는 VoIP 전화와 서버에 연결하지 못하도록 설계된 VoIP 관련 서명 제품군을 통해 IPS 서명 데이터베이스를 확장합니다.
• DoS 및 DDoS 공격 방지 - SYN 서비스 장애, 핑 오브 데스, LAND(IP) 공격 등 네트워크나 서비스를 사용하지 못하게 하는 DoS 및 DDoS 공격을 방지할 수 있습니다.
– TCP를 사용하여 VoIP 신호 패킷의 패킷 시퀀스 유효성을 검사함으로써 기간이 지나 시퀀스에서 벗어난 패킷과 다시 전송된 패킷을 거부할 수 있습니다.
– 연결 설정 시 암호화된 난수 생성기에서 만들어지는 임의화된 TCP 시퀀스 번호를 사용하고 각 TCP 세션 내에서 데이터 흐름의 유효성을 검사하여 재생 및 데이터 삽입 공격을 방지할 수 있습니다.
– SYN 서비스 장애 방지 기능을 사용하면 공격자가 많은 TCP/IP 연결(원본 주소가 스푸핑되므로 보통 완전히 설정되지는 않음)을 열어 서버에 큰 영향을 주지 못하도록 할 수 있습니다.
• 상태 저장 모니터링 - 상태 저장 모니터링에서도 유효하게 표시되는 패킷이 관련 VoIP 연결의 현재 상태에 적합한지 확인할 수 있습니다.
• 암호화된 VoIP 장치 지원 - Dell SonicWALL은 암호화를 사용하여 VoIP 대화 내에서 진행되는 미디어 교환을 보호하거나, IPsec/VPN을 사용하는 암호화된 미디어로 VoIP 통화가 보호되지 않는 VoIP 장치를 보호하기 위해 VoIP 장치를 지원합니다.
• 응용 프로그램 계층 보호 기능 - Dell SonicWALL에서는 SonicWALL IPS(침입 방지 서비스)를 통해 응용 프로그램 수준 VoIP 악용을 완벽하게 방지할 수 있습니다. Dell SonicWALL IPS는 VoIP, Windows 서비스 및 DNS 같은 주요 네트워크 서비스의 보호 기능을 확장할 수 있는 고성능의 구성 가능한 심층 패킷 검사 엔진을 기반으로 만들어졌습니다. Dell SonicWALL의 Deep Packet Inspection 엔진에 사용되는 확장 가능한 서명 언어는 새로 발견되는 응용 프로그램 및 프로토콜 취약성에 대한 사전 예방적 방어 기능도 제공합니다. Dell SonicWALL IPS는 서명 세분성을 통해 전역적으로 또는 공격 그룹이나 서명을 기준으로 공격을 감지하고 차단함으로써 유연성을 극대화하고 가양성을 제어할 수 있습니다.
• VoIP over WLAN(무선 LAN) - Dell SonicWALL은 분산 무선 솔루션을 통해 연결된 무선 네트워크에도 완전한 VoIP 보안 성능을 제공합니다. Dell SonicWALL의 보호를 받는 유선 네트워크에 연결된 VoIP 장치에 제공하는 보안 기능은 모두 무선 네트워크를 사용하는 VoIP 장치에도 제공됩니다.
Note Dell SonicWALL의 보안 무선 솔루션에는 무선 네트워크에서도 보안 VoIP 통신을 구현할 수 있는 Network Enabler가 포함되어 있습니다. 전체 정보는 Dell SonicWALL 웹 사이트(http://www.SonicWALL.com)에서 제공되는 Dell SonicWALL 보안 무선 네트워크 통합 솔루션 가이드를 참조하십시오.
• BWM(대역폭 관리) 및 QoS(서비스 품질) - 수신/발신 대역폭 관리를 사용하여 시간이 중요한 VoIP 트래픽의 대역폭을 계속해서 사용할 수 있습니다. BWM은 Dell SonicWALL QoS(서비스 품질) 기능과 통합되어 특정 유형의 응용 프로그램에 반드시 필요한 예측 기능을 제공합니다.
• WAN 중복 및 부하 분산 - WAN 중복 및 부하 분산을 통해 인터페이스를 보조 또는 백업 WAN 포트로 사용할 수 있습니다. 이 보조 WAN 포트는 단순 활성/수동 설정에 사용할 수 있습니다. 이 설정에서는 기본 WAN 포트가 작동하지 않거나 사용 불가능한 경우에만 트래픽이 보조 WAN 포트를 통해 라우팅됩니다. 대상을 기준으로 트래픽 라우팅을 분할하여 부하 분산을 수행할 수 있습니다.
