VoIP防火墙 你能否保IP电话安全？

核心提示： 碰到这些情况网络管理员该如何抉择呢？对于通话量较低并且对IP电话要求比较简单的情况，升级通用防火墙加入DPI支持是个可行的方案，VoIP防火墙 你能否保IP电话安全？(2)，另一方面，对高通话量的情况，未经保护的语音通话有可能遭到拦截和窃听而且可以被随时截断，黑客利用重定向攻击可以把语音邮

碰到这些情况网络管理员该如何抉择呢？对于通话量较低并且对IP电话要求比较简单的情况，升级通用防火墙加入DPI支持是个可行的方案。另一方面，对高通话量的情况，通常需要把VoIP数据转移到专用的防火墙上，只有一种情况例外，就是如果防火墙软件厂商和IP专用分组交换机(IP PBX)厂商在技术上有合作的话，可以做到让通用DPI防火墙更好地支持IP PBX的特殊功能，那么通用防火墙也有可能可以应付高通话量的要求。

部署专用安全设备可能可以比较快地解决问题，提供所谓的“单项优势”(best-of-breed)安全防护，但这也意味着你要管理和维护更多的专业设备，从长期来看会造成成本的增加。虽然无法完全避免此类问题，但如果网络管理员能充分发挥聪明才智考虑那些支持安全管理平台的安全设备的话是可以将影响降到最低的。

如果网络管理员和防火墙厂商刚好是DPI的追随者的话，应该说也还是很有盼头的。基本上改进DPI防火墙软件人机交互和功能的方式有两种，其一自然是通过内部开发改进完善，另一种就是通过收购那些刚起步的专业防火墙软件公司并融合他们的技术优势。

IP电话面临诸多挑战

由于目前已知的IP电话攻击并不多见，所以想说服CEO们和预算管理人员在IP电话安全方面增加资金投入还是有一定难度的，网络管理员们应该会认同这一点。然而英国国家基础建设安全响应中心(NISCC)报导他们发现了目前被普遍认为是在分组网上支持语音、图像和数据业务最成熟的H.323协议的多个漏洞，而其中又以负责建立IP电话连接的H.225.0子协议里问题最多。如果漏洞遭到攻击，结果可能造成恶意代码的执行或是拒绝服务攻击(DoS)。

从原理上说，利用漏洞可以发起各种类型的攻击。比如一旦网关被黑客攻破，IP电话不用经过认证就可随意拨打，未经保护的语音通话有可能遭到拦截和窃听而且可以被随时截断。黑客利用重定向攻击可以把语音邮件地址替换成自己指定的特定IP地址，为自己打开秘密通道和后门等等。