SBC有何意义?
Session Border Controller,即会话边界控制器(SBC)。现代企业中基于IP的语音、视频、会议、融合通信等已广泛应用,通信全IP化更新迭代已是大势所趋,但同时企业通信也面临着新挑战,比如系统安全、网络攻击防御、跨网NAT穿越、Qos、SIP报文兼容问题等等。
因此SBC已经逐渐成为NGN和IMS网络的标准配置产品,在组网中部署SBC必不可少,可以有效解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题,SBC在VoIP中扮演着非常重要的角色,可以实现对VoIP业务安全统筹管理,提供有质量保障的VoIP服务以及稳定可靠的通信保障。
SBC给你带来什么?
网络环境复杂,核心服务器直接暴露公网存在极大安全隐患,因此需要在企业服务器前端部署一套SBC作为核心服务器的防火墙,SBC在VoIP业务组网中可以提供有很多复杂业务功能,主要以SIP相关处理 以及安全防御 两大块为主。
SBC如何提供安全保障?
SBC作为会话边界控制器,重要特性是SIP防火墙,对企业通信业务提供安全保障,包括核心服务器内网拓扑隐藏,防网络攻击,加密通信,畸形报文检测,流量监控 等。
具体安全性策略如下:
系统安全防御(DOS/DDOS攻击防御)
- ICMP-Flood攻击防御。可以设置每秒ICMP报文的阀值,超过阀值将会丢弃;
- TCP-Flood 攻击防御。可以设置每秒ICMP报文的阀值,超过阀值将会丢弃;
- TCP-NULL攻击防御。检测到TCP不包含任何标志位的数据包直接丢弃;
- TCP XMAS TREE 攻击防御。检测到XMAS标志的数据包直接丢弃。
IP攻击防御
对来源IP或本地端口的数据流量以及结合设备CPU使用情况设置攻击阀值,超过阀值后自动限流或丢弃报文,并记录日志。
SIP攻击防御
- SIP注册流控。实时监控IP和SIP账户发起的注册频率,并可自定义阀值,匹配条件拦截、拉黑、限流等操作;
- SIP呼叫流控。实时监控来源IP和SIP账户的呼叫CPAS值,并可自定义阀值,匹配条件拦截、拉黑等操作。
SIP规范检测
- VoIP网络环境复杂,接入的终端设备来自于不同厂家,不同的私有协议标准,导致业务互通兼容问题。
例如SIP信令方法不一致、SIP消息过大、SIP特殊字段等等,通过SBC的B2BUA原理可以对不太规范的SIP报文进行规范化处理,确保可以和其他的通信设备互相交换,提高业务组网的兼容性。 - 呼叫中也可能因为网络原因存在一些异常的SIP报文,SBC自动检测到畸形报文则直接丢弃,不会转发给核心服务器。
TLS/SRTP加密
- 支持TLS信令加密。公共网络环境复杂,启用TLS加密可以防止呼叫信令被封杀拦截;
- 支持SRTP语音加密。防止通话语音被拦截或非法监控,为语音通信安全提供保障。
访问控制
SBC可以针对每个网口设置web访问、SSH访问、ping包响应等权限,极大提高了设备安全性。
流量限制
对SIP中继做流量限制,合理分配带宽,充分利用资源,可以根据业务部门的优先级进行带宽控制,优先保证重要部门的通话畅通。
黑白名单
根据业务需求设置主被叫号码黑白名单,可限制一些非法呼叫。
IP/域名认证
在IP中继里可以设置对来源SIP呼叫和注册消息进行IP和域名认证,防止设备被盗打或非法攻击等。
拓扑隐藏
通过SBC来实现内外网拓扑隔离,SBC作为内外网数据转发节点,完全隔离核心拓扑组网并隐藏SIP信令中的敏感信息,极大保证核心服务器的安全。
冗余备份
- 支持SIP路由冗余—SIP路由失败二次选路;
- SIP中继负载均衡—可根据业务情况设置负载量;
- 电源冗余——电源热备,高可靠。
双机热备
主机设备会实时备份数据到备机,做到双机数据同步,通过心跳检测、BFD检测、网口检测以及检测服务状态来切换设备,毫秒级切换,客户无感知,业务不中断。
