VoIP防火墙 你能否保IP电话安全？

核心提示： 基于代理的防火墙如TIS的Guantlet具有在应用层对具体应用进行安全保护的能力，它的工作方式是首先检测从外部进来的会话连接，VoIP防火墙 你能否保IP电话安全？(4)，分析其所使用的协议，然后掐断该外部连接，还有数据加密的问题，或多或少都有，最后从自己这方重新发起一个到对方的新连接，

基于代理的防火墙如TIS的Guantlet具有在应用层对具体应用进行安全保护的能力，它的工作方式是首先检测从外部进来的会话连接，分析其所使用的协议，然后掐断该外部连接，最后从自己这方重新发起一个到对方的新连接。这种防火墙虽然能直接在应用层对不同的具体应用提供相应的保护，但它是以牺牲性能为条件的，并且需要对每个具体应用进行特别调整。

没有任何一款VoIP防火墙(包括全状态检测防火墙)是纯粹工作在网络层和传输层的，最起码它们也要利用应用层网关(ALG)在网络层、传输层和应用层查找地址信息并进行相应修改。ALG对终端设备来说是透明的，所以在处理SIP时，它们并不会向请求连接一方发送TRYING消息。

有些防火墙在处理SIP数据报时会利用DPI查看数据报更细节的信息，比如在应用层检查数据报是否符合标准格式，这样这些基于DPI的防火墙就能防住某些缓冲区溢出攻击，比如如果数据报里的电话号码超出标准规定的长度的话，防火墙会直接拒之门外。

基于代理的防火墙(用SIP领域的术语来说也叫背对背用户代理，Back-2-Back User Agent，B2BUAs)位处主叫方和被叫方中间，截取两端的通话信号和媒体流，这些设备工作方式类似SIP代理服务器，只不过它们同时还能进行协议正确性校验和检查。边界会话控制器(Session Border Controllers,SBCs)是一种被众多运营商用于连接VoIP服务和支持QoS的设备，它们也属于基于代理的防火墙这一类。很多制造SBC的厂商同时也为企业提供类似的防火墙产品，如Jasomi Networks、Kagoor Networks、Ingate Systems和Acme Packet等。

防火墙的复杂性

每种防火墙实现方案都面临着诸如应用层复杂性和性能及价格等方面的问题。还有数据加密的问题，或多或少都有，只不过有些比较明显而已。