VoIP防火墙 你能否保IP电话安全？

核心提示：DPI命运如何近期许多公司纷纷发表调查报告，报告里声称尽管现在特定于具体应用的防火墙越来越多，VoIP防火墙 你能否保IP电话安全？，但他们仍然检测到应用层蠕虫和病毒的数量正在不断增加，这时，即使是那些做专业防火墙的公司在处理各种标准、RFC、VoIP相关的重要草案时也是相当头疼，所以通用防火墙公司很难象那些专用防火墙

DPI命运如何

近期许多公司纷纷发表调查报告，报告里声称尽管现在特定于具体应用的防火墙越来越多，但他们仍然检测到应用层蠕虫和病毒的数量正在不断增加。这时，带有深度包检测(Deep Packet Inspection, DPI)功能的防火墙成为了舌战的焦点。

我们知道，DPI功能将使得网络管理员能够配置数字位匹配模式用以匹配和鉴别特定的数据包。然而，恐怕这些防火墙厂商正在犯着十几年前以太网网桥制造商就曾经犯过的错误。那时候，为了对抗路由器，网桥制造商引入了能按位模式来转发数据包的所谓智能网桥，他们宣称这些智能网桥融合了路由器的优点同时摈弃了路由器的缺点。也许他们说的没错，但事实是，配置这些智能网桥的门槛实在太高了，如果你的脑袋没有博士级别的智商，那恐怕你很难能有机会懂明白这些智能网桥的配置细节。

现在看来DPI的实现似乎避免不了与这些智能网桥相同的命运。目前多数DPI引擎的缺省设置是不分青红皂白就把所有外部数据通通拒之门外，因此表面上看起来好像确实提供了强有力的安全防护，然而对管理员来说真正的挑战在于如何配置这些引擎使其具有识别数据的能力，如何可以让它过滤掉那些无用或带攻击性的数据而只让真正有用的数据进来，对很多防火墙管理员来说这个任务显得是否艰巨。

就算对那些经验丰富脑筋灵光的工程师来说这也是够呛的。Nokia的产品概念工程师在谈到DPI时直言“感觉不太好”，他说“我们有一个内部应用需要用到防火墙，我最终把所谓的智能应用(Check Point描述DPI引擎时所使用的术语)给彻底关了，实在是碍手碍脚，它缺省把所有的数据都给挡住了，这不是添乱嘛。”

先把易用性放在一边。很难想象通用防火墙软件厂商能保证自己的软件能够实现各种纷繁的IP语音(Voice over IP，VoIP)标准和协议。即使是那些做专业防火墙的公司在处理各种标准、RFC、VoIP相关的重要草案时也是相当头疼，所以通用防火墙公司很难象那些专用防火墙公司一样又快又省地及时支持新标准，更不用说那些标准的扩展了。