大廈模塊

　　服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用和語音服務(wù)。

1．主要IP電話設(shè)備

·第3層交換機——第3層交換機在服務(wù)器模塊內(nèi)路由和交換數(shù)據(jù)、語音和管理流量，并支持流量過濾和NIDS等先進服務(wù)。

·公司服務(wù)器——公司服務(wù)器為內(nèi)部用戶提供電子郵件和語音郵件服務(wù)，并為工作站提供文件、打印和DNS服務(wù)。

·呼叫處理管理器——呼叫處理管理器為網(wǎng)絡(luò)中的IP電話設(shè)備提供語音服務(wù)。

·狀態(tài)防火墻——狀態(tài)防火墻為呼叫處理器提供網(wǎng)絡(luò)級保護，包括對流量進行狀態(tài)過濾、DoS預(yù)防和欺詐預(yù)防。

·代理服務(wù)器——為IP電話提供數(shù)據(jù)服務(wù)。

2．保護語音安全的措施

·包竊聽/呼叫截獲——交換式基礎(chǔ)設(shè)施能有效地預(yù)防竊聽。

·非授權(quán)訪問——這種訪問可以通過HIDS和應(yīng)用訪問控制有效消除。

·呼叫者身份欺詐——向管理員通報未知設(shè)備。

·話費欺詐——呼叫處理管理器不允許配置未知電話，訪問控制只允許已知電話網(wǎng)相互通信。

·否認(rèn)——呼叫處理管理器的呼叫設(shè)置記錄能提供某種防否認(rèn)功能。

·IP欺詐——IP欺詐在第3層交換機和狀態(tài)防火墻上提供RFC 2827和1918過濾器。

·應(yīng)用層攻擊——為操作系統(tǒng)、設(shè)備和應(yīng)用提供最新安全修復(fù)，多數(shù)服務(wù)器還受到HIDS的保護。

·拒絕服務(wù)——將語音和數(shù)據(jù)網(wǎng)分開能顯著減少受攻擊的可能性。狀態(tài)防火墻TCP設(shè)置能控制保留給呼叫處理管理器和代理服務(wù)器的內(nèi)容。

·信任關(guān)系利用——通過有限信任模式和專用VLAN預(yù)防基于信任關(guān)系的攻擊。

3．設(shè)計指南

　　服務(wù)器模型包括IP電話所需的所有語音服務(wù)。駐留在分離網(wǎng)段中的呼叫處理管理器、代理服務(wù)器、語音郵件和郵件系統(tǒng)不但能適應(yīng)大型企業(yè)的需要，還能提供分層安全性。所有服務(wù)都安裝了HIDS代理，服務(wù)器模塊中的所有流量都接受第3層交換機IDS的檢查，呼叫處理網(wǎng)段受到狀態(tài)防火墻保護。

　　服務(wù)分離能大大提高可擴展性和安全性。并減少出現(xiàn)配置錯誤的機會。任何其他流量都將遭到拒絕并記錄在案，如果NIDS探測到異常情況，系統(tǒng)將借助原理章節(jié)中列出的說明發(fā)出警報。HIDS能夠探測到郵件、語音郵件或呼叫處理設(shè)備中的異常情況。代理服務(wù)器與呼叫處理管理器處于同一個VLAN上，但專用VLAN用于防止本地信任關(guān)系利用攻擊。

　　限制擴展能力的是呼叫處理管理器和語音郵件系統(tǒng)支持的IP電話設(shè)備的數(shù)量。在這種設(shè)計中，性能不是問題，因為所有必要的服務(wù)都在本地的快速以太網(wǎng)交換網(wǎng)上提供，只有通過WAN使用本地服務(wù)的某些遠程站點例外。

　　這個模塊也提供第2層和第3層彈性配置。添加語音服務(wù)后實現(xiàn)了高可用性。兩個狀態(tài)防火墻將受保護的呼叫處理管理器網(wǎng)段與服務(wù)器模塊中的兩臺第3層交換機連接在一起。內(nèi)部網(wǎng)段的第2層彈性不但表現(xiàn)在防火墻的內(nèi)部接口與兩臺第2層交換機之間，還表現(xiàn)在雙接口呼叫處理器上。在這種配置中，每個呼叫處理管理器都使用兩塊網(wǎng)絡(luò)接口卡，這兩塊接口卡處在同一個網(wǎng)絡(luò)中，各與一臺交換機相連。

　　對于IP電話，所有語音服務(wù)器都應(yīng)該支持多個接口。語音服務(wù)是網(wǎng)絡(luò)的關(guān)鍵組件，限制對語音服務(wù)的訪問是預(yù)防攻擊的關(guān)鍵。這種設(shè)計使用了第3層和第4層過濾，以便限制已知管理系統(tǒng)對語音服務(wù)器的管理。應(yīng)用級安全性用于為管理流量提供保密和用戶認(rèn)證。

　　還有一種選擇是將其他DMA網(wǎng)段的語音郵件系統(tǒng)放置在狀態(tài)防火墻上。這種設(shè)置能夠在電話設(shè)備和語音郵件系統(tǒng)之間執(zhí)行狀態(tài)檢查和過濾，而不是使用目前的無狀態(tài)過濾。這種方法還能為語音郵件系統(tǒng)提供DoS預(yù)防，并在它與數(shù)據(jù)網(wǎng)中的郵件服務(wù)器之間提供狀態(tài)檢查。這種方法的唯一缺點是增加了配置的復(fù)雜性。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)