實(shí)際上，沒有什么簡單的解決方法可以有效確保VoIP的絕對安全，不過還是有些辦法可以盡量減小風(fēng)險(xiǎn)、改進(jìn)整體的安全策略。

安全問題對語音服務(wù)而言根本不是什么新鮮事。幾十年來，傳統(tǒng)電話系統(tǒng)就飽受話費(fèi)欺詐之困擾。如今，一些企業(yè)出于對安全問題的擔(dān)憂而對安裝IP語音（VoIP）系統(tǒng)猶豫不決，而另一些企業(yè)卻在沒有解決安全問題的前提下貿(mào)然行事。大多數(shù)行業(yè)的分析師估計(jì)，今年企業(yè)新安裝的語音電話至少有一半將會是VoIP手機(jī)，這意味著你可能很快就會面臨語音安全問題，如果不正視這些問題，你的系統(tǒng)就會隨時遭到攻擊。

說到如何有效地確保VoIP 安全，根本沒有靈丹妙藥，但必須把這方面的安全作為整體安全策略的一部分來考慮。因?yàn)槿缃馰oIP應(yīng)用已成為IP網(wǎng)絡(luò)的一部分，如果IP網(wǎng)絡(luò)已經(jīng)落實(shí)了良好的安全措施，整個網(wǎng)絡(luò)安全系數(shù)越高，那么攻擊者進(jìn)行竊聽、發(fā)動拒絕服務(wù)（DoS）攻擊或者闖入VoIP系統(tǒng)中的操作系統(tǒng)或者應(yīng)用系統(tǒng)的難度就會越大。

一開始就讓安全小組參與VoIP項(xiàng)目也非常重要。語音小組和數(shù)據(jù)小組也根本犯不著卷入地盤之爭。畢竟，現(xiàn)在它們應(yīng)當(dāng)作為一個團(tuán)隊(duì)開展工作。

遵守一系列的嚴(yán)格規(guī)定

主要的VoIP安全策略很簡單: 首先，在你確保各種VoIP部件和因特網(wǎng)之間沒有任何通信之前，不要把這些設(shè)備接入網(wǎng)絡(luò)。 其次，不要允許與因特網(wǎng)及VoIP系統(tǒng)進(jìn)行聯(lián)系的PC之間有任何通信。這是因?yàn)椋琍C特別容易受到攻擊，可能會被用來闖入VoIP系統(tǒng)，或者對語音應(yīng)用發(fā)動拒絕服務(wù)攻擊。它們還會強(qiáng)行利用VoIP電話從事話費(fèi)欺詐、暗中竊聽或者冒充他人等勾當(dāng)。

如果你無法遵守這項(xiàng)策略，就要確保每個人都知道其中的風(fēng)險(xiǎn)，并且落實(shí)了相應(yīng)的對策以緩解風(fēng)險(xiǎn)。這就要求清楚地知道安全、系統(tǒng)架構(gòu)以及有關(guān)的VoIP協(xié)議。

要實(shí)施安全策略，第一步就是把所有VoIP電話放在單獨(dú)的虛擬局域網(wǎng)（VLAN）上，并且使用不可路由的RFC 1918地址。大多數(shù)VoIP電話都有內(nèi)置的交換機(jī)，支持802.1p/Q虛擬局域網(wǎng)標(biāo)準(zhǔn)。這樣一來，就有可能在桌面系統(tǒng)和距離最近的布線室交換機(jī)之間建立虛擬局域網(wǎng)，而布線室交換機(jī)可以通過網(wǎng)絡(luò)進(jìn)行延伸。

如果語音用戶的PC被接到電話的交換機(jī)上，你就可以自始至終地讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸。記住一點(diǎn): 虛擬局域網(wǎng)無法彼此聯(lián)系，除非彼此之間有路由，所以這是確保語音和數(shù)據(jù)分開的一個辦法。你還可以使用訪問控制列表（ACL）防止虛擬局域網(wǎng)之間進(jìn)行通信，作為保護(hù)語音的另一道安全層。讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸，還可以簡化為VoIP流量配置服務(wù)質(zhì)量（QoS）。隨后只是為VoIP虛擬局域網(wǎng)賦予優(yōu)先級的問題而已，如果你通過路由器傳輸，仍需要第三層服務(wù)質(zhì)量。

