VoIP防火墙 你能否保IP电话安全？

核心提示： 与此同时，其他流行的攻击手段也会对网络语音环境造成巨大的威胁，VoIP防火墙 你能否保IP电话安全？(3)，除了DoS和分布式DoS攻击外，如果PC中了特洛伊木马的话，这种防火墙在传输层对数据进行检查，它首先跟踪从公司IP电话网络出去的会话连接，窃听就随时可能发生，类似的

与此同时，其他流行的攻击手段也会对网络语音环境造成巨大的威胁，除了DoS和分布式DoS攻击外，如果PC中了特洛伊木马的话，窃听就随时可能发生，类似的，乱序语音数据报(比如媒体数据报在会话数据报之前被接收到)和过长的电话号码都可能为缓冲区溢出攻击打开方便之门，而VoIP滥用(类似垃圾邮件)则可以通过不停播打同一号码使该号码陷于瘫痪。

另一个复杂的问题是，如果在防火墙之上同时运行网络地址转换(NAT)服务的话，外呼请求可能就无法正常工作。虽然NAT能够转换语音数据报中IP层和传输层的源地址与端口号，但NAT并不理会语音数据报中其他更底层的源地址信息，所以对VoIP来说这意味着主叫方的地址将是个内部地址，而被叫方在试图建立通话时则会被导向错误的源地址。

当涉及到外部呼叫者时，VoIP面临的安全挑战就愈加复杂了。典型的情况是，对于一个公司搭建的IP电话网络来说，防火墙只认可从该网络内部发起的会话请求，然而对IP电话来说公司外部的人也可能需要打电话进来。对于内部用户来说，为他们安装VPN客户端是个暂时的解决方案，但长远来说这肯定不够，外部呼叫者可能是个陌生人所以不可能为他们预装VPN客户端。

防火墙保障IP电话安全的实现方案

为了对抗针对IP电话的攻击，防火墙必须要更智能更高效地检验进来的数据报里与SIP相关的信息。对此，不同的防火墙厂商采取了不同的方案，但大体来看各方案或多或少都存在一些问题。

对于具有全状态检测(stateful-inspection)功能的防火墙来说，它本身并不具有应付应用层攻击的防护能力，这种防火墙在传输层对数据进行检查，它首先跟踪从公司IP电话网络出去的会话连接，然后利用这些信息来决定哪些外部数据是安全的可以进入公司网络的数据。