四方法保护VoIP安全

    企业利用VoIP技术，的确可以达到节省长途电话费，降低企业运营成本的目的。但VoIP所暴露的越来越多的安全隐患，需要企业不得不规划出一整套切合实际的防范方案。那么，在存在这些潜在威胁和安全漏洞的情况下，用户数量巨大的VoIP系统应该如何实施安全防御呢？笔者提出一些小建议供VoIP用户参考：

    方法一，使用第四代深度包检测防火墙。与第三代全状态检测防火墙不同的是，新一代防火墙，具备深度包检测功能，这类设备不仅可以检测位于第三层、第四层的TCP/IP协议和规则，还可以扫描应用层数据，从而实现网关防病毒、入侵防护、反间谍软件等功能，也就在一定程度上保护了操作系统本身及VoIP系统的安全。目前很多UTM设备具有上述功能。在选购此类设备时还应考虑到一个好的UTM安全设备，应该包含对H.323和SIP协议安全漏洞的防护。

    方法二，将VoIP基础设施及数据设备布置在不同的VLAN中。具体实现方法是：将语音和数据划分到不同的虚拟局域网（VLAN）中，以便让语音和数据在不同的虚拟局域网上传输，这样可以简化服务质量（QoS）设置。QoS设置简化后，用户只需为VoIP虚拟局域网赋予优先级即可。 另外，不少高端交换机的802.1Q特性提供了很多同样的保护，这些特性同样可实现将语音和数据放在不同的VLAN上的功能。

    这种方法带来直接的好处是，两者分开还可以将语音网络从数据VLAN中隐藏起来，可以有效地解决数据欺骗、DoS攻击等，因此没有了可能会发起攻击的计算机，VoIP系统就会安全很多。

    方法三，建议不要使用软电话。软电话即运行在PC上的电话软件，因为软电话使隔离语音与数据变得几乎不可能；建议使用IP电话机。将IP电话机的IP地址与它的MAC地址建立关联是帮助减少IP地址欺骗的好办法。

    方法四，建立完善的系统监控机制。比如部署合适的监视工具和入侵检测系统，用于发现试图攻入VoIP网络的各种尝试。通过仔细观察这些工具所记录下来的日志，管理员可轻易发现各种数据流量的异常状况，从而可以发现是否有人试图使用暴力破解帐号进入。

    采用封闭的VoIP系统  多数新兴企业乐于采用封闭性的VoIP系统，即分组语音只在LAN上传送，并且大多数外部传输流只能经过网关在PSTN上传送。这种情况下，办公室间的传输流一般只在受保护的办公室到办公室连接上传送。

    提示：采用这种封闭的VoIP系统需要加强企业的呼叫服务器、交换机和网关，并利用合适类型的防火墙和IPS来保护它们。

    VoIP安全威胁并非是不可预防的

    事实上，VoIP网络的安全性很大程度上取决于网络内设备的操作系统和运行在其上的各种应用。及时维护操作系统和VoIP应用系统的补丁，对于防范来自恶意软件或病毒的威胁是非常重要的。事实上，很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。

    其实，就如互联网安全话题一样，无论你的防范多么严密，只要企业向Internet开放VoIP，就会在自己的网络上打开巨大的潜在安全窟窿。只要随时能够认识到VoIP系统安全的主要薄弱环节，通过软硬结合的办法，VoIP安全也就不是空话；再说，融合语音和数据应用的好处那么大，安全问题也不可能阻止到企业部署VoIP的步伐，VoIP安全，定会越来越好。