• 고가용성 - SonicOS 고가용성에서 제공하는 고가용성을 통해 시스템 장애가 발생해도 계속 안정적으로 연결할 수 있습니다.
• VoIP 장치에 대한 연결식 보호 지원 - SonicOS에서는 VoIP 장치가 자동으로 추가, 변경 및 제거되어 VoIP 장치가 보호되지 않는 상태로 유지되지 않습니다. VoIP 장치는 고급 모니터링 및 추적 기술을 통해 Dell SonicWALL 보안 어풀라이언스로 보호되는 네트워크에 연결하는 즉시 자동으로 보호됩니다.
• 모든 VoIP 신호 패킷의 전체 구문 유효성 검사 - SonicOS에서 수신된 신호 패킷의 구문을 완전히 검사하여 연결된 표준 내에 정의된 구문을 따르는지 확인합니다. 방화벽은 구문 유효성을 검사함으로써 잘못된 패킷이 방화벽을 통과하여 대상에 악영향을 주지 못하도록 할 수 있습니다.
• 미디어 스트림 동적 설정 및 추적 지원 - SonicOS에서는 통화 설정을 요청하는 첫 번째 신호 패킷의 각 VoIP 호출을 통화 종료 시점까지 추적합니다. 통화가 정상적으로 진행되어야 발신자와 수신자가 서로 신호와 미디어를 추가 교환할 수 있는 추가 포트가 열립니다.
통화 설정의 일부로 협상되는 미디어 포트는 방화벽에서 동적으로 할당됩니다. 이후 통화(같은 당사자 간의 통화 포함)에서는 다른 포트를 사용하므로 특정 포트를 모니터링하는 공격자의 공격을 방지할 수 있습니다. 필요한 미디어 포트는 통화가 완전히 연결된 경우에만 열리고, 통화를 끝내면 종료됩니다. 통화 이외 포트를 사용하려는 트래픽은 삭제되기 때문에 방화벽으로 보호되는 VoIP 장치가 더 안전하게 보호됩니다.
• 모든 미디어 패킷의 헤더 유효성 검사 - SonicOS에서는 미디어 패킷 내의 헤더를 검사 및 모니터링하여 기간이 지나 시퀀스에서 벗어난 패킷과 다시 전송된 패킷을 감지, 삭제할 수 있도록 합니다. 또한 유효한 헤더가 있는지 확인하여 잘못된 미디어 패킷을 감지 및 삭제합니다. Dell SonicWALL은 미디어 스트림과 신호를 모두 추적함으로써 전체 VoIP 세션을 보호합니다.
• 신호 및 미디어에 구성 가능한 비활성 시간 제한 - 삭제된 VoIP 연결이 계속 열려 있지 않도록 하기 위해 SonicOS가 VoIP 세션과 관련된 신호 및 미디어 스트림 사용량을 모니터링합니다. 잠재된 보안상의 허점을 방지하기 위해 구성된 시간 제한보다 오랫동안 유휴 상태에 있는 스트림은 종료됩니다.
• SonicOS에서 관리자에게 제공하는 수신 전화 제어 기능 - SonicOS에서는 H.323 게이트키퍼 또는 SIP 프록시를 통해 모든 수신 전화를 인증하고 권한을 부여하도록 요구함으로써 무단 통화와 스팸 통화를 차단할 수 있습니다. 이를 통해 관리자는 VoIP 네트워크가 회사에서 승인한 통화에만 사용되도록 할 수 있습니다.
• 포괄적 모니터링 및 보고 기능 - SonicOS는 지원되는 모든 VoIP 프로토콜에 광범위한 모니터링 및 문제 해결 도구를 제공합니다.
– 발신자/수신자 및 사용되는 대역폭을 나타내는 활성 VoIP 통화의 동적 라이브 보고 기능
– 발신자/수신자, 통화 시간 및 사용되는 총 대역폭을 나타내는 모든 VoIP 통화의 감사 로그. 관련자 및 확인된 상황에 대한 세부 정보를 포함하여 확인된 비정상 패킷(예: 잘못된 응답)을 로깅합니다.
– VoIP 신호/미디어 스트림에 대한 세부 syslog 보고서 및 뷰포인트 보고서. Dell SonicWALL 뷰포인트는 방화벽에서 수신된 syslog 데이터 스트림을 기반으로 보안 및 네트워크 활동에 대한 자세하고 포괄적인 레포팅을 제공하는 웹 기반 그래픽 보고 도구입니다. 개별 사용자 또는 그룹 사용 패턴, 특정 방화벽 또는 방화벽 그룹의 이벤트, 공격 유형/시간, 리소스 사용 및 제한 등 방화벽 활동의 거의 모든 측면에 관련된 레포팅을 생성할 수 있습니다.
