一旦企業(yè)用戶(hù)對(duì)VoIP通信經(jīng)過(guò)測(cè)試，證明能正常工作，那么余下的工作便是解決安全性問(wèn)題。VoIP通信要完全做到像其他數(shù)據(jù)應(yīng)用一樣安全，需要進(jìn)行適當(dāng)?shù)呐渲�，并跟網(wǎng)絡(luò)中其它服務(wù)器和應(yīng)用一樣，對(duì)其進(jìn)行精心管理。
　　保障VoIP安全不僅僅是單方面的，而是一系列典型處理進(jìn)程的集合，它涵蓋了網(wǎng)絡(luò)中相關(guān)的服務(wù)器、各類(lèi)應(yīng)用以及語(yǔ)音本身。而且，在選擇防火墻、入侵檢測(cè)系統(tǒng)（IDS）和其它安全工具時(shí)也同樣需要謹(jǐn)慎從事。
　　防火墻選取至關(guān)重要
　　保障VoIP數(shù)據(jù)在防火墻中的安全是一項(xiàng)相當(dāng)繁雜的工作。VoIP會(huì)話(huà)采用的協(xié)議為H.323或SIP（會(huì)話(huà)初始協(xié)議），防火墻在整個(gè)VoIP通信配置中必須能處理這類(lèi)相當(dāng)復(fù)雜的實(shí)時(shí)通信協(xié)議。H.323與SIP具有單獨(dú)的控制和媒體傳輸連接方式，典型地是選擇在一個(gè)IP端口建立呼叫連接，而隨機(jī)選取另一個(gè)大數(shù)額端口（通常在1024端口以上）作為數(shù)據(jù)通信連接。因而不能簡(jiǎn)單地將防火墻配置為對(duì)特定端口開(kāi)放或禁止，因?yàn)榉阑饓�無(wú)法識(shí)別哪個(gè)端口將被用于通信連接。這就需要一類(lèi)能充分識(shí)別此類(lèi)協(xié)議的防火墻，當(dāng)會(huì)話(huà)啟動(dòng)并通過(guò)控制域中的認(rèn)證后，適時(shí)打開(kāi)數(shù)據(jù)連接通道，并在會(huì)話(huà)結(jié)束時(shí)即時(shí)關(guān)閉連接。
　　另外，防火墻還須保證在不影響語(yǔ)音流傳輸性能的前提下，進(jìn)行完整的數(shù)據(jù)包檢測(cè)。據(jù)ITU的建議，在端到端通信中語(yǔ)音流應(yīng)不超過(guò)100毫秒延遲，因?yàn)檎Z(yǔ)音包比普通數(shù)據(jù)包要小得多，每秒傳輸?shù)陌鼣?shù)量相應(yīng)地要大得多（每次語(yǔ)音流中每秒約傳輸50個(gè)數(shù)據(jù)包，幾乎是一次數(shù)據(jù)流的兩倍），語(yǔ)音通信處理會(huì)明顯降低防火墻性能。雖然軟件防火墻能很好地處理數(shù)據(jù)通信，但要應(yīng)付每秒50個(gè)數(shù)據(jù)包的呼叫請(qǐng)求——幾乎是它能監(jiān)測(cè)數(shù)據(jù)包的極限，因此很多軟件防火墻根本就吃不消。相對(duì)而言，專(zhuān)用硬件防火墻在這方面就在行得多。
　　與防火墻配套使用的VPN設(shè)備的處理能力也值得關(guān)注。當(dāng)語(yǔ)音流中每秒數(shù)據(jù)包達(dá)20個(gè)左右時(shí)，一些低端VPN加密機(jī)就難以應(yīng)付了，數(shù)據(jù)包超過(guò)一定限度甚至有可能造成加密機(jī)癱瘓。有的防火墻不具備硬件加速器，只有軟件方案，與VPN設(shè)備聯(lián)合使用就更難適應(yīng)語(yǔ)音通信要求了，因?yàn)槎秳?dòng)太厲害。而且，只要防火墻處理器繁忙，必然造成語(yǔ)音包丟失。
　　還有一個(gè)問(wèn)題是，它不能將來(lái)自遠(yuǎn)程站點(diǎn)的呼叫轉(zhuǎn)接到另一遠(yuǎn)程站點(diǎn)，因?yàn)榉阑饓Σ粶?zhǔn)許語(yǔ)音包通過(guò)同一端口進(jìn)入和輸出。要徹底解決這一問(wèn)題，只有解除路由器中建立的IPSec隧道，由于路由器具備硬件加速器，且能進(jìn)行站點(diǎn)間路由轉(zhuǎn)發(fā)，因而能高效實(shí)現(xiàn)語(yǔ)音通信。
　　服務(wù)器安全保障不可少
　　VoIP服務(wù)器配置需要特別留意，大多數(shù)IP PBX操作系統(tǒng)都附帶其他服務(wù)功能，這有可能引發(fā)安全性問(wèn)題。Avaya認(rèn)為，服務(wù)器應(yīng)專(zhuān)注于語(yǔ)音處理。Avaya開(kāi)發(fā)的MultiVantage IP PBX采用Linux系統(tǒng)，其中既無(wú)Web瀏覽器，也無(wú)郵件系統(tǒng)和守護(hù)進(jìn)程（daemon，用于郵件收發(fā)的后臺(tái)程序）。這也就是說(shuō)，應(yīng)盡量減少一般服務(wù)器具備的網(wǎng)絡(luò)服務(wù)工具。這種對(duì)操作系統(tǒng)的“瘦身” 加固配置，有利于保護(hù)平臺(tái)免受病毒和蠕蟲(chóng)侵害。一些IP電話(huà)核心服務(wù)器簡(jiǎn)單配置Windows NT操作系統(tǒng)后，就容易遭到Nimda這類(lèi)病毒攻擊。據(jù)Nortel稱(chēng)，他們采用的平臺(tái)基于嵌入式NT（本身進(jìn)行了漏洞修補(bǔ)）設(shè)計(jì)，并經(jīng)過(guò)嚴(yán)格測(cè)試，去除了不必要的服務(wù)，因而IP電話(huà)平臺(tái)從未遭受過(guò)攻擊。
