VoIP防火墙 你能否保IP电话安全？

核心提示： 放弃防火墙？由于目前没有任何一个防火墙方案能完美地解决VoIP安全问题，因此有些安全专家认为在应用层这个级别可能最好的处理办法就是完全放弃防火墙，VoIP防火墙 你能否保IP电话安全？(6)，RTFM安全咨询公司的主管兼传输层安全(TLS)工作小组副主席Eric Rescorla认为防火墙

放弃防火墙？

由于目前没有任何一个防火墙方案能完美地解决VoIP安全问题，因此有些安全专家认为在应用层这个级别可能最好的处理办法就是完全放弃防火墙。RTFM安全咨询公司的主管兼传输层安全(TLS)工作小组副主席Eric Rescorla认为防火墙并不是像想象的那么好，“看看电子邮件蠕虫是如何突破防火墙的吧”，他说。

Dynamicsoft公司的CTO和SIP创建者之一Jonathan Rosenberg也赞同这种观点，他在一封电子邮件里写道“防火墙厂商必须要非常熟悉SIP和其他IP电话协议，这样才能保证他们产品的质量，而实际上他们做不到这一点，结果就是当一个新的应用或协议出现时，在部署它们的时候你不得不寻求厂商的帮助。这种情况就完全体现不出网络的主要好处。”

Rosenberg建议采用一种新的模式，即防火墙不用理会SIP和其他应用层协议。他说现在一些客户端技术如简单UDP穿越NAT协议(STUN)、交互式连通建立方式(ICE)、通过中继方式穿越NAT技术(TURN)使得防火墙不需要处理SIP就能让IP通话穿过防火墙。这些协议和技术为客户端获取NAT和防火墙所使用的外部传输层地址提供了途径，这样SIP客户端就能在会话描述协议(SDP)中规定的数据报域内加入外部地址，使得回来的数据报能被导向正确的地址。

Rosenberg相信那些开发基于SIP的应用的开发人员会比较倾向于支持该协议，而网络管理员就不一定了。过去的经验表明安全问题从来都是很棘手的，开发人员并不总是愿意或者说并不总是有能力在开发的时候完全解决安全问题。而从CERT和NISCC发布的安全报告来看，我们也没什么理由期待SIP开发人员会与众不同。

企业部署VoIP防火墙十分必要

尽管当今绝大多数公司的VoIP网络都是不对外开放的，但仍然有必要在企业内部部署VoIP防火墙。越来越多的攻击开始从VoIP网络内部发起，对此进行防卫是必不可少的，作为对策，第一步可以将所有网络语音数据隔离在虚拟局域网中，与此同时在可信任的域内部署代理和网闸同样很重要。

对于带DPI的全状态检测防火墙，部署过程是一个在不受信任的网络和受信任的企业之间的隔离带里的防火墙端口上安装SIP代理的过程。而实现了SIP背对背用户代理的防火墙则有所不同，因为它们的功能类似代理服务器，用户代理(User Agent)可以在上面注册。这类防火墙可以和全状态检测防火墙一起部署在隔离带中，只要使用不同的端口即可，或者单独部署在公司网络的其他地方。

除了技术实现细节之外，网络管理员也要留意协议问题。由于绝大多数IP PBX在和其他设备终端连接时使用了专有协议和SIP或H.323中继，所以在部署时很可能需要厂商的直接支持。