應(yīng)用層的復(fù)雜性又是另一個(gè)問(wèn)題。有些基于代理的防火墻自詡其有強(qiáng)大的檢查校驗(yàn)數(shù)據(jù)報(bào)SIP正確性的能力，但我們恐怕不能盡信其言。SIP是一個(gè)極端復(fù)雜的協(xié)議，涉及到60多個(gè)RFC和標(biāo)準(zhǔn)草案，僅僅是準(zhǔn)確實(shí)現(xiàn)這些紛繁的特性和功能就足夠把這些防火墻廠商壓得喘不過(guò)氣來(lái)。

　　SIP還具有極強(qiáng)的擴(kuò)展性，許多廠商在此基礎(chǔ)上進(jìn)行了很多專有的擴(kuò)展，如果沒(méi)有這些廠商的支持的話是幾乎不可能對(duì)其功能和正確性進(jìn)行檢查的，所以在購(gòu)買此類產(chǎn)品之前建議進(jìn)行認(rèn)真細(xì)致的試用和評(píng)估。

　　絕大多數(shù)防火墻廠商的產(chǎn)品只實(shí)現(xiàn)了一小部分SIP的RFC和標(biāo)準(zhǔn)草案，而且廠商對(duì)這類事實(shí)一般都秘而不宣，顯然，如果公布他們的產(chǎn)品具體實(shí)現(xiàn)了哪些RFC不就直接暴露了他們產(chǎn)品在SIP支持方面的局限性了嗎？

　　然而SIP也僅僅只是眾多IP電話協(xié)議中的一個(gè)而已。Nortel、Avaya和Cisco在連接電話終端和他們的IP PBX時(shí)都使用了其專有的基于H.323協(xié)議的變種協(xié)議。目前市場(chǎng)上有許多H.323協(xié)議的變種，媒體網(wǎng)關(guān)控制協(xié)議(MGCP和MEGACO)也不例外。為了進(jìn)行企業(yè)電話客戶端和這些IP PBX的安全防護(hù)，對(duì)防火墻來(lái)說(shuō)支持這些專有H.323變種協(xié)議就顯得相當(dāng)重要。比如Check Point的安全解決方案主管Sharon Besser就說(shuō)他們的Check Point防火墻同時(shí)支持Pingtel、Nortel和其他設(shè)備廠商的專有擴(kuò)展協(xié)議。

　　然而，僅僅只是能支持這些協(xié)議還遠(yuǎn)遠(yuǎn)不夠，網(wǎng)絡(luò)管理員還非常重視防火墻部署時(shí)的簡(jiǎn)易性。美國(guó)勞倫斯.利弗莫爾國(guó)家實(shí)驗(yàn)室安全應(yīng)急主管Jon Diaz就說(shuō)過(guò)：“我研究過(guò)DPI的實(shí)現(xiàn)，但問(wèn)題是要具有很多相關(guān)的專業(yè)知識(shí)才可能弄明白整個(gè)配置過(guò)程。”

放棄防火墻？

　　由于目前沒(méi)有任何一個(gè)防火墻方案能完美地解決VoIP安全問(wèn)題，因此有些安全專家認(rèn)為在應(yīng)用層這個(gè)級(jí)別可能最好的處理辦法就是完全放棄防火墻。RTFM安全咨詢公司的主管兼?zhèn)鬏攲影踩?TLS)工作小組副主席Eric Rescorla認(rèn)為防火墻并不是像想象的那么好，“看看電子郵件蠕蟲(chóng)是如何突破防火墻的吧”，他說(shuō)。

　　Dynamicsoft公司的CTO和SIP創(chuàng)建者之一Jonathan Rosenberg也贊同這種觀點(diǎn)，他在一封電子郵件里寫道“防火墻廠商必須要非常熟悉SIP和其他IP電話協(xié)議，這樣才能保證他們產(chǎn)品的質(zhì)量，而實(shí)際上他們做不到這一點(diǎn)，結(jié)果就是當(dāng)一個(gè)新的應(yīng)用或協(xié)議出現(xiàn)時(shí)，在部署它們的時(shí)候你不得不尋求廠商的幫助。這種情況就完全體現(xiàn)不出網(wǎng)絡(luò)的主要好處。”

　　Rosenberg建議采用一種新的模式，即防火墻不用理會(huì)SIP和其他應(yīng)用層協(xié)議。他說(shuō)現(xiàn)在一些客戶端技術(shù)如簡(jiǎn)單UDP穿越NAT協(xié)議(STUN)、交互式連通建立方式(ICE)、通過(guò)中繼方式穿越NAT技術(shù)(TURN)使得防火墻不需要處理SIP就能讓IP通話穿過(guò)防火墻。這些協(xié)議和技術(shù)為客戶端獲取NAT和防火墻所使用的外部傳輸層地址提供了途徑，這樣SIP客戶端就能在會(huì)話描述協(xié)議(SDP)中規(guī)定的數(shù)據(jù)報(bào)域內(nèi)加入外部地址，使得回來(lái)的數(shù)據(jù)報(bào)能被導(dǎo)向正確的地址。

　　Rosenberg相信那些開(kāi)發(fā)基于SIP的應(yīng)用的開(kāi)發(fā)人員會(huì)比較傾向于支持該協(xié)議，而網(wǎng)絡(luò)管理員就不一定了。過(guò)去的經(jīng)驗(yàn)表明安全問(wèn)題從來(lái)都是很棘手的，開(kāi)發(fā)人員并不總是愿意或者說(shuō)并不總是有能力在開(kāi)發(fā)的時(shí)候完全解決安全問(wèn)題。而從CERT和NISCC發(fā)布的安全報(bào)告來(lái)看，我們也沒(méi)什么理由期待SIP開(kāi)發(fā)人員會(huì)與眾不同。

　　企業(yè)部署VoIP防火墻十分必要

　　盡管當(dāng)今絕大多數(shù)公司的VoIP網(wǎng)絡(luò)都是不對(duì)外開(kāi)放的，但仍然有必要在企業(yè)內(nèi)部部署VoIP防火墻。越來(lái)越多的攻擊開(kāi)始從VoIP網(wǎng)絡(luò)內(nèi)部發(fā)起，對(duì)此進(jìn)行防衛(wèi)是必不可少的，作為對(duì)策，第一步可以將所有網(wǎng)絡(luò)語(yǔ)音數(shù)據(jù)隔離在虛擬局域網(wǎng)中，與此同時(shí)在可信任的域內(nèi)部署代理和網(wǎng)閘同樣很重要。

　　對(duì)于帶DPI的全狀態(tài)檢測(cè)防火墻，部署過(guò)程是一個(gè)在不受信任的網(wǎng)絡(luò)和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過(guò)程。而實(shí)現(xiàn)了SIP背對(duì)背用戶代理的防火墻則有所不同，因?yàn)樗鼈兊墓δ茴愃拼矸?wù)器，用戶代理(User Agent)可以在上面注冊(cè)。這類防火墻可以和全狀態(tài)檢測(cè)防火墻一起部署在隔離帶中，只要使用不同的端口即可，或者單獨(dú)部署在公司網(wǎng)絡(luò)的其他地方。

除了技術(shù)實(shí)現(xiàn)細(xì)節(jié)之外，網(wǎng)絡(luò)管理員也要留意協(xié)議問(wèn)題。由于絕大多數(shù)IP PBX在和其他設(shè)備終端連接時(shí)使用了專有協(xié)議和SIP或H.323中繼，所以在部署時(shí)很可能需要廠商的直接支持。