Cisco數據和語(yǔ)音分離保安全
2004/06/22
由于QoS、可擴展性、可管理性和安全性等原因,IP電話(huà)設備和IP數據設備應該部署在兩個(gè)邏輯上獨立的網(wǎng)段中。將IP語(yǔ)音與傳統IP數據網(wǎng)分離能大大提高抗攻擊能力,而且允許使用相同的接入層、核心層和分布層。
在第三層分離
雖然網(wǎng)段應該分離,但Cisco并不建議部署兩個(gè)IP基礎設施。虛擬LAN(VLAN)、訪(fǎng)問(wèn)控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段,以便使語(yǔ)音網(wǎng)和數據網(wǎng)在接入層分離。
某些IP電話(huà)只提供基本的第2層連接,即IP電話(huà)實(shí)際上是作為集線(xiàn)器,將數據和語(yǔ)音網(wǎng)結合在一起。某些IP電話(huà)提供增強的第2層連接,而且可以利用802.1q等VLAN技術(shù)將電話(huà)和數據端口放置在兩個(gè)不同的VLAN中。這種體系結構是假設已部署的IP電話(huà)支持VLAN,因而能將數據和語(yǔ)音網(wǎng)分開(kāi)。安全設計不應該只依賴(lài)VLAN執行網(wǎng)絡(luò )分離,它們還應該遵守分層的安全最佳實(shí)踐,并采用與IP電話(huà)連接的分布層中的第3層訪(fǎng)問(wèn)控制。所有設計中都采用了這種最佳實(shí)踐。
控制二網(wǎng)交互
只有適當控制數據和語(yǔ)音網(wǎng)之間的訪(fǎng)問(wèn)才能部署安全的IP電話(huà)網(wǎng)。要實(shí)現這一任務(wù),應該使用狀態(tài)防火墻,因為它能提供基于主機的DoS保護,防止連接短缺和分段攻擊;在合理和必要的地方,還通過(guò)防火墻提供每端口接入、反竊聽(tīng)和常規過(guò)濾。Cisco不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反,需要在允許網(wǎng)段交互的特殊網(wǎng)絡(luò )位置放置狀態(tài)防火墻。在網(wǎng)絡(luò )的任何其它地方都不允許發(fā)生網(wǎng)段間通信,執行這種功能無(wú)狀態(tài)第3層過(guò)濾就已足夠,數據和語(yǔ)音網(wǎng)段之間允許通過(guò)多種合法流量。
建立身份識別機制
應盡可能多地使用用戶(hù)和設備認證機制,這樣能阻止對IP電話(huà)網(wǎng)發(fā)起的許多攻擊。IP電話(huà)設備的主要認證方法是MAC地址。如果MAC地址未知的電話(huà)試圖從呼叫處理管理器下載網(wǎng)絡(luò )配置,而且它不知道IP電話(huà)的MAC地址,那么,IP電話(huà)將接收到配置信息,假定自動(dòng)注冊已失效。這種設置能防止某人將電話(huà)偷接到網(wǎng)絡(luò )中,然后通話(huà)。
用戶(hù)認證能更加有效地防止攻擊,即防止設備盜竊MAC地址,并假冒其目標的身份作案。提供用戶(hù)認證還能提供某種程度的防否認功能,因為如果雙方都成功地獲得了認證,就有某種理由相信處于電話(huà)另一端的人或設備。
用戶(hù)名/密碼/PIN組合還可以用于識別訪(fǎng)問(wèn)呼叫處理管理器的用戶(hù)。借助這個(gè)特性,用戶(hù)能夠在獲得成功認證之后訪(fǎng)問(wèn)其定制的配置設置。用戶(hù)必須通過(guò)嚴格的認證才能修改其定制設置(例如問(wèn)候語(yǔ))或者聽(tīng)取語(yǔ)音郵件。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
盘山县|
铁岭县|
沧源|
定远县|
郓城县|
溧水县|
健康|
邢台县|
小金县|
上栗县|
应用必备|
芦山县|
台东县|
江川县|
临猗县|
湖北省|
定边县|
黔南|
邳州市|
哈尔滨市|
临武县|
大英县|
富宁县|
英山县|
南充市|
镇江市|
于田县|
卢龙县|
新和县|
宜城市|
航空|
游戏|
灵宝市|
即墨市|
阜平县|
韩城市|
旬邑县|
阿城市|
丰顺县|
通州区|
枝江市|
http://444
http://444
http://444
http://444
http://444
http://444