Dell SonicWALL 보안 어플라이언스는 다음 프로토콜의 변환을 지원합니다.
H.323
SonicOS가 지원하는 H.323 관련 기능은 다음과 같습니다.
• 모든 H.323 버전(현재는 1~5)을 실행하는 VoIP 장치 지원
• Microsoft의 LDAP 기반 ILS(Internet Locator Service)
• 멀티캐스트를 사용하여 LAN H.323 터미널에서 게이트키퍼 검색
• 게이트키퍼 RAS(등록, 허용, 상태) 메시지의 상태 저장 모니터링 및 처리
• 미디어 스트림 암호화를 사용하는 H.323 터미널 지원
• DHCP 옵션 150. VoIP 관련 TFTP 서버의 주소를 DHCP 클라이언트로 반환하도록 Dell SonicWALL DHCP 서버 구성 가능
• SonicOS에서는 H.323 지원 외에 다음과 같은 추가 ITU 표준을 사용하는 VoIP 장치도 지원
– 응용 프로그램 공유, 전자 화이트보드, 파일 교환 및 채팅에 필요한 T.120
– 오디오, 비디오 및 데이터 배달용 다중 채널을 허용하기 위한 H.239
– FECC(Far End Camera Control)용 H.281
SIP
SonicOS가 지원하는 SIP 관련 기능은 다음과 같습니다.
– 기본 SIP 표준(RFC 2543 및 RFC 3261)
– SIP INFO 메서드(RFC 2976)
– SIP의 프로비전 응답 안정성(RFC 3262)
– SIP 관련 이벤트 알림(RFC 3265)
– SIP UPDATE 메서드(RFC 3311)
– SIP 서버용 DHCP 옵션(RFC 3361)
– 인스턴트 메시징용 SIP 확장(RFC 3428)
– SIP REFER 메서드(RFC 3515)
– 대칭 응답 라우팅용 SIP 확장(RFC 3581)
Dell SonicWALL VoIP 공급업체 상호 운용성
아래 Dell SonicWALL VoIP와 상호 운용되는 주요 제조업체의 장치 목록이 일부 나와 있습니다.
|
CODEC
모든 CODEC의 미디어 스트림을 지원하는 SonicOS - 미디어 스트림은 VoIP 장치 내에서 하드웨어/소프트웨어 CODEC(COder/DECoder)에 따라 처리된 오디오/비디오 신호를 전송합니다. CODEC은 코딩과 압축 기술을 사용하여 오디오/비디오 신호를 나타내는 데 필요한 데이터 양을 줄입니다. CODEC의 예를 들면 다음과 같습니다.
• 비디오용 H.264, H.263, H.261
• 오디오용 MPEG4, G.711, G.722, G.723, G.728, G.729
SonicOS에서 심층 패킷 검사를 수행하지 않는 VoIP 프로토콜
Dell SonicWALL 보안 어플라이언스는 현재 다음 프로토콜에는 심층 패킷 검사를 수행하지 않으므로, 이러한 프로토콜은 NAT 이외 환경에서만 사용해야 합니다.
• H.323 또는 SIP 전용 확장
• MGCP
• Megaco/H.248
• Cisco SCCP(Skinny Client Control Protocol)
• IP-QSIG
• 전용 프로토콜(Mitel의 MiNET, 3Com NBX 등)
SonicOS에서는 모든 VoIP 통화 시나리오에 효율적이고 안전한 솔루션을 제공합니다. 아래 SonicOS에서 VoIP 통화 흐름을 처리하는 방법에 대한 예가 나와 있습니다.
수신 통화
다음 그림에는 수신 통화 중에 수행되는 이벤트의 순서가 나와 있습니다.
위 그림에 나와 있는 이벤트 순서는 아래에서 설명합니다.
1. 전화 B가 VoIP 서버에 등록 - Dell SonicWALL 보안 어플라이언스가 발신 VoIP 등록 요청을 모니터링하여 Dell SonicWALL 보안 어플라이언스로 보호되는 액세스 가능한 IP 전화의 데이터베이스를 작성합니다. SonicOS는 등록 메시지에서 사용되는 전화 B의 개인 IP 주소와 방화벽의 공용 IP 주소를 상호 변환합니다. VoIP 서버는 전화 B가 방화벽으로 보호되며 개인 IP 주소를 포함하고 있다는 점을 인식하지 못하므로 전화 B를 방화벽의 공용 IP 주소와 연결합니다.
