管理信任关系和身份

在连接的安全性达到了你的目标之后，你应当关注于身份和信任关系的管理。你怎么知道致电给你的人——或者接你电话的人——的确是他或她本人？思科提供的一些新颖技术和功能可以帮助你确认对方的身份，其中包括动态主机配置协议（ DHCP）监听、IP源保护、动态地址解析协议检测（DAI）。这些技术可以检测经过思科路由器和交换机的访问请求，并对请求访问网络的设备进行身份验证，从而有效防止身份伪装。

DHCP监听可以通过拦截不可靠的DHCP消息——来自于网络或者防火墙之外——防御针对DHCP服务器的基本攻击和DoS资源衰竭攻击。利用DHCP，您可以静态地将一个IP电话的IP地址分配到已知的MAC地址，从而让该IP电话始终具有相同的MAC地址。黑客很难同时伪装这两个地址。

IP源保护的功能可以阻塞和过滤所有通过某个特定端口传输的IP分组（除了DHCP分组以外，这一点由DHCP监听器进行检查）。它只允许具有一个DHCP分配地址的分组通过，从而可以防止恶意主机通过盗用某个相邻主机的IP地址攻击某个网络。DAI会将MAC地址限制于每个端口一个，从而防御各种监听攻击。

为了保护终端用户，思科的 IP电话可以通过数字签名——一种非常重要的新功能——验证所下载的软件映像文件的准确性。黑客可能会试图在IP电话上加载无效的映像文件，从而让其无法操作或者更改它的操作模式。发生后一种情况的可能性较小，但是这也是我们所担心的问题之一。利用数字签名，IP电话就能够验证映像文件的来源。

威胁防御

第三个焦点问题是威胁的管理和防御。关键的技术是状态化防火墙、入侵检测系统（ IDS）和入侵防御系统（IPS）。建议主要在两个位置部署状态化防火墙——语音和数据部分会合的地方，以及需要用一个状态监视器保护数据服务的地方。用状态化防火墙保护网络中的每个系统和每个语音部分并不是一件轻松的任务。思科PIX装置能轻松胜任这项任务，处理各种连接，例如，语音部分中的一个语音信箱系统和数据部分中的一个电子邮件系统之间的连接；语音部分中的IP电话连接到另外一个语音部分的呼叫管理器；基于PC的IP电话连接到呼叫管理器；语音网关与融合式流量会合的地方。”

当 ACL需要过滤动态的端口地址，而不是静态的地址时，PIX装置就会承担起状态监视器的角色。ACL并不是状态化的，因而当使用动态端口和RTP协议时，必须开放范围广泛的端口，以建立连接。利用协议感知功能，状态化防火墙可以提供准确到单个端口的精确度，因而不需要开放大量的端口。思科防火墙——包括基于IOS和基于PIX的——都进行了大量的改进，以解决IP语音所带来的问题。

IDS是另外一种必不可少的功能——包括网络中基于网络的IDS（NIDS）和主机上基于主机的IPS（HIPS）。两者分别提供了不同的保护方法。NIDS可以在分组流中寻找已知攻击的特征或者比特序列。它像防病毒系统一样，可以防止网络受到特征已被映射的已知攻击的威胁。它们还可以检测协议和其他异常情况。IDS应当被用于保护网络中的所有关键系统，包括语音信箱和呼叫管理系统。

HIPS弥补了NIDS的不足，它们采用了一种基于行为的而不是基于特征的检测方法寻找主机中的异常事件，并提供“零日攻击防御”。即使主机没有安装漏洞补丁程序，或者某个新的攻击不具有任何已知的攻击特征，IPS仍然可以制止攻击。它们通过监控行为和检测异常情况发挥作用，并且可以真正地、及时地防御各种攻击。试想一下，为什么一个Web服务器的80端口要修改它在注册表中的设置？为什么一个Web服务器要将可执行的cmd.exe复制到它的Web脚本目录？Web服务器是否需要运行shell命令？这些事件显然不应当发生，但是我们在最近的一些感染系统的蠕虫行为中都可以看到它们的踪影。IPS可以防止这些事件的发生。

思科通过思科安全代理（ CSA）提供IPS功能。目前很多思科语音产品和思科VPN客户端都可以支持CSA。它可以提供一个额外的“零日”防御层。CSA具有两个版本——桌面版和服务器版。它可以提供入侵防御、分布式防火墙、恶意移动代码检测、操作系统完整性保障和审核日志整合等功能。

在针对安全连接、身份和信任关系管理，以及威胁管理和防御采取了相应的措施后，您的总体战略应当是“深度防御”。在整个网络中的任何或者全部系统中的任何合适的地方采用部分或者所有安全技术。绝不要依赖于某一种单独的安全机制。因此，应当在路由器、交换机、服务器，甚至客户端系统（例如 PC）上启用IDS。当然，还应当在大部分系统上部署ACL；当网络中不同层次的多个系统采用了多项技术时，应当使用思科 IOS软件和防火墙装置。