服務(wù)質(zhì)量通常與確保性能聯(lián)系在一起，不過它在安全方面也起到關(guān)鍵作用。在不同邏輯虛擬局域網(wǎng)上傳輸?shù)恼Z音和數(shù)據(jù)仍使用相同的物理帶寬。這意味著，即便PC被病毒或者蠕蟲感染、這些PC進(jìn)而向網(wǎng)絡(luò)發(fā)送大批流量，VoIP流量仍能夠在共同的物理帶寬上獲得優(yōu)先權(quán)，因而就不會淪為拒絕服務(wù)攻擊的受害者。與此同時，ACL和防火墻可以阻止VoIP系統(tǒng)訪問因特網(wǎng)，反之亦然。

虛擬局域網(wǎng)還可以緩解有人竊聽電話的現(xiàn)象。如果語音包被人用分析儀獲取，重放語音就輕而易舉。IP具有的移動性和靈活性使得它容易受到“中間人攻擊”，即地址解析協(xié)議（ARP）被用來強(qiáng)制流量通過某臺PC傳輸，然后就能獲取這些流量。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動攻擊，但內(nèi)部攻擊比較難以預(yù)防。內(nèi)部人只要把某臺PC接入墻上的插座，對PC進(jìn)行配置，成為VoIP虛擬局域網(wǎng)的一部分，就可以發(fā)動攻擊。要防止這種破壞，最好的辦法就是購買具有強(qiáng)加密功能的VoIP電話，而這種方法要奏效，每只電話都要有加密功能。

你還需要在電話和通向公共交換電話網(wǎng)絡(luò)（PSTN）的網(wǎng)關(guān)之間進(jìn)行加密。如今VoIP電話廠商開始把媒體加密和信令加密功能融入各自的設(shè)備當(dāng)中。譬如說，Avaya聲稱它的所有電話現(xiàn)在都支持加密功能; 而北電網(wǎng)絡(luò)公司聲稱，它的電話很快也具有同樣的功能。加密還可以挫敗需要對基礎(chǔ)設(shè)施獲得物理訪問權(quán)的其他類型的竊聽，譬如利用交換機(jī)的端口鏡像，或者利用以太網(wǎng)接頭接入某條以太網(wǎng)連接線。

當(dāng)然，加密以增加時延為代價(jià)。這對普通局域網(wǎng)來說不成問題，但對廣域網(wǎng)來說可能會成問題。要考慮的另一個因素就是，如果對電話之間傳輸?shù)男盘栠M(jìn)行加密（這在應(yīng)用層實(shí)現(xiàn)），工作在應(yīng)用層的防火墻就很難對加密信號進(jìn)行解密。

雖然防火墻必不可少，但別以為它們能夠勝任各項(xiàng)工作。VoIP協(xié)議很難過濾。盡管會話初始化協(xié)議（SIP）是VoIP信號傳輸標(biāo)準(zhǔn)，但許多廠商采用的卻是專有的信令協(xié)議，而防火墻必須理解這些協(xié)議。
實(shí)時協(xié)議（RTP）用于傳輸實(shí)際的語音媒體，不過有一系列眾多的端口動態(tài)分配給了每路呼叫。信令協(xié)議會表明應(yīng)使用哪個RTP端口用于某路呼叫。一款好的防火墻會從信令協(xié)議處接到該指示，隨后開啟某個端點(diǎn)的IP地址所必需的那個端口。然而，不是所有的防火墻都具有這種功能。有些只是開啟某段范圍的端口，所以要確保你對防火墻的運(yùn)行情況了如指掌。

有些防火墻必須處理專用地址和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），這樣一來，保護(hù)VoIP的安全難度就更大了，如果處理的請求是針對采用專用地址的某個端點(diǎn)，更是如此。了解信令協(xié)議的防火墻能跟蹤用戶注冊登記的最新地址，然后相應(yīng)地為請求安排路由。Check Point軟件技術(shù)公司聲稱，其最新款的FireWall-1具有這種功能，可以提供最低程度的安全接入。

另一個辦法就是把防火墻放置在專門為IP語音設(shè)計(jì)的VoIP系統(tǒng)前面。譬如說，Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)。Ingate最近宣布，如今其產(chǎn)品已通過了認(rèn)證，能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。確保你實(shí)施的VoIP系統(tǒng)基于SIP，那樣以后需要安全選項(xiàng)功能時不至于只能求助于你現(xiàn)有的VoIP廠商。

