保障VOIP網(wǎng)絡(luò)技術(shù)發(fā)展的措施

在我們前面談到的有關(guān)于VoIP網(wǎng)絡(luò)技術(shù)存在的一些問題，這也是影響它發(fā)展的一些因素。那么，如何保障這項技術(shù)的發(fā)展呢？下面我們就來談?wù)勏嚓P(guān)的內(nèi)容。從下文中您將對這方面的只是有所了解。

VoIP網(wǎng)絡(luò)技術(shù)在這項技術(shù)研發(fā)伊始，開發(fā)者期望它作為傳統(tǒng)長途電話的一種廉價的替代方式，因此并未太多在意安全問題;同時，VoIP網(wǎng)絡(luò)技術(shù)也是跟隨著整個網(wǎng)絡(luò)市場的發(fā)展而發(fā)展，太多不同廠家和產(chǎn)品的同時存在導(dǎo)致一時無法提出一個統(tǒng)一的技術(shù)標(biāo)準(zhǔn);VoIP的基礎(chǔ)還是IP網(wǎng)絡(luò)，開放的體系構(gòu)架不可避免受到了來自網(wǎng)絡(luò)的負(fù)面影響。最大限度地保障VoIP的安全主要的方法有以下幾種:

1.將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)進(jìn)行隔離

這里所說的隔離并不是指物理上的隔離，而是建議將所有的IP話機(jī)放到一個獨立的VLAN當(dāng)中，同時限制無關(guān)的PC終端進(jìn)入該網(wǎng)段。通過很多評測者的反饋信息表明，劃分VLAN是目前保護(hù)IP話音系統(tǒng)最為簡單有效的方法，可以隔離病毒和簡單的攻擊。同時，配合數(shù)據(jù)網(wǎng)絡(luò)的QoS設(shè)定，還將有助于提高話音質(zhì)量。

2.將VoIP網(wǎng)絡(luò)技術(shù)作為一種應(yīng)用程序來看待

這也意味著我們需要采用一些適用于保護(hù)重要的應(yīng)用服務(wù)器之類的手段，來保護(hù)VoIP設(shè)備中一些重要的端口和應(yīng)用，例如采用北電網(wǎng)絡(luò)Aleton交換防火墻就可以有效地抵御DoS的攻擊。同樣的辦法也適用于VoIP系統(tǒng)，當(dāng)兩個IP終端進(jìn)行通話時，一旦信令通過中心點的信令服務(wù)進(jìn)程建立之后，媒體流只存在于兩個終端之間;只有當(dāng)IP終端上發(fā)起的呼叫需要透過網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時，才會占用媒體網(wǎng)關(guān)內(nèi)的DSP處理器資源。所以，我們需要對信令和媒體流兩類對外的地址和端口進(jìn)行保護(hù)。

同時，盡可能少的保留所需要的端口，例如基于Web方式的管理地址，并且盡可能多的關(guān)閉不需要的服務(wù)進(jìn)程。需要提醒的是H.323/SIP在穿越NAT和防火墻的時候會遇到障礙，這是由于協(xié)議本身的原因造成的，但通過啟用“應(yīng)用層網(wǎng)關(guān)”(ApplicationLayerGa-teway簡稱ALG)之后，就可以解決這個問題;隨著呼叫量的增長，可以采用外置媒體流代理服務(wù)器(RTPMedia Portal)的辦法來支持更大規(guī)模的VoIP網(wǎng)絡(luò)技術(shù)系統(tǒng)。

3.選擇合適的產(chǎn)品和解決方案

目前不同廠家的產(chǎn)品體系構(gòu)架不盡相同，操作平臺也各有偏愛。我們無法斷言哪種操作系統(tǒng)最為安全可靠，但廠家需要有相應(yīng)的技術(shù)保障來讓用戶相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時，很多廠家的產(chǎn)品也采用了管理網(wǎng)段和用戶的IP話音網(wǎng)段在物理上隔離的機(jī)制，盡可能少的將端口暴露在外網(wǎng)上。北電網(wǎng)絡(luò)推出的Succession1000/1000M就采用了這些設(shè)計思路，將管理網(wǎng)段和用戶網(wǎng)段徹底在物理上隔離，并采用VxWorks操作系統(tǒng)，盡可能多的屏蔽外界對系統(tǒng)的影響。此外，VoIP的安全問題和數(shù)據(jù)網(wǎng)絡(luò)的安全本質(zhì)上是緊密相關(guān)的，需要廠家提供的不僅僅是一套設(shè)備，更多的是如何幫助用戶在現(xiàn)有的網(wǎng)絡(luò)上提高安全和可靠性的思路和一些技巧。

4.話音數(shù)據(jù)流的加密

目前H.323協(xié)議簇中有一成員-H.235(又稱為H.Secure)是負(fù)責(zé)身份驗證、數(shù)據(jù)完整性和媒體流加密的。更實際的情況是廠家會選用各自私有的協(xié)議來保證VoIP的安全性。但即使沒有H.235或其他的手段，想要偷聽一個IP電話呼叫仍要比偷聽一個普通電話要困難的多，因為你需要編解碼器算法和相應(yīng)的軟件。即使你獲得了軟件并且成功連接到公司的IP話音網(wǎng)段，仍然有可能一無所獲。因為目前很多企業(yè)內(nèi)部的數(shù)據(jù)網(wǎng)絡(luò)都采用以太網(wǎng)交換機(jī)的10/100M端口到桌面而不是HUB，因而無法通過Sniffer的方式竊取信息。

5.合理制定員工撥號權(quán)限

很多廠家已經(jīng)將傳統(tǒng)交換機(jī)的豐富功能移植到了VoIP網(wǎng)絡(luò)技術(shù)系統(tǒng)，這些功能將有效地抑制竊取登陸密碼進(jìn)行盜打的現(xiàn)象。給IP電話設(shè)定能否撥打長途或特定號碼的權(quán)限，或者是通過授權(quán)碼的方式要求撥打長途號碼前必須輸入正確的若干位密碼等方式，可以簡單的解決上述問題。

IP網(wǎng)絡(luò)所存在的安全問題一直以來受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用，VoIP所面臨的一些安全隱患，實際是IP網(wǎng)絡(luò)上存在的若干問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題，同時配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制，基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定的發(fā)揮作用，并成為解決企業(yè)話音通信需求的有效方法。