解析部署統一通信系統中網(wǎng)絡(luò )安全問(wèn)題
2009/04/15
今天,統一通信是個(gè)熱點(diǎn)話(huà)題,這是因為,IP語(yǔ)音通信和融合多媒體解決方案可通過(guò)為最終用戶(hù)提供靈活的業(yè)務(wù)套餐和更多移動(dòng)業(yè)務(wù),適應企業(yè)組織變革,降低運營(yíng)成本并提高效率。但是,隨著(zhù)網(wǎng)絡(luò )入侵事件的日益增多,企業(yè)和業(yè)務(wù)提供商始終都擔心它們是否能夠滿(mǎn)足這些新的IP電話(huà)和多媒體系統對安全性和可靠性要求。是的,開(kāi)放性和普遍性固然使IP網(wǎng)絡(luò )成為強大的業(yè)務(wù)工具,但也同時(shí)為它帶來(lái)了巨大的安全隱患。在將合法用戶(hù)接入網(wǎng)絡(luò )的端口和門(mén)戶(hù)時(shí),網(wǎng)絡(luò )黑客和那些為了個(gè)人利益或出于惡意而企圖侵占網(wǎng)絡(luò )資源的攻擊者也同時(shí)乘虛而入。攻擊者可以通過(guò)使用IP地址欺騙、拒絕服務(wù)(DoS)攻擊、后門(mén)入口等工具和技術(shù)入侵網(wǎng)絡(luò ),達到破壞服務(wù)、盜用服務(wù)和竊取機密信息等目的。
毋寧質(zhì)疑,我們在搭建安全可靠的端對端網(wǎng)絡(luò )方面,如何為業(yè)務(wù)提供商和企業(yè)的這些系統提供安全保護,是一個(gè)必須面對的問(wèn)題。
為IP電話(huà)和多媒體系統提供安全保護
為了應對這些攻擊,我們采用那些在通信服務(wù)器或企業(yè)通信管理器產(chǎn)品系列開(kāi)發(fā)出相應的IP電話(huà)解決方案,以滿(mǎn)足業(yè)務(wù)提供商在運行、可靠性和性能方面的嚴格要求,并服務(wù)于個(gè)人和企業(yè)用戶(hù)、小型企業(yè)、政府機構和那些為最終用戶(hù)提供服務(wù)的企業(yè)。
這些IP電話(huà)解決方案還能得到進(jìn)一步增強,以便通通信服務(wù)器的支持,提供融合多媒體解決方案,包括實(shí)時(shí)視頻、安全即時(shí)消息、應用共享、白板和在線(xiàn)狀態(tài)等,它們既可以是專(zhuān)用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業(yè)生產(chǎn)力的基本工具,同時(shí)還能提升個(gè)人和企業(yè)用戶(hù)的通信體驗。
在保護多媒體服務(wù)器、應用服務(wù)器和網(wǎng)關(guān)設備方面,在產(chǎn)品研發(fā)及實(shí)施階段遵循多個(gè)原則,以確保IP電話(huà)和多媒體通信系統的完整性以及用戶(hù)信息的保密性。這些原則包括:
- 多媒體安全解決方案必須符合網(wǎng)絡(luò )操作者的安全策略,不論該操作者是某個(gè)企業(yè)的IT組織還是一個(gè)業(yè)務(wù)提供商。
- 必須在數據層面為IP網(wǎng)絡(luò )提供安全保護,并且所采用的任何安全機制必須能夠在如下環(huán)境內運行:具有嚴格的VoIP和多媒體實(shí)時(shí)性能要求,以及極高的時(shí)延/抖動(dòng)(端到端小于150毫秒)和丟包率(接近0%)要求。
- 業(yè)務(wù)關(guān)鍵型通信服務(wù)器以及相關(guān)的信令和控制系統必須具備物理安全性,并得到保護以防范內外攻擊。
- 力求在不同設備上以及有線(xiàn)和無(wú)線(xiàn)接入模式下實(shí)現的易用性和一致的用戶(hù)體驗也必須得到實(shí)現,并且必須對各種認證方式和加密技術(shù)透明。
- 所有多媒體產(chǎn)品對各種標準的支持將確保能夠滿(mǎn)足業(yè)務(wù)提供商和企業(yè)在功能和互通性方面的要求。
- 必須在整個(gè)多媒體環(huán)境中采用一種整體的安全方法,以便實(shí)現業(yè)務(wù)提供商之間、企業(yè)之間、公網(wǎng)和專(zhuān)網(wǎng)之間的互通。
