保护 IP通信的关键网络设备

有效的安全控制必须是端到端进行部署，并涵盖网络中所有的部件、系统和链路。对于语音通信来说，安全性必须顾及到下列要素：

• 网络基础设施 ： 承载所有 IP数据、语音和视频流量的基础网络；包括工作组交换机、路由器和连接的链路。

• 呼叫处理系统 ： 服务器和相关的设备，提供呼叫管理、控制和计费功能。

• 端点 ： IP电话、视频终端和其他用户设施

• 应用 ： 用户端应用，例如会议、统一消息、联络中心和 XML服务，也包括扩展IP通信系统功能的客户化工具。

网络安全的三个基本原则

一个企业的网络保护措施应该遵循三个基本原则：安全的连接和管理、威胁防御、管理信任关系和身份。为了加强对语音安全的关注，思科在针对数据网络的安全指南基础上，进一步为 IP语音制定了全面、专门的SAFE指南。它同样关注上述的三个方面。

安全连接不仅包括负责传输语音的底层数据基础设施，有些特殊的规定还有助于提高语音的安全性。针对传输语音的 IP网络的安全措施特别注重保护四种主要的语音系统设备：IP电话、呼叫管理器、语音信箱系统和语音网关。同样，在信任关系和身份管理以及威胁防御方面，也有专门针对语音的规定。例如，应用一些措施区分和隔离语音呼叫和数据通信，以保障IP电话的安全，防止闯入数据网络的病毒渗入语音平台，以及安排网络的语音和数据部分之间的连接。

安全连接

第一步，在为数据通信制定安全策略的同时，为语音通信制定一项专门的安全策略。

只有在制定一项这样的策略后，您才可以将精力集中于保护 IP语音的安全。现在的很多数据安全措施也可用于保护这种新兴的技术，而且应当在专门解决语音安全问题之前采用。安全连接需要一个安全的底层数据网络——一个对第二层和第三层进行了加固的网络。在加固措施中，有一种是“利用思科 IOS软件中内置的安全功能——例如状态化防火墙和入侵检测——提高路由器和交换机的安全性，启用有助于加强安全的功能，禁用那些可能会产生网络漏洞的功 能，以及强化设备配置。

路由器的加固措施包括：禁止简单网络管理协议（ SNMP）访问，关闭不需要的服务，使用安全的管理方法（例如Secure Shell（SSH）），以及确认路由升 级的有效性。交换机 的加固措施包括：通过地址解析协议（ ARP）检测或虚拟专网（VLAN）等功能进行第二层加固，利用IP许可列表限制对管理端口（例如SNMP）的访问，利用一个专门的VLAN ID管理所有中继端口，以及禁用没有用到的端口。

另外还需要对呼叫管理器、语音信箱系统和语音网关采取类似的加固措施。这些应用都必须根据供应商的非常好的实践进行正确的设置。这个步骤往往被那些认为系统在出厂时已经启用了所有安全功能的管理人员所忽视。由于这些系统可能会以不同的方式进行部署，所以必须针对每次安装的特定环境进行相应设置。

加固网络有助于防止它受到各种借助数据通信发动攻击的影响，例如 DoS、电子欺诈、分组监听、病毒、蠕虫等。下一步是划分网络功能。它可以通过提供更加有效的访问控制和成功地阻止攻击，确保在入侵者闯入数据网络的情况下，语音流量不会受到任何影响。首先，网络应当被划分为多个功能模块。例如，一个园区网络可以被分为一个管理模块、楼宇模块（用户）、服务器模块、实验室模块、楼宇分发、核心和边缘分发。

在上述措施完成后，您可以将语音和数据分开，再通过将语音用户划分到您的以太网 LAN交换机上建立的各个VLAN中，将他们分为多个群组。网络的语音和数据部分之间的连接（该连接仍然是融合的，因为实际使用的只是逻辑隔离，而不是物理隔离）应当被限制于特定位置，例如呼叫处理和语音信箱系统。

在今天这个蠕虫攻击愈演愈烈的时期，网络划分具有非常重要的意义。将数据与语音分开使得对数据网络的攻击不大可能会波及语音部分。例如，基于 RTP实时传输协议的语音流媒体使用的端口范围很广——从16384到32768，如果不进行正确的过滤和划分，攻击可能会通过其中一个端口从数据部分进入语音部分。

您还需要关闭那些可以自动允许试图闯入的用户进入网络或受限网段的系统功能。例如，很多呼叫管理器提供了一种自动的电话注册功能。它会为一部未知的电话提供一个临时性的配置，随后允许它进入网络。这种做法所产生的危险是显而易见的：这部电话——或者某个伪装为电话的设备——可以利用这个漏洞，获得额外的权限或者访问保密的数据。除了在开始的批量设置阶段运用外，建议关闭这项功能。另外一项功能允许通过 IP电话的以太网接口连接的PC接入网络，以承担中继功能。大部分部署都不需要用到这种功能。第三种功能让IP电话可以将所有语音分组复制到电话的数据端口，以支持本地语音诊断或其他应用。同样，这种功能在大多数情况下也是不必要的，而且如果插入数据端口的PC遭受远程攻击，就会导致网络被监听。关闭这两项功能可以提高系统安全性。

最后，访问控制列表（ ACL）还可以通过在第二层和第三层之间进行隔离保障连接的安全。内嵌于所有思科路由器、防火墙和多款交换机之中的ACL可以根据请求方的IP地址和协议/端口信息，允许或拒绝语音和数据VLAN之间的访问请求。如果您不在访问控制列表上，您就无法进入网络。它们有助于在数据与语音VLAN之间、语音VLAN之间或者不同模块之间防止未经授权的访问——这对于防御可以自动在整个网络中迅速传播的蠕虫或病毒特别有用。在每个可以支持ACL的设备中启用ACL，可以实施严格的隔离。