用6種方法來打造VoIP的網絡安全

VoIP指的是在使用了互聯網協議的網絡上進行語音傳輸，其中的IP是代表互聯網協議，它是互聯網的中樞，互聯網協議可以將電子郵件、即時信息以及網頁傳輸到成千上萬的PC或者手機上。有人說它是電信殺手，也有人說它是國際事務中的革命性因素。總之吹捧甚多。但是，也許在你使用這項服務的時候，也許正有一位黑客竊取你的個人信息甚至搞毀你的網絡。

所有影響數據網絡的攻擊都可能會影響到VoIP網絡，如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數據嗅探等。唯一的不同是，我們更樂于采取一些措施來保護其它的網絡。對于VoIP，卻鮮有什么具體措施。事實上，只有我們采取一些保護措施，這項技術才可能取得真正的成功。

下面探討6種可以保護VoIP的方法：

1、限制所有的VoIP數據只能傳輸到一個VLAN上

Cisco建議對語音和數據分別劃分VLAN，這樣有助于按照優先次序來處理語音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子，它不允許任何其它計算機訪問其設備，從而也就避免了電腦的攻擊，VoIP網絡也就相當安全；即使受到攻擊，也會將損失降到最低。

2、監控并跟蹤VoIP網絡的通信模式

監控工具和入侵探測系統能幫助用戶識別那些侵入VoIP網絡的企圖。詳細觀察VoIP日志可以幫助發現一些不規則的東西，如莫名其妙的國際電話或是本公司或組織基本不聯系的國際電話，多重登錄試圖破解密碼，語音暴增等。

3、保護VoIP服務器

必須采取效措施來保障服務器的安全以抵御來自內部或外部的入侵者用嗅探技術來截獲數據。因為VoIP電話機擁有固定的IP地址和MAC地址，所以攻擊者易于據此潛入。建議用戶限制IP和MAC地址，不允許隨便訪問VoIP系統的超級用戶界面，并在SIP網關之前建立另一道防火墻，這樣就會在一定程度上限制對于網絡系統的侵入。

4、使用多重加密

僅僅對發送的數據包加密是遠遠不夠的，必須對所有的電話信號進行加密。對話音加密會防止攔截者的語音插入到用戶會話中。在這方面，SRTP協議能夠對端點通信加密，TLS能夠對整個通信過程加密。應該通過在網關、網絡、主機層面上提供強大的保護來支持語音傳輸加密。

5、建立VoIP網絡的冗余機制

要時刻準備著可能會遭到病毒、DoS攻擊，它們可能會導致網絡系統癱瘓。構建能夠設置多層節點、網關、服務器、電源及呼叫路由器的網絡系統，并與不只一個供應商互聯。經常性的對各個網絡系統進行考驗，確保其工作良好，當主服務網絡癱瘓時，備用設施可以迅速接管工作。

6、將設備置于防火墻之后

建立分離的防火墻，這樣通過VLAN邊界的通信僅限于可用的協議。萬一客戶端受到感染的話，這會防止病毒、木馬擴散到服務器。建立分離的防火墻后，系統安全策略的維護也會變得簡單。當需要時，必須正確配置防火墻以便開放或關閉某些端口。