另外還要當(dāng)心，防火墻可能會帶來時延，從而成為性能方面的一個瓶頸。

支持VoIP的服務(wù)器每個都有各自的操作系統(tǒng)，而這些操作系統(tǒng)又存在許多相關(guān)漏洞，所以你必須確保把服務(wù)器放到你的網(wǎng)絡(luò)上之前，它們都已打上了補(bǔ)丁。注意時時打上最新補(bǔ)丁，還要認(rèn)真限制對它們的訪問。每個IP電話其實(shí)也是一臺電腦，有著自己的應(yīng)用軟件和操作系統(tǒng)，所以對你的電話也要采取同樣的防范措施，并確保電話帶有良好的補(bǔ)丁管理系統(tǒng)。

一些例外情況

有些應(yīng)用可能會讓你考慮打開語音虛擬局域網(wǎng)和數(shù)據(jù)虛擬局域網(wǎng)之間的通信通道。譬如說，大多數(shù)VoIP廠商提供的桌面客戶系統(tǒng)能夠管理VoIP電話，并且提供豐富的用戶狀態(tài)信息。許多廠商提供的客戶端還可以讓你監(jiān)控其他系統(tǒng)用戶的電話和即時通信（IM）狀態(tài)，并且發(fā)布你自己的狀態(tài)信息。這些特性需要桌面系統(tǒng)和VoIP系統(tǒng)之間進(jìn)行一定的直接聯(lián)系，所以你要想辦法安全地實(shí)現(xiàn)這項(xiàng)功能。

說到這里，使用防火墻最為穩(wěn)妥。做法是，提供最低程度的接入權(quán)限，不允許PC在無意中成為用來搜尋VoIP系統(tǒng)中存在漏洞的平臺。但如果蠕蟲占用了網(wǎng)絡(luò)上的大量帶寬，PC和布線室之間的連接上所用的這些應(yīng)用就無法得到保護(hù)，因?yàn)閿?shù)據(jù)來自PC，因而會在數(shù)據(jù)虛擬局域網(wǎng)上傳輸。不過好消息是，VoIP電話的通信將得到保護(hù)，只要你實(shí)施了服務(wù)質(zhì)量。但如果你在PC上使用的僅僅是軟電話，就沒有辦法為PC和布線室交換機(jī)之間的語音包提供服務(wù)質(zhì)量。

如果你的遠(yuǎn)程辦公人員要通過因特網(wǎng)訪問IP PBX，虛擬專用網(wǎng)（VPN）顯然是防止竊聽的解決辦法。Zultys科技公司等VoIP廠商提供的產(chǎn)品旨在便于通過VPN訪問IP PBX。Zultys的有些電話可以直接在電話到PBX之間建立一條VPN隧道。北電公司的Contivity VPN PC客戶機(jī)則可以通過連接的PC，為其電話建立VPN隧道。

你最不希望把IP PBX暴露于因特網(wǎng)面前。如果你提供只能訪問相關(guān)端口的功能，而且通過VPN進(jìn)行驗(yàn)證，那么就可以盡量減小這個風(fēng)險(xiǎn)。當(dāng)然，你還會希望在IP PBX和VPN網(wǎng)關(guān)之間安裝一只防火墻，只允許訪問被認(rèn)為絕對有必要的端口。

另外，也很有必要落實(shí)相應(yīng)機(jī)制，以保護(hù)你的VoIP系統(tǒng)免受針對應(yīng)用的拒絕服務(wù)攻擊。如果需要從虛擬局域網(wǎng)進(jìn)行額外的一道驗(yàn)證，應(yīng)當(dāng)不會面臨來自外部的重大危害; 但如果有人獲得了訪問權(quán)，從內(nèi)部發(fā)動攻擊可能會是個問題。譬如說，利用SIP，發(fā)送大量的“注冊”請求會導(dǎo)致服務(wù)器無力處理請求。入侵防護(hù)系統(tǒng)（IPS）可以緩解這個問題，而如果IPS或者入侵檢測系統(tǒng)（IDS）能理解SIP，就可以檢測這些攻擊。一款好的IPS還能夠防止基于SIP的中間人攻擊，以免通過另一個設(shè)備改變流量傳輸方向。

可以訪問VoIP系統(tǒng)的任何桌面系統(tǒng)都必須加以保護(hù)。如今許多廠商提供集中管理的防火墻以及可以檢查操作系統(tǒng)補(bǔ)丁及病毒更新狀況的軟件。這對使用IP軟電話的遠(yuǎn)程辦公人員來說尤為重要。

所以不要被VoIP安全問題捆住了手腳。有了可靠的IP語音安全策略以及合理搭配的安全工具，沒有理由錯過VoIP具有的諸多優(yōu)點(diǎn)。