　　另一成功應(yīng)用案例是Cisco，此前他們采用基于NT的CallManager VoIP服務(wù)器，結(jié)果遭受到Nimda病毒攻擊。Cisco隨后對(duì)系統(tǒng)進(jìn)行了修補(bǔ)，對(duì)平臺(tái)進(jìn)行加固處理，保障了VoIP的安全。Cisco還計(jì)劃在年底前推出非NT平臺(tái)，盡管用戶(hù)對(duì)其弱點(diǎn)情況和補(bǔ)丁管理抱有疑慮，但他們堅(jiān)信，VoIP服務(wù)器面臨的安全風(fēng)險(xiǎn)不會(huì)比其他網(wǎng)絡(luò)設(shè)備大。
　　很多用戶(hù)因?yàn)榘踩�原因而不愿意使用基于Windows系統(tǒng)的IP PBX。人們一旦談及關(guān)鍵應(yīng)用，首先想到的是：平臺(tái)是否容易受到病毒或黑客攻擊——Windows系統(tǒng)不是受攻擊的最大目標(biāo)嗎？操作系統(tǒng)選取是一個(gè)方面，但重要的是系統(tǒng)穩(wěn)定，不需要太多附加安全工具進(jìn)行保護(hù)。基于此，很多公司都將Linux/Unix作為VoIP通信平臺(tái)。
　　還有就是需要采取必要預(yù)防措施，不讓語(yǔ)音服務(wù)器暴露于Internet。語(yǔ)音服務(wù)器應(yīng)采用專(zhuān)用IP，語(yǔ)音通信只在經(jīng)VPN加密的安全LAN中傳輸，而不是將VoIP暴露于Internet。為實(shí)現(xiàn)這一點(diǎn)，企業(yè)用戶(hù)一般是從單一通信服務(wù)商購(gòu)買(mǎi)語(yǔ)音線路，以方便基于LAN處理通信。
　　與防火墻技術(shù)關(guān)系緊密的IDS也是保障VoIP通信安全的重要一環(huán)。一些專(zhuān)注于語(yǔ)音應(yīng)用的IDS能提供更多的VoIP服務(wù)器保護(hù)，但目前這類(lèi)設(shè)備配置還很少。而且IDS存在一個(gè)致命弱點(diǎn)，它容易引發(fā)錯(cuò)誤告警，從而影響到功能發(fā)揮，尤其是在語(yǔ)音通信環(huán)境。這就需要設(shè)置大量規(guī)則，以處理數(shù)量巨大的語(yǔ)音包，否則系統(tǒng)面對(duì)的將是無(wú)止境的“主動(dòng)性”錯(cuò)誤告警。Cisco聲稱(chēng)已獲得解決這類(lèi)問(wèn)題的專(zhuān)門(mén)技術(shù)，一是依據(jù)檢測(cè)情況的自動(dòng)告警功能（旗下Psionic公司開(kāi)發(fā)），一是Okena公司開(kāi)發(fā)的入侵預(yù)防和檢測(cè)系統(tǒng)（IPS）。
　　防止竊聽(tīng)進(jìn)行線路加密
　　VoIP應(yīng)用中另一個(gè)值得關(guān)注的安全問(wèn)題是防止黑客竊聽(tīng)語(yǔ)音呼叫或竊取語(yǔ)音服務(wù)。防止竊聽(tīng)的一種方法是對(duì)呼叫進(jìn)行加密，這對(duì)現(xiàn)行VPN技術(shù)來(lái)說(shuō)已易于實(shí)現(xiàn)（撇開(kāi)互操作問(wèn)題）。但首先得保證VoIP終端設(shè)備具備足夠的處理資源以支撐VPN客戶(hù)端，而很多IP電話(huà)根本就不具備這個(gè)能力。此種情形下，用戶(hù)就只能在工作站或電腦中實(shí)現(xiàn)VPN客戶(hù)端，將電話(huà)連接到PC。這種配置方式未嘗不可，但要保證電腦不會(huì)與VoIP呼叫產(chǎn)生沖突。例如，如果運(yùn)行Windows XP系統(tǒng)，將不會(huì)遇到什么問(wèn)題，但若是Win98就有麻煩了；連接線路方面，若采用256K DSL接入，支持語(yǔ)音通信綽綽有余，但要同時(shí)運(yùn)行Outlook這類(lèi)客戶(hù)端郵件軟件，系統(tǒng)可能就吃不消了。
　　另外就是，沒(méi)有必要對(duì)LAN中VoIP通信進(jìn)行全面加密。典型的例子是，現(xiàn)今蜂窩電話(huà)已相當(dāng)普及，要進(jìn)行竊聽(tīng)會(huì)比VoIP通信流容易得多，應(yīng)該承認(rèn)不是每類(lèi)通話(huà)都需要保密�？傊�，VoIP應(yīng)用中，加密實(shí)現(xiàn)相對(duì)于其它問(wèn)題要簡(jiǎn)單些。

賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)