Avaya完善IP PBX安全_

Avaya完善IP PBX安全

陈代寿 2004/07/06

　　Avaya为用户IP PBX安全设置提供两套方案：一为IP电话安全配置，二为增强安全设置，即除VoIP安全设置外，另增加防火墙和Extreme的第2/3交换机。

　　Avaya的第一套方案具有最小网络架构优势，它不具备第3层网络架构。所有IP通信遍历单一、扁平的第2层交换网，由两分离的虚拟LAN（VLAN）进行通信隔离，一路用于语音，一路用于数据通信，也不配置防火墙。

　　尽管采用精简的网络架构，但Avaya VoIP包处理中仍融入有多类安全机制。这类拓扑设置中，呼叫控制信息不加密，用于IP电话认证的口令也不是很强健。

　　从根本上来说，这类方案的IP电话包不具备交换功能。呼叫处理严格采用H.323协议，意味着采用特定端口，如此一来，通信过程中黑客很容易计算出开放端口。于是Avaya引入了第二类增强方案——联合使用Extreme的第2/3层交换机。从体系结构上讲，增加第3层IP路由及其它关键配置（如防火墙），能有效防止各类黑客攻击。

　　其中引入的SG208防火墙可配置为让特定端口的通信通过呼叫控制设备；只有很小范围内、特定的UDP端口通信到达媒体处理模块；只有配合使用了Avaya基于H.323的呼叫控制信号处理的端口和协议允许到达媒体处理模块。运用虚构IP身份，能轻松进行呼叫控制和语音应答。

赛迪网中国信息化(industry.ccidnet.com)