大廈模塊

　　服務器模塊的主要目標是向最終用戶和設備提供應用和語音服務。

1．主要IP電話設備

·第3層交換機——第3層交換機在服務器模塊內路由和交換數據、語音和管理流量，并支持流量過濾和NIDS等先進服務。

·公司服務器——公司服務器為內部用戶提供電子郵件和語音郵件服務，并為工作站提供文件、打印和DNS服務。

·呼叫處理管理器——呼叫處理管理器為網絡中的IP電話設備提供語音服務。

·狀態(tài)防火墻——狀態(tài)防火墻為呼叫處理器提供網絡級保護，包括對流量進行狀態(tài)過濾、DoS預防和欺詐預防。

·代理服務器——為IP電話提供數據服務。

2．保護語音安全的措施

·包竊聽/呼叫截獲——交換式基礎設施能有效地預防竊聽。

·非授權訪問——這種訪問可以通過HIDS和應用訪問控制有效消除。

·呼叫者身份欺詐——向管理員通報未知設備。

·話費欺詐——呼叫處理管理器不允許配置未知電話，訪問控制只允許已知電話網相互通信。

·否認——呼叫處理管理器的呼叫設置記錄能提供某種防否認功能。

·IP欺詐——IP欺詐在第3層交換機和狀態(tài)防火墻上提供RFC 2827和1918過濾器。

·應用層攻擊——為操作系統(tǒng)、設備和應用提供最新安全修復，多數服務器還受到HIDS的保護。

·拒絕服務——將語音和數據網分開能顯著減少受攻擊的可能性。狀態(tài)防火墻TCP設置能控制保留給呼叫處理管理器和代理服務器的內容。

·信任關系利用——通過有限信任模式和專用VLAN預防基于信任關系的攻擊。

3．設計指南

　　服務器模型包括IP電話所需的所有語音服務。駐留在分離網段中的呼叫處理管理器、代理服務器、語音郵件和郵件系統(tǒng)不但能適應大型企業(yè)的需要，還能提供分層安全性。所有服務都安裝了HIDS代理，服務器模塊中的所有流量都接受第3層交換機IDS的檢查，呼叫處理網段受到狀態(tài)防火墻保護。

　　服務分離能大大提高可擴展性和安全性。并減少出現配置錯誤的機會。任何其他流量都將遭到拒絕并記錄在案，如果NIDS探測到異常情況，系統(tǒng)將借助原理章節(jié)中列出的說明發(fā)出警報。HIDS能夠探測到郵件、語音郵件或呼叫處理設備中的異常情況。代理服務器與呼叫處理管理器處于同一個VLAN上，但專用VLAN用于防止本地信任關系利用攻擊。

　　限制擴展能力的是呼叫處理管理器和語音郵件系統(tǒng)支持的IP電話設備的數量。在這種設計中，性能不是問題，因為所有必要的服務都在本地的快速以太網交換網上提供，只有通過WAN使用本地服務的某些遠程站點例外。

　　這個模塊也提供第2層和第3層彈性配置。添加語音服務后實現了高可用性。兩個狀態(tài)防火墻將受保護的呼叫處理管理器網段與服務器模塊中的兩臺第3層交換機連接在一起。內部網段的第2層彈性不但表現在防火墻的內部接口與兩臺第2層交換機之間，還表現在雙接口呼叫處理器上。在這種配置中，每個呼叫處理管理器都使用兩塊網絡接口卡，這兩塊接口卡處在同一個網絡中，各與一臺交換機相連。

　　對于IP電話，所有語音服務器都應該支持多個接口。語音服務是網絡的關鍵組件，限制對語音服務的訪問是預防攻擊的關鍵。這種設計使用了第3層和第4層過濾，以便限制已知管理系統(tǒng)對語音服務器的管理。應用級安全性用于為管理流量提供保密和用戶認證。

　　還有一種選擇是將其他DMA網段的語音郵件系統(tǒng)放置在狀態(tài)防火墻上。這種設置能夠在電話設備和語音郵件系統(tǒng)之間執(zhí)行狀態(tài)檢查和過濾，而不是使用目前的無狀態(tài)過濾。這種方法還能為語音郵件系統(tǒng)提供DoS預防，并在它與數據網中的郵件服務器之間提供狀態(tài)檢查。這種方法的唯一缺點是增加了配置的復雜性。

網絡世界(cnw.ccw.com.cn)