雖然不同規(guī)模企業(yè)的IP電話設(shè)計(jì)大不相同，但面臨的基本問(wèn)題幾乎相同。因此，影響SAFE IP電話設(shè)計(jì)的重要因素比較相似。

　　1．合理放置防火墻，有效控制語(yǔ)音—數(shù)據(jù)網(wǎng)段交互：只有適當(dāng)控制數(shù)據(jù)和語(yǔ)音網(wǎng)之間的訪問(wèn)才能部署安全的IP電話網(wǎng)。要實(shí)現(xiàn)這一任務(wù)，應(yīng)該使用狀態(tài)防火墻，因?yàn)樗�能提供基于主機(jī)的DoS保護(hù)，防止連接短缺和分段攻擊；在合理和必要的地方，還通過(guò)防火墻提供每端口接入、反竊聽和常規(guī)過(guò)濾等功能。思科并不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反，需要在特殊網(wǎng)絡(luò)位置放置狀態(tài)防火墻。防火墻將負(fù)責(zé)以下連接：

● 放置在數(shù)據(jù)網(wǎng)段中，保護(hù)語(yǔ)音網(wǎng)中的語(yǔ)音郵件系統(tǒng)安全。

● 放置在語(yǔ)音網(wǎng)段中，為呼叫建立控制，并配置與數(shù)據(jù)網(wǎng)中呼叫處理管理器相連的IP電話。

● 放置在語(yǔ)音網(wǎng)段中，隔離放置在數(shù)據(jù)網(wǎng)段中與語(yǔ)音郵件系統(tǒng)連接的IP電話。

● 放置在語(yǔ)音網(wǎng)段中，通過(guò)語(yǔ)音網(wǎng)中的代理服務(wù)器瀏覽IP電話資源——包括員工用戶目錄等。

● 放置在數(shù)據(jù)網(wǎng)段中，保證IP電話用戶能夠修改電話的配置。

● 處于語(yǔ)音網(wǎng)段中，數(shù)據(jù)網(wǎng)的代理服務(wù)器——服務(wù)器代理IP電話服務(wù)發(fā)出的所有請(qǐng)求。

　　基于PC的IP電話還會(huì)存在以下兩種連接：

● 數(shù)據(jù)網(wǎng)段中的IP電話訪問(wèn)語(yǔ)音網(wǎng)段中的呼叫處理管理器，以便建立呼叫。

● 數(shù)據(jù)網(wǎng)段中的IP電話訪問(wèn)語(yǔ)音網(wǎng)段中的語(yǔ)音郵件系統(tǒng)。

　　如果IP電話設(shè)備使用專用地址空間，例如RFC 1918提供的地址空間，可以降低流量到達(dá)網(wǎng)絡(luò)外部的可能性。這樣，網(wǎng)絡(luò)外部的黑客就無(wú)法發(fā)現(xiàn)語(yǔ)音網(wǎng)中的漏洞。如果可能，應(yīng)該盡量在數(shù)據(jù)和語(yǔ)音網(wǎng)中使用不同的RFC 1918地址空間，以便進(jìn)行過(guò)濾和識(shí)別。雖然在所有設(shè)計(jì)中都將狀態(tài)防火墻作為呼叫處理管理器的前端，但NAT對(duì)語(yǔ)音網(wǎng)內(nèi)傳輸?shù)牧髁坎黄鹱饔�。在所有設(shè)計(jì)中，NAT都應(yīng)在數(shù)據(jù)網(wǎng)和語(yǔ)音網(wǎng)之間，以便通過(guò)代理服務(wù)器支持IP電話服務(wù)。

　　2．建立身份識(shí)別機(jī)制：應(yīng)盡可能多地使用用戶和設(shè)備認(rèn)證機(jī)制，這樣能阻止對(duì)IP電話網(wǎng)發(fā)起的許多攻擊。IP電話設(shè)備的認(rèn)證方法主要是MAC地址設(shè)置。用戶認(rèn)證能更加有效防止設(shè)備盜竊MAC地址，并假冒其目標(biāo)身份作案。

