針對所有這些已知的VoIP安全威脅進行安全防護是完全有可能的。采用標準的安全技術(shù)和安全實踐措施是非常必要的一步，諸如使用防火墻和實施良好的設(shè)計和運行策略，其中一個辦法是通過虛擬局域網(wǎng)(VLAN)技術(shù)來將數(shù)據(jù)和語言業(yè)務(wù)分開，讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸;將VoIP統(tǒng)一到同一個VLAN中，在同一VLAN中傳輸?shù)臄?shù)據(jù)對服務(wù)質(zhì)量(QoS)要求相同，可以簡化服務(wù)質(zhì)量(QoS)設(shè)置。QoS設(shè)置簡化后，用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。

　　這種方法帶來直接的好處是，兩者分開還可以將語音網(wǎng)絡(luò)從數(shù)據(jù)VLAN中隱藏起來，可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等，因此沒有了可能會發(fā)起攻擊的計算機，你的VoIP網(wǎng)絡(luò)就會安全很多。

　　但是，使用標準安全技術(shù)不是保證VoIP安全的全部答案。標準安全技術(shù)只能解決標準威脅，我們還需要采取針對性的措施來完全解決許多VoIP特有的安全威脅。就像人們在保護電子郵件和Web應(yīng)用的時候可以采用諸如垃圾郵件過濾器、Web內(nèi)容控制和訪問策略系統(tǒng)等特殊手段一樣。而VoIP的復(fù)雜性顯然要比電子郵件和網(wǎng)頁更加復(fù)雜的多。

　　和需要采取專門的安全技術(shù)來保護VoIP網(wǎng)絡(luò)一樣，也同樣需要采用專門的測試和分析技術(shù)來識別VoIP網(wǎng)絡(luò)的特有安全威脅。標準的入侵和測試工具或許能夠很好的發(fā)現(xiàn)網(wǎng)絡(luò)級別的安全漏洞，但是在探測VoIP應(yīng)用軟件、協(xié)議和內(nèi)容威脅方面還顯得能力不足。

　　現(xiàn)在已經(jīng)有專門保護VoIP網(wǎng)絡(luò)的專用防火墻，它能識別和分析VoIP協(xié)議，而且能對VoIP的數(shù)據(jù)包進行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)任何與攻擊有關(guān)的蛛絲馬跡。

　　另外，如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol)，那么防火墻就應(yīng)當能執(zhí)行下述操作：監(jiān)控進出的SIP信息，以便發(fā)現(xiàn)應(yīng)用程序?qū)哟紊系墓��?支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT以及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。

　　盡管如此，我認為更重要的還是人們對VoIP網(wǎng)絡(luò)安全問題的正確意識，如果不能認識到這些安全風險的存在和危害，再好的技術(shù)和工具都不會完全解決VoIP網(wǎng)絡(luò)所面臨的安全威脅。

　　最后再來反駁一下那些認為SIPtap只有在加密和其他安全控制措施被關(guān)閉的情況才能進行竊聽的看法，據(jù)2007年11月份在北京舉行的SIPit大會數(shù)據(jù)顯示，目前只有25%的被測系統(tǒng)支持SRTP。SRTP是用來加密VoIP通話的公認標準，SIPit是一個SIP互聯(lián)互通的測試活動�；蛟S這次大會所公布這個數(shù)字有些小，但是還是可以讓我們清晰的看到，關(guān)閉加密并不是讓VoIP網(wǎng)絡(luò)陷入安全威脅的主要原因，問題在于首先要讓VoIP系統(tǒng)廠商意識到要在它們的產(chǎn)品加入加密功能。

http://safe.zol.com.cn