SBC在企業(yè)IP通信系統中的應用
劉航 2008/05/04
摘要:本文針對企業(yè)IP通信系統建設實(shí)施的兩大問(wèn)題:終端接入安全和IP多媒體業(yè)務(wù)NAT穿越,介紹了基于SBC(Session Border Controller,會(huì )話(huà)邊界控制器)的解決方案,并提出了利用SBC輔助實(shí)現IP錄音的一種新應用模式。
SBC組網(wǎng)示意圖
部署SBC設備對已存在的網(wǎng)絡(luò )拓撲結構沒(méi)有任何影響,無(wú)需升級以便支持交互式會(huì )話(huà)的NAT穿越。同時(shí)SBC的組網(wǎng)位置沒(méi)有限制,可放置在IP可達的任意位置,而且能夠同時(shí)實(shí)現對于多個(gè)私網(wǎng)的代理。
針對多級NAT、多個(gè)VPN等復雜網(wǎng)絡(luò )情況,業(yè)界一些主流廠(chǎng)商如華為公司的SE2000系列SBC設備還支持多種NAT穿越形式:一級、多級NAT穿越及對稱(chēng)NAT的穿越;多個(gè)經(jīng)過(guò)NAT轉換后的私網(wǎng)的接入,并且各私網(wǎng)地址空間可以重疊;經(jīng)過(guò)NAT轉換的終端和未經(jīng)過(guò)NAT轉換的終端之間的混合組網(wǎng)。
三、SBC提升IP通信系統安全性
企業(yè)建設IP通信系統的原因之一是其部署和業(yè)務(wù)開(kāi)展的靈活性,例如通過(guò)寬帶網(wǎng)絡(luò )實(shí)現遠程接入和移動(dòng)辦公。但IP通信系統在具備靈活性和豐富業(yè)務(wù)的同時(shí)也帶來(lái)了很大的安全隱患,特別是通過(guò)外部Internet等非信任區域接入的IP軟硬件電話(huà)終端,極可能成為病毒擴散、DOS攻擊、非法用戶(hù)仿冒的發(fā)起和接入點(diǎn),如何保障IP通信系統的安全性?
IP通信系統安全性是一個(gè)系統工程,其實(shí)除了傳統的VPN、防火墻、IPS、IDS等方式外,利用SBC是進(jìn)一步提升IP通信系統安全性的有效手段。以華為公司SE2000系列SBC設備為例,可以提供以下的安全保障功能:
隱藏核心網(wǎng)絡(luò )和內部網(wǎng)絡(luò )的拓撲:
SBC作為用戶(hù)終端和IP-PBX、軟交換等核心設備之間的代理,為實(shí)時(shí)會(huì )話(huà)提供安全保證。外部終端設備通過(guò)SBC接入核心網(wǎng)絡(luò ),核心網(wǎng)絡(luò )的拓撲對終端不可見(jiàn)。這樣,就有效隱藏了核心網(wǎng)和企業(yè)內部網(wǎng)絡(luò )的拓撲結構,防止其受到攻擊,提高了整個(gè)網(wǎng)絡(luò )架構的安全性。
用戶(hù)注冊和IP地址綁定:
SBC能夠將用戶(hù)信息(例如用戶(hù)名、主叫號碼和域名)和IP地址進(jìn)行綁定,從而在用戶(hù)注冊時(shí)根據綁定規則來(lái)判斷是否允許該用戶(hù)進(jìn)行注冊,防止終端非法漫游。也可以將用戶(hù)注冊地址交給核心控制設備,由核心控制設備判斷是否允許用戶(hù)注冊。
融合了防火墻的安全功能:
SBC提供基于會(huì )話(huà)層的針孔式動(dòng)態(tài)防火墻功能,支持基于時(shí)間段的ACL,可以靈活配置ACL規則生效的時(shí)間。同時(shí)還提供黑名單功能,即根據報文的源IP地址進(jìn)行快速過(guò)濾,從而將命中黑名單表項的特定IP地址發(fā)送過(guò)來(lái)的報文屏蔽,防止非法入侵。
信令DoS攻擊防范:
SBC提供防信令報文DoS攻擊功能,在發(fā)生信令報文DoS攻擊時(shí)仍能夠最大程度地保證正常用戶(hù)的使用:可以防范偽造源IP地址的信令報文DoS攻擊;可以防范IP地址固定的信令報文DoS攻擊;可以部分防范偽造已有用戶(hù)的信令報文DoS攻擊;可以直接丟棄畸形的信令報文,減輕對軟交換處理的壓力。