企業(yè)所采取的IP電話(huà)和多媒體系統保護戰略,要采用一種例如分層安全防護方法,它是網(wǎng)絡(luò )安全體系結構遵循的一個(gè)重要原則。確保多媒體系統和網(wǎng)絡(luò )安全的分層防護方法能夠避免網(wǎng)絡(luò )上的任何單點(diǎn)故障。通過(guò)在網(wǎng)絡(luò )的多個(gè)區域采用多種強制安全策略的方法可以實(shí)現分層防護,而且還可利用符合標準的解決方案對其提供支持。這種方法與傳統的IT方法不同,后者主要通過(guò)防火墻為網(wǎng)絡(luò )邊界提供保護。
除了將最佳實(shí)踐應用于保護整個(gè)IP網(wǎng)絡(luò )外,我們的VoIP和多媒體解決方案還在分層體系結構中提供具體的多媒體安全功能,包括設備級安全、邊界保護、端點(diǎn)的策略符合性和網(wǎng)絡(luò )級保護、以及應用級安全。
設備級安全
在設備級,負責提供統一消息、呼叫中心和CTI業(yè)務(wù)我們的IP電話(huà)服務(wù)器、多媒體服務(wù)器和應用服務(wù)器要能將將管理功能與業(yè)務(wù)功能分開(kāi)、嚴格的訪(fǎng)問(wèn)控制、以及用戶(hù)認證、授權和計費。
同時(shí)我們的方案最好在不同的語(yǔ)音、多媒體和應用服務(wù)器中采用些基本的安全方法,以確保關(guān)閉所有任何可能被攻擊者利用的后門(mén)程序。例如:
- 關(guān)閉不用的端口(如用于控制臺或遠程調制解調器訪(fǎng)問(wèn)的端口);
- 只允許使用經(jīng)過(guò)授權的應用軟件;
- 支持針對操作人員設置多級權限(如監視、配置和控制權限);
- 安全地保存用戶(hù)密碼;
- 對密碼格式和管理變更進(jìn)行嚴格控制;
- 可使用VPN路由器對管理業(yè)務(wù)(如計費信息)進(jìn)行加密,即使這些信息只在內部傳輸。
邊界保護
網(wǎng)絡(luò )邊界保護針對的是位于一個(gè)被稱(chēng)之為安全多媒體區域的VoIP和多媒體資源。這種保護可確保只允許合法的多媒體業(yè)務(wù)、信令業(yè)務(wù)和管理業(yè)務(wù)進(jìn)入這一區域。
安全多媒體區域采用安全多媒體控制器等產(chǎn)品在通信和多媒體服務(wù)器周?chē)O置一道“安全防護欄”,以保護這些設備免遭內外攻擊。可以針對業(yè)務(wù)提供商和企業(yè)采取不同的方法,這是因為業(yè)務(wù)提供商通常允許用戶(hù)通過(guò)開(kāi)放的互聯(lián)網(wǎng)訪(fǎng)問(wèn)它們的VoIP系統,而企業(yè)主要關(guān)心如何在在一個(gè)相對安全的企業(yè)內部網(wǎng)上進(jìn)行部署,并通過(guò)安全隧道的延伸實(shí)現遠程和移動(dòng)接入。
端點(diǎn)的策略符合性和保護
無(wú)論是應用于本地或遠端的有線(xiàn)或無(wú)線(xiàn)IP話(huà)機,還是應用于PC和PDA中的軟件客戶(hù)端,端點(diǎn)的策略符合性可確保只有通過(guò)認證的用戶(hù)和符合操作者定義的安全策略的終端設備才能接入網(wǎng)絡(luò ),并且這些設備只能使用經(jīng)過(guò)授權的應用和網(wǎng)絡(luò )資源。
目前,采用符合行業(yè)標準的HTTP Digest認證方式對多媒體用戶(hù)進(jìn)行認證,從而防止未知設備偽裝成一臺IP話(huà)機,或防止一臺IP話(huà)機進(jìn)入一個(gè)未經(jīng)授權的網(wǎng)絡(luò )端口。我們使用的以太網(wǎng)交換機、以太網(wǎng)路由交換機和WLAN安全交換機不僅要支持802.1x/EAP認證,而且還支持媒體訪(fǎng)問(wèn)控制(MAC)地址過(guò)濾,作為訪(fǎng)問(wèn)控制的另一種形式。
對于IP電話(huà)軟件客戶(hù)端,解決方案需支持IPsec VPN認證,并支持通過(guò)一個(gè)SSL(安全套接字層)VPN提交用戶(hù)名和認證信息。IPsec是互聯(lián)網(wǎng)工程工作小組(IETF)定義的一套安全協(xié)議,它們通過(guò)加密、認證、保密、數據完整性、防回放保護和防業(yè)務(wù)流分析來(lái)保護IP通信業(yè)務(wù)。