2. 전화 A에서 전화 B와 통화 시작 - 전화 A에서 전화 번호나 별칭을 사용하여 전화 B와 통화를 시작합니다. 전화 A는 이 정보를 VoIP 서버에 보낼 때 지원 가능한 미디어 유형 및 형식에 대한 세부 정보와 해당 IP 주소 및 포트 관련 정보도 제공합니다.
3. VoIP 서버가 통화 요청의 유효성을 검사한 후 전화 B로 요청 전송 - VoIP 서버가 방화벽의 공용 IP 주소로 통화 요청을 보냅니다. 해당 요청이 방화벽에 도착하면 SonicOS가 요청의 출처와 내용의 유효성을 검사합니다. 검사가 끝나면 방화벽이 전화 B의 개인 IP 주소를 확인합니다.
4. 전화 B가 울리면 수신자가 전화를 받음 - 전화 B를 받으면 이 전화에서 지원되는 미디어 유형 및 형식과 해당 IP 주소 및 포트에 대한 정보가 VoIP 서버로 반환됩니다. SonicOS는 이 개인 IP 정보를 변환하여 VoIP 서버로 보내는 메시지에 방화벽의 공용 IP 주소를 사용합니다.
5. VoIP 서버가 전화 B 미디어 IP 정보를 전화 A로 반환 - 이제 전화 A에는 전화 B와 미디어 교환을 시작하기에 충분한 정보가 있습니다. 그러나 전화 A는 VoIP 서버에서 방화벽의 공용 주소를 받았기 때문에 전화 B가 방화벽으로 보호된다는 사실을 인식하지 못합니다.
6. 전화 A와 전화 B가 VoIP 서버를 통해 오디오/비디오/데이터 교환 - SonicOS는 내부 데이터베이스를 사용하여 전화 A에서만 미디어를 보내고, 해당 미디어는 전화 B에서 허용하는 특정 미디어 스트림만 사용하도록 합니다.
로컬 통화
다음 그림에는 로컬 VoIP 통화 시 수행되는 이벤트의 순서가 나와 있습니다.
위 그림에 나와 있는 이벤트 순서는 아래에서 설명합니다.
1. 전화 A와 B가 VoIP 서버에 등록 - Dell SonicWALL 보안 어플라이언스가 발신 VoIP 등록 요청을 모니터링하여 Dell SonicWALL 보안 어플라이언스로 보호되는 액세스 가능한 IP 전화의 데이터베이스를 작성합니다. SonicOS는 이들 전화의 개인 IP 주소와 방화벽의 공용 IP 주소를 상호 변환합니다. VoIP 서버는 이들 전화가 방화벽으로 보호된다는 점을 인식하지 못하며, 두 전화에 모두 같은 IP 주소를 연결합니다(포트 번호는 다름).
2. 전화 A가 VoIP 서버로 요청을 보내 전화 B와 통화 시작 - 두 전화는 모두 같은 방화벽으로 보호되지만 전화 A에서는 전화 B의 IP 주소를 알 수 없습니다. 전화 A에서 전화 번호나 별칭을 사용하여 전화 B와 통화를 시작합니다.
3. VoIP 서버가 통화 요청의 유효성을 검사한 후 전화 B로 요청 전송 - VoIP 서버가 방화벽의 공용 IP 주소로 통화 요청을 보내면 방화벽이 전화 B의 개인 IP 주소를 확인합니다.
4. 전화 B가 울리면 수신자가 전화를 받음 - 전화 B를 받으면 방화벽이 해당 개인 IP 정보를 변환하여 VoIP 서버로 보내는 메시지에 방화벽의 공용 IP 주소를 사용합니다.
5. VoIP 서버가 전화 B 미디어 IP 정보를 전화 A로 반환 - SonicOS는 메시지의 발신자/수신자 정보를 모두 전화 A와 전화 B의 개인 주소 및 포트로 다시 변환합니다.
6. 전화 A와 전화 B가 오디오/비디오/데이터를 직접 교환 - Dell SonicWALL 보안 어플라이언스가 LAN을 통해 두 전화 사이의 트래픽을 직접 라우팅합니다. 두 전화를 직접 연결하면 데이터를 VoIP 서버로 전송하기 위한 대역폭 요구 사항이 감소하고 Dell SonicWALL 보안 어플라이언스에서 주소를 변환할 필요가 없습니다.