VoIP防火墙 你能否保IP电话安全?
2007-12-13 12:11:37 来源:WEB开发网显然,如果通话数据被加密的话防火墙是没法对数据进行检查的。而基于代理的防火墙可能可以绕过这个问题,但同时又造成其他的安全隐患,因为此类防火墙位于通话两端的信号和媒体流之间,通话方会“认为”他们已经和对方建立了直接的安全对话,但实际上他们只是和防火墙建立了安全会话,因此基于代理的防火墙实际上有着潜在的不安全因素。
应用层的复杂性又是另一个问题。有些基于代理的防火墙自诩其有强大的检查校验数据报SIP正确性的能力,但我们恐怕不能尽信其言。SIP是一个极端复杂的协议,涉及到60多个RFC和标准草案,仅仅是准确实现这些纷繁的特性和功能就足够把这些防火墙厂商压得喘不过气来。
SIP还具有极强的扩展性,许多厂商在此基础上进行了很多专有的扩展,如果没有这些厂商的支持的话是几乎不可能对其功能和正确性进行检查的,所以在购买此类产品之前建议进行认真细致的试用和评估。
绝大多数防火墙厂商的产品只实现了一小部分SIP的RFC和标准草案,而且厂商对这类事实一般都秘而不宣,显然,如果公布他们的产品具体实现了哪些RFC不就直接暴露了他们产品在SIP支持方面的局限性了吗?
然而SIP也仅仅只是众多IP电话协议中的一个而已。Nortel、Avaya和Cisco在连接电话终端和他们的IP PBX时都使用了其专有的基于H.323协议的变种协议。目前市场上有许多H.323协议的变种,媒体网关控制协议(MGCP和MEGACO)也不例外。为了进行企业电话客户端和这些IP PBX的安全防护,对防火墙来说支持这些专有H.323变种协议就显得相当重要。比如Check Point的安全解决方案主管Sharon Besser就说他们的Check Point防火墙同时支持Pingtel、Nortel和其他设备厂商的专有扩展协议。
然而,仅仅只是能支持这些协议还远远不够,网络管理员还非常重视防火墙部署时的简易性。美国劳伦斯.利弗莫尔国家实验室安全应急主管Jon Diaz就说过:“我研究过DPI的实现,但问题是要具有很多相关的专业知识才可能弄明白整个配置过程。”
更多精彩
赞助商链接