媒體流攻擊防范:
SBC可以記錄合法媒體流的信息(IP五元組),對于非法的媒體流可以直接丟棄,從而可以防范媒體流DoS攻擊。
其它DoS攻擊防范:
SBC還可以防范其他IP網(wǎng)絡(luò )常見(jiàn)的DoS攻擊,包括:SYN Flooding攻擊、UDP Flooding攻擊、ICMP
Flooding攻擊、超大ICMP報文攻擊、Ping-of-death攻擊、WinNuke攻擊、Fraggle攻擊、Land攻擊等。
基于SBC的這些強大安全功能,并配合防火墻、VPN、IPS、IDS等傳統安全設備,可以有效保障IP通信系統的安全性。
四、SBC擴展應用:完善IP錄音解決方案
在金融、能源、政府等行業(yè),由于業(yè)務(wù)特殊性,往往要求對一些內部通話(huà)進(jìn)行錄音并集中存儲管理以便后續查詢(xún)。目前業(yè)界的IP錄音方案主要有兩種:
方案一通過(guò)IP電話(huà)機直接錄音,但該方案需要特殊終端支持,而且只能實(shí)現單點(diǎn)分散錄音,適合個(gè)人應用,難以實(shí)現集中存儲和管理。
方案二采用集中的錄音服務(wù)器,通過(guò)從IP網(wǎng)絡(luò )中抓取SIP/H.323等協(xié)議包分析并轉換為WAV文件實(shí)現錄音。該方案需在以太網(wǎng)交換機等網(wǎng)絡(luò )設備上設置端口鏡像功能,將所有IP電話(huà)機的流量鏡像到集中錄音服務(wù)器所連接端口。
方案二適合于局域網(wǎng)內的集中匯聚型IP語(yǔ)音應用,但如果IP語(yǔ)音系統是分散組網(wǎng),用戶(hù)分布在多個(gè)局點(diǎn),或部分網(wǎng)絡(luò )設備不支持鏡像功能,則難以實(shí)現抓包和錄音。而且將所有IP電話(huà)端口都實(shí)現鏡像對網(wǎng)絡(luò )設備性能、帶寬要求較高,同時(shí)系統配置和管理維護繁瑣,難以滿(mǎn)足實(shí)際應用需求。
利用SBC設備的媒體和信令流的代理功能,可以將其擴展應用于IP錄音解決方案:無(wú)論IP承載網(wǎng)絡(luò )拓撲如何,接入設備是否支持端口鏡像,只需在網(wǎng)絡(luò )核心設備(如L3或GSR)上連接一臺SBC,就能將IP電話(huà)媒體和信令流經(jīng)由SBC轉發(fā)。錄音服務(wù)器只需與網(wǎng)絡(luò )核心設備連接,通過(guò)其把SBC的端口鏡像到錄音服務(wù)器。
采用該方式只要求核心設備支持鏡像,對網(wǎng)絡(luò )中其他設備無(wú)特殊要求。由于只需將IP語(yǔ)音的媒體和信令流通過(guò)SBC匯聚到錄音服務(wù)器,對正常的數據流并無(wú)影響,也避免了純鏡像方式將所有端口流量均匯聚到核心而對網(wǎng)絡(luò )性能和設備配置的影響。對于不需錄音的IP電話(huà)用戶(hù),還可以設置不經(jīng)過(guò)SBC代理,或只代理信令流而旁路媒體流,以減少媒體流匯聚轉發(fā)造成的帶寬浪費。
五、結束語(yǔ)
采用SBC(Session Border Controller,會(huì )話(huà)邊界控制器)是低成本解決IP多媒體業(yè)務(wù)NAT穿越并保障IP通信系統終端接入安全的有效方式,同時(shí)SBC還可以很好解決傳統IP錄音方案在分布式組網(wǎng)時(shí)存在的問(wèn)題,相信SBC將在企業(yè)IP通信系統建設中得到更為廣泛的應用。
作者供稿 CTI論壇編輯
| 華為VoIP解決方案 2009-09-28 |
| 華為全力投入備戰移動(dòng)IMS建設 2009-09-27 |
| 華為攜手陜西電信舉辦面超寬帶網(wǎng)絡(luò )研討會(huì ) 2009-09-27 |
| 華為助力中國電信保障國慶慶典3G通信 2009-09-25 |
| 2009華為軟件企業(yè)業(yè)務(wù)巡展上海站精彩回放 2009-09-18 |