用25種方法來打造VoIP的網(wǎng)絡安全（三）

【上篇文章說到：VoIP軟客戶端的支持等的組合，來保護網(wǎng)關(guān)和位于其后的局域網(wǎng)?！?BR>    14、分別管理服務器
    VoIP電話服務器常常是攻擊者的靶子,因為它們是任何一個VoIP網(wǎng)絡的心臟。服務器的一些內(nèi)在的致命弱點包括其操作系統(tǒng)、服務及它所支持的應用軟件。要將黑客對服務器的攻擊降至最小程度，就要對VoIP傳輸信號的不同服務器分別進行管理。
    15、對SIP(會話初始協(xié)議)通信進行排序
    徹底檢查網(wǎng)絡SIP通信,檢查那些不正常的信息包及通信模式，這些措施有助于切斷那些非常短小的虛假會話。SIP信號中的語法和語義的異常、不規(guī)則事件、順序錯亂會指明攻擊正在或?qū)⒁_始。
    16、檢查應用層的呼叫設置請求
    VoIP 電話易于被外部的那些可以訪問網(wǎng)絡的人劫持，管理員需要設置安全策略，這樣，只有呼叫請求與已有策略一致時才可以被接受。
    17、隔離語音通信
    對于外部通信來說，要依靠虛擬私有網(wǎng)絡（VPN）。分離語音與數(shù)據(jù)通信以阻止那些竊聽用戶談話的企圖。思科有關(guān)專家建議，要阻止PC端口訪問語音VLAN。
    18、使用代理服務器
    通過使用代理服務器來處理進出網(wǎng)絡的數(shù)據(jù)，借以保護用戶的網(wǎng)絡。
    19、只運行需要提供和維持VoIP服務的應用軟件
    事實上，VoIP應用軟件使用加密的數(shù)據(jù)，也可能招致DoS攻擊。攻擊者可以隱藏在加密的掩護之后來避免其活動遭到監(jiān)視。思科專家認為，信號在用戶代理和SIP代理之間傳輸時，要通過集成SSL通道和SIP代理的方法確保認證完整性。