使用多层方法确保VoIP安全

对边界进行安全防护：VoIP防火墙对边界进行安全防护：VoIP防火墙
对一个IP网路来说，边界保护通常意味着一个防火墙，但是仅仅是一台老旧的防火墙的话，是不适合一个VoIP网络的。你需要一个特别设计的防火墙来处理VoIP通信。换句话说，它需要能够识别和分析VoIP协议，对VoIP的数据包进行深度检查，并分析VoIP的有效载荷以便发现任何有关攻击的蛛丝马迹。

举例来说，如果你的VoIP部署使用了SIP协议（Session Initiation Protocol），那么防火墙就应当能执行下述操作：

保护VoIP网关
网关是数据进出VoIP网络的关键点；网关会同时连接不同的网络，比如IP网络和公共电话交换网（PSTN）。你应当在网关上使用强力的授权机制以及存取控制，以便控制到底谁可以通过VoIP系统拨打和接听电话，以及到底谁可以执行管理任务，等等。

锁闭物理层
网络的物理层包括IP数据包运行所在的介质。可能是以太网，光纤电缆，或者是无线VoIP中的电波。对一个语音网络而言，限制对介质访问（以及对VoIP服务器和端点的访问）的重要性，丝毫不逊于同等措施对数据网络的重要性。

那些对介质有存取权限的入侵者们——可能是接上一台交换机或者集线器，可能是直接转接电缆，或者是对无线通信进行接听——可以使用一个“嗅探器”软件来捕获所有包含语音数据以及信号信息的数据包。然后他们可以使用类似VOMIT这样的易用工具来对数据重新整合，从而实现对会话的窃听——甚至可以对通讯过程进行修改，并将之运用于语音重放攻击之中。

执行下述步骤：

对网络层面进行保护
你可以使用IPSec加密，来保护网络中的VoIP数据；如果攻击者穿越了你的物理层防护措施，并截获了VoIP数据包，他们也无法破译其中的内容。IPSec使用认证头（AH，Authentication Header）以及压缩安全有效载荷（ESP，Encapsulating Security Payload）来为IP传输提供认证性，完整性以及机密性。

VoIP上的IPSec使用隧道模式，从而对两头终端的身份进行保护。IPSec可以让你的VoIP通讯比使用传统的电话线还要更安全。

锁定会话层
你可以使用TLS来保护VoIP会话，从而保证呼叫建立时就受到保护，并在通话期间一直受到保护。TLS在通话两端之间提供了一个加密信道，并在网络层（IPSec的工作层）和应用层之间进行运作。

TLS使用数字签名和公共密钥加密。这意味着每一个端点都必须有一个可信任的，由权威CA认证的签名——或者经由一个内部CA（比如一台运行了认证服务的Windows服务器）来进行企业内部的通话，或者经由一个公共CA（比如VeriSign）来进行公司之外的通话。RFC 3261定义了一种经由TLS信道发送SIP的方式，被称为“安全SIP（SIPS）”。

保护应用层
你可以使用“安全RTP（SRTP）”来对应用层的介质进行加密。RFC 3711定义了SRTP，可以提供下述安全机制：

你可以使用SRTP（它使用了AES密码），来对无线网以及有线网上的VoIP通讯进行保护。

总结
在企业考虑部署一个VoIP时，对安全的担心依旧是最主要的问题所在。且不论VoIP不断增长的流行趋势，安全方面依旧是它四处扩张的主要障碍。

基于IP网络及其协议的公共性质，VoIP天生就具备相对传统电话网而言更易受到攻击的特质。通过采取一个仔细规划的，多层次的VoIP网络防护措施，企业可以让它VoIP网络的安全程度赶上甚至是超过传统的电话系统。

（责任编辑:陈毅东）