安全意识+专门技术=安全的VoIP网络

　　针对所有这些已知的VoIP安全威胁进行安全防护是完全有可能的。采用标准的安全技术和安全实践措施是非常必要的一步，诸如使用防火墙和实施良好的设计和运行策略，其中一个办法是通过虚拟局域网(VLAN)技术来将数据和语言业务分开，让语音和数据在不同的虚拟局域网上传输;将VoIP统一到同一个VLAN中，在同一VLAN中传输的数据对服务质量(QoS)要求相同，可以简化服务质量(QoS)设置。QoS设置简化后，用户只需为VoIP虚拟局域网赋予优先级即可。

　　这种方法带来直接的好处是，两者分开还可以将语音网络从数据VLAN中隐藏起来，可以有效地解决数据欺骗、DoS攻击等，因此没有了可能会发起攻击的计算机，你的VoIP网络就会安全很多。

　　但是，使用标准安全技术不是保证VoIP安全的全部答案。标准安全技术只能解决标准威胁，我们还需要采取针对性的措施来完全解决许多VoIP特有的安全威胁。就像人们在保护电子邮件和Web应用的时候可以采用诸如垃圾邮件过滤器、Web内容控制和访问策略系统等特殊手段一样。而VoIP的复杂性显然要比电子邮件和网页更加复杂的多。

　　和需要采取专门的安全技术来保护VoIP网络一样，也同样需要采用专门的测试和分析技术来识别VoIP网络的特有安全威胁。标准的入侵和测试工具或许能够很好的发现网络级别的安全漏洞，但是在探测VoIP应用软件、协议和内容威胁方面还显得能力不足。

　　现在已经有专门保护VoIP网络的专用防火墙，它能识别和分析VoIP协议，而且能对VoIP的数据包进行深度检查，并能分析VoIP的有效载荷以便发现任何与攻击有关的蛛丝马迹。

　　另外，如果你的VoIP部署使用了SIP协议(Session Initiation Protocol)，那么防火墙就应当能执行下述操作：监控进出的SIP信息，以便发现应用程序层次上的攻击;支持TLS(传输层安全);执行基于SIP的NAT以及介质端口管理;检测非正常的呼叫模式;记录SIP信息的详情，特别是未经授权的呼叫。

　　尽管如此，我认为更重要的还是人们对VoIP网络安全问题的正确意识，如果不能认识到这些安全风险的存在和危害，再好的技术和工具都不会完全解决VoIP网络所面临的安全威胁。

　　最后再来反驳一下那些认为SIPtap只有在加密和其他安全控制措施被关闭的情况才能进行窃听的看法，据2007年11月份在北京举行的SIPit大会数据显示，目前只有25%的被测系统支持SRTP。SRTP是用来加密VoIP通话的公认标准，SIPit是一个SIP互联互通的测试活动。或许这次大会所公布这个数字有些小，但是还是可以让我们清晰的看到，关闭加密并不是让VoIP网络陷入安全威胁的主要原因，问题在于首先要让VoIP系统厂商意识到要在它们的产品加入加密功能。

http://safe.zol.com.cn