中小型IP电话安全设计分别利用了SAFE中的中、小型网络设计，主要涉及2个模块：公司互联网模块和园区网模块，为了提供IP电话功能，都对相应模块进行了修改，每种设计或模块应包含的内容有：整体设计、访问控制和包检查、性能和可扩展性、高可用性、安全管理、其他设计方案。假设这种设计用于公司总部，如果用于分支机构，还应该作相应的修改。

小型IP电话

在小型IP电话安全设计中，其公司互联网模块已经过修改，以便支持语音服务、针对WAN备份和本地呼叫的公共交换电话网（PSTN）以及针对数据/语音分离的VLAN。园区网也进行了修改，以便支持IP电话、基于PC的IP电话、代理服务和VLAN。整个小型企业设计如图2所示。




公司互联网模块

公司互联网模块为内部用户提供与互联网服务的连接。

1．与IP电话相关的设备

● 语音型防火墙路由器——提供网络级资源保护，对流量进行状态过滤，并提供语音服务。

2．保护语音安全的措施

● 非授权访问——通过防火墙的过滤功能阻止这种访问。

● 话费欺诈——访问控制只允许已知电话设备相互通信。

● 拒绝服务——通过TCP设置控制功能限制暴露给呼叫处理管理器的程度。

● IP欺诈——RFC 2827和1918过滤器放置在互联网电信服务供应商（ISP）边缘和本地防火墙路由器上。

3．设计指南

这种模块的所有特性都被压缩到一个盒中。这些特性包括路由、NAT、IDS、VLAN、语音服务、VPN和状态防火墙。在SAFE中共提出了两个主要设计方案。第一个方案是使用路由器。这种设置能够为小型网络提供较高的灵活性。另一个方案是使用专用防火墙。但是，专用防火墙对总体设计和IP电话的部署有许多限制。

路由器通过访问控制和状态检查控制数据网和语音网之间的接入。应该注意的是，路由器和防火墙中的集成式IDS不能提供独立NIDS设备提供的全部特性。

园区网模块

园区网模块包括最终用户工作站、公司内部网服务器、管理服务器、IP电话以及支持设备所需的相关的第2层基础设施。在小型网络设计中，第2层功能已经集成到一台交换机中。

1．关键的IP电话设备

● 第2层交换机（带VLAN支持）——为数据和语音设备提供第2层服务。

● 公司服务器——为内部用户提供电子邮件和语音邮件服务，为工作站提供文件、打印和域名系统（DNS）服务。

● 用户工作站——通过基于PC的IP电话为网络上的授权用户提供数据服务和语音服务。

● IP电话——为网络上的用户提供语音服务。

● 呼叫处理管理器——为网络中的IP电话设备提供语音服务。

● 代理服务器——为IP电话提供数据服务。

2．保护语音安全的措施

● 包窃听/呼叫截获——限制窃听有效性的交换式基础设施。

● 病毒和特洛伊木马应用——基于主机的病毒扫描能预防多种病毒和特洛伊木马。

● 非授权接入——这种接入可以通过使用HIDS和应用访问控制消除。

● 应用层攻击——为操作系统、设备和应用提供最新的安全补丁，多数服务器都可以受到HIDS的额外保护。

● 呼叫者身份欺诈——向管理员报告未知设备。

● 话费欺诈——呼叫处理管理器将不允许配置未知电话。

● 拒绝服务——将语音网和数据网分开能大大减少攻击的可能性。

● 否认——用户必须在访问电话设备前接受认证，目的是减少拒绝为已拨打电话付费的机会。

● 信任关系利用——限制信任模式和专用VLAN，以便预防基于信任关系的攻击。

转载地址:http://www.voipchina.cn/technology/2004-03-24/36573.shtml