　　用戶名/密碼/PIN組合還可以用于識(shí)別訪問(wèn)呼叫處理管理器的用戶，用戶能夠在獲得成功認(rèn)證之后訪問(wèn)其定制的配置設(shè)置。某些語(yǔ)音郵件系統(tǒng)還支持雙因素認(rèn)證。在這種情況下，用戶必須通過(guò)嚴(yán)格的認(rèn)證才能修改其定制設(shè)置或者聽取語(yǔ)音郵件。

　　3．有效防止設(shè)備偷接：無(wú)論在哪種IP網(wǎng)絡(luò)中都應(yīng)該防止偷接設(shè)備插入網(wǎng)絡(luò)。鎖定網(wǎng)絡(luò)中的交換端口、網(wǎng)段和服務(wù)將可防止設(shè)備偷接。下面的四個(gè)策略能夠有效防止設(shè)備偷接。

　　首先，由于動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）一般都用于部署可擴(kuò)展的IP電話，因此，可以為已知MAC地址分配IP地址，防止未知設(shè)備獲取地址。

　　其次，許多呼叫處理管理器都提供自動(dòng)電話注冊(cè)特性，以便為未知電話提供臨時(shí)配置，在日常工作中應(yīng)該關(guān)閉這個(gè)功能，以減少設(shè)備偷接機(jī)會(huì)。

　　第三，可以在語(yǔ)音網(wǎng)絡(luò)中使用Arpwatch等工具監(jiān)控MAC地址。與數(shù)據(jù)網(wǎng)段相比，MAC地址更有可能是靜態(tài)的，Arpwatch將跟蹤語(yǔ)音網(wǎng)段中所有設(shè)備的MAC地址。

　　最后，在所有網(wǎng)段中設(shè)置過(guò)濾功能。

　　4．保護(hù)和監(jiān)控所有語(yǔ)音服務(wù)器和網(wǎng)段：對(duì)語(yǔ)音網(wǎng)中的語(yǔ)音服務(wù)器應(yīng)該采取相應(yīng)的保護(hù)措施。網(wǎng)絡(luò)入侵探測(cè)系統(tǒng)（NIDS）是一種強(qiáng)大的工具，目前，NIDS不提供語(yǔ)音控制協(xié)議攻擊簽名。為探測(cè)從數(shù)據(jù)網(wǎng)發(fā)起的對(duì)HTTP用戶設(shè)備的攻擊，應(yīng)該將NIDS部署在呼叫處理管理器的前面。如果想探測(cè)對(duì)語(yǔ)音網(wǎng)的DoS攻擊，應(yīng)該將NIDS部署在語(yǔ)音和數(shù)據(jù)網(wǎng)之間。

　　除監(jiān)控特性外，NIDS還提供兩個(gè)特性。如果探測(cè)到網(wǎng)段上有攻擊特征，它可以打開回避功能，并修改網(wǎng)絡(luò)設(shè)備的3層地址配置，以刪除此網(wǎng)段上的所有其他流量。它的復(fù)位功能可用于撤消這些操作。

　　語(yǔ)音郵件和呼叫處理管理器正確的操作包括：關(guān)閉所有不需要的服務(wù)，及時(shí)為OS和服務(wù)補(bǔ)充最新的安全補(bǔ)丁，強(qiáng)化OS配置，關(guān)閉語(yǔ)音服務(wù)器上不用的特性，以及不在服務(wù)器上運(yùn)行不必要的應(yīng)用（例如電子郵件客戶機(jī)軟件）等。建議安裝基于主機(jī)的IDS（HIDS）。由于語(yǔ)音服務(wù)器的目標(biāo)值高，而且核查安全的時(shí)間長(zhǎng)， HIDS能夠立即、有效地防止攻擊。如果呼叫處理管理器不支持HIDS，則應(yīng)該在數(shù)據(jù)網(wǎng)段中的郵件服務(wù)器上安裝HIDS。語(yǔ)音服務(wù)器可以運(yùn)行分布在多臺(tái)設(shè)備上的多種服務(wù)，應(yīng)當(dāng)利用這個(gè)特性提高安全性。語(yǔ)音服務(wù)器還支持多種管理方法，包括HTTP、SSL和SNMP等協(xié)議。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)