IPsec SSL VPN連接可利用SNA解決方案查詢(xún)本地或遠程接入設備,以確保它們符合企業(yè)的安全策略,如防火墻和防病毒軟件的最新定義。在VPN中,SNA解決方案采用隧道防護(TG)技術(shù)。一些VPN產(chǎn)品系列幾年前就開(kāi)始采用這一獨特技術(shù),讓企業(yè)能夠靈活采用以下方式確保端點(diǎn)安全:在安裝VPN客戶(hù)端時(shí)安裝一個(gè)代理,或者將代理下載到試圖建立一個(gè)SSL VPN連接的設備上。
不僅如此,SSL還與第三方廠(chǎng)商通過(guò)一個(gè)開(kāi)放的應用程序接口(API)相互作用。如果某個(gè)設備不符合安全策略,可以將其放置在一個(gè)用于糾正的VLAN內,直到其符合安全策略為止。
應用級安全
確保語(yǔ)音通信的保密性是IP電話(huà)系統抗衡傳統TDM系統的一個(gè)關(guān)鍵因素。
當今的交換式以太網(wǎng)內部體系結構-連同語(yǔ)音VLAN、地址解析協(xié)議(ARP)防欺騙等協(xié)議控制技術(shù)、以及安全的配線(xiàn)柜-的確能夠使內部IP呼叫與TDM呼叫一樣安全。
為了確保通往PSTN的外部IP呼叫的安全,一個(gè)媒體網(wǎng)關(guān)首先要將數據包轉換成一個(gè)TDM呼叫,從而實(shí)現等同于TDM環(huán)境下的呼叫安全。
幾乎所有客戶(hù)都認為任何通過(guò)互聯(lián)網(wǎng)傳輸的業(yè)務(wù)-無(wú)論語(yǔ)音和數據業(yè)務(wù)或通過(guò)有線(xiàn)和無(wú)線(xiàn)方式接入的業(yè)務(wù)-都是不安全的,并且容易遭受探測攻擊。由于存在這種擔心,人們通常采用SSL技術(shù)保護用戶(hù)認證和金融交易信息等重要的信息,并采用IPsec VPN技術(shù)確保企業(yè)遠程辦公站點(diǎn)和分支機構的接入安全。我們采用IPsec和SSL VPN解決方案完全能夠確保企業(yè)內部網(wǎng)上遠程辦公人員、移動(dòng)工作人員、分支機構和遠程辦公室的IP電話(huà)呼叫安全。
在低風(fēng)險的內部IP呼叫和高風(fēng)險的互聯(lián)網(wǎng)/無(wú)線(xiàn)IP呼叫之間是一種極易遭受竊聽(tīng)的業(yè)務(wù):撥入式電話(huà)會(huì )議。
我們采用的系統產(chǎn)品通常要可以通過(guò)一個(gè)主持人可視面板提供一整套易用的撥入式電話(huà)會(huì )議安全功能。主持人可以使用該面板查詢(xún)參加和退出會(huì )議呼叫的人員,甚至可以要求參加者二次輸入密碼進(jìn)行從新認證。所有這些功能都極大增強了傳統和IP電話(huà)通信環(huán)境的安全性。
對于想要確保VoIP和多媒體系統最高安全的客戶(hù),我們的服務(wù)實(shí)施團隊要可以為客戶(hù)提供設計和集成服務(wù),包括評估現有網(wǎng)絡(luò )體系結構(包括與客戶(hù)相關(guān)人員共同召開(kāi)協(xié)作會(huì )議和進(jìn)行項目規劃),提供一個(gè)詳細的安全體系結構計劃,并針對VoIP和/或多媒體解決方案以及具體的部署要求提供網(wǎng)絡(luò )結構圖。
網(wǎng)界網(wǎng)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
涪陵区|
萍乡市|
咸阳市|
镇巴县|
托里县|
磐安县|
达尔|
南乐县|
洛宁县|
三门县|
藁城市|
葵青区|
米脂县|
辉县市|
沙湾县|
长泰县|
贵州省|
宁海县|
文山县|
松桃|
临邑县|
灵台县|
玉环县|
宜城市|
天门市|
郁南县|
华池县|
宁陕县|
崇左市|
静宁县|
昆山市|
宜都市|
浦城县|
永康市|
宁蒗|
昌都县|
石泉县|
剑阁县|
崇阳县|
嵊泗县|
合江县|
http://444
http://444
http://444
http://444
http://444
http://444