一旦企業(yè)用戶對VoIP通信經(jīng)過測試，證明能正常工作，那么余下的工作便是解決安全性問題。VoIP通信要完全做到像其他數(shù)據(jù)應(yīng)用一樣安全，需要進(jìn)行適當(dāng)?shù)呐渲茫�并跟網(wǎng)絡(luò)中其它服務(wù)器和應(yīng)用一樣，對其進(jìn)行精心管理。
　　保障VoIP安全不僅僅是單方面的，而是一系列典型處理進(jìn)程的集合，它涵蓋了網(wǎng)絡(luò)中相關(guān)的服務(wù)器、各類應(yīng)用以及語音本身。而且，在選擇防火墻、入侵檢測系統(tǒng)（IDS）和其它安全工具時也同樣需要謹(jǐn)慎從事。
　　防火墻選取至關(guān)重要
　　保障VoIP數(shù)據(jù)在防火墻中的安全是一項相當(dāng)繁雜的工作。VoIP會話采用的協(xié)議為H.323或SIP（會話初始協(xié)議），防火墻在整個VoIP通信配置中必須能處理這類相當(dāng)復(fù)雜的實時通信協(xié)議。H.323與SIP具有單獨的控制和媒體傳輸連接方式，典型地是選擇在一個IP端口建立呼叫連接，而隨機(jī)選取另一個大數(shù)額端口（通常在1024端口以上）作為數(shù)據(jù)通信連接。因而不能簡單地將防火墻配置為對特定端口開放或禁止，因為防火墻無法識別哪個端口將被用于通信連接。這就需要一類能充分識別此類協(xié)議的防火墻，當(dāng)會話啟動并通過控制域中的認(rèn)證后，適時打開數(shù)據(jù)連接通道，并在會話結(jié)束時即時關(guān)閉連接。
　　另外，防火墻還須保證在不影響語音流傳輸性能的前提下，進(jìn)行完整的數(shù)據(jù)包檢測。據(jù)ITU的建議，在端到端通信中語音流應(yīng)不超過100毫秒延遲，因為語音包比普通數(shù)據(jù)包要小得多，每秒傳輸?shù)陌鼣?shù)量相應(yīng)地要大得多（每次語音流中每秒約傳輸50個數(shù)據(jù)包，幾乎是一次數(shù)據(jù)流的兩倍），語音通信處理會明顯降低防火墻性能。雖然軟件防火墻能很好地處理數(shù)據(jù)通信，但要應(yīng)付每秒50個數(shù)據(jù)包的呼叫請求——幾乎是它能監(jiān)測數(shù)據(jù)包的極限，因此很多軟件防火墻根本就吃不消。相對而言，專用硬件防火墻在這方面就在行得多。
　　與防火墻配套使用的VPN設(shè)備的處理能力也值得關(guān)注。當(dāng)語音流中每秒數(shù)據(jù)包達(dá)20個左右時，一些低端VPN加密機(jī)就難以應(yīng)付了，數(shù)據(jù)包超過一定限度甚至有可能造成加密機(jī)癱瘓。有的防火墻不具備硬件加速器，只有軟件方案，與VPN設(shè)備聯(lián)合使用就更難適應(yīng)語音通信要求了，因為抖動太厲害。而且，只要防火墻處理器繁忙，必然造成語音包丟失。
　　還有一個問題是，它不能將來自遠(yuǎn)程站點的呼叫轉(zhuǎn)接到另一遠(yuǎn)程站點，因為防火墻不準(zhǔn)許語音包通過同一端口進(jìn)入和輸出。要徹底解決這一問題，只有解除路由器中建立的IPSec隧道，由于路由器具備硬件加速器，且能進(jìn)行站點間路由轉(zhuǎn)發(fā)，因而能高效實現(xiàn)語音通信。
　　服務(wù)器安全保障不可少
　　VoIP服務(wù)器配置需要特別留意，大多數(shù)IP PBX操作系統(tǒng)都附帶其他服務(wù)功能，這有可能引發(fā)安全性問題。Avaya認(rèn)為，服務(wù)器應(yīng)專注于語音處理。Avaya開發(fā)的MultiVantage IP PBX采用Linux系統(tǒng)，其中既無Web瀏覽器，也無郵件系統(tǒng)和守護(hù)進(jìn)程（daemon，用于郵件收發(fā)的后臺程序）。這也就是說，應(yīng)盡量減少一般服務(wù)器具備的網(wǎng)絡(luò)服務(wù)工具。這種對操作系統(tǒng)的“瘦身” 加固配置，有利于保護(hù)平臺免受病毒和蠕蟲侵害。一些IP電話核心服務(wù)器簡單配置Windows NT操作系統(tǒng)后，就容易遭到Nimda這類病毒攻擊。據(jù)Nortel稱，他們采用的平臺基于嵌入式NT（本身進(jìn)行了漏洞修補(bǔ)）設(shè)計，并經(jīng)過嚴(yán)格測試，去除了不必要的服務(wù)，因而IP電話平臺從未遭受過攻擊。
　　另一成功應(yīng)用案例是Cisco，此前他們采用基于NT的CallManager VoIP服務(wù)器，結(jié)果遭受到Nimda病毒攻擊。Cisco隨后對系統(tǒng)進(jìn)行了修補(bǔ)，對平臺進(jìn)行加固處理，保障了VoIP的安全。Cisco還計劃在年底前推出非NT平臺，盡管用戶對其弱點情況和補(bǔ)丁管理抱有疑慮，但他們堅信，VoIP服務(wù)器面臨的安全風(fēng)險不會比其他網(wǎng)絡(luò)設(shè)備大。
　　很多用戶因為安全原因而不愿意使用基于Windows系統(tǒng)的IP PBX。人們一旦談及關(guān)鍵應(yīng)用，首先想到的是：平臺是否容易受到病毒或黑客攻擊——Windows系統(tǒng)不是受攻擊的最大目標(biāo)嗎？操作系統(tǒng)選取是一個方面，但重要的是系統(tǒng)穩(wěn)定，不需要太多附加安全工具進(jìn)行保護(hù)�；�于此，很多公司都將Linux/Unix作為VoIP通信平臺。
　　還有就是需要采取必要預(yù)防措施，不讓語音服務(wù)器暴露于Internet。語音服務(wù)器應(yīng)采用專用IP，語音通信只在經(jīng)VPN加密的安全LAN中傳輸，而不是將VoIP暴露于Internet。為實現(xiàn)這一點，企業(yè)用戶一般是從單一通信服務(wù)商購買語音線路，以方便基于LAN處理通信。
　　與防火墻技術(shù)關(guān)系緊密的IDS也是保障VoIP通信安全的重要一環(huán)。一些專注于語音應(yīng)用的IDS能提供更多的VoIP服務(wù)器保護(hù)，但目前這類設(shè)備配置還很少。而且IDS存在一個致命弱點，它容易引發(fā)錯誤告警，從而影響到功能發(fā)揮，尤其是在語音通信環(huán)境。這就需要設(shè)置大量規(guī)則，以處理數(shù)量巨大的語音包，否則系統(tǒng)面對的將是無止境的“主動性”錯誤告警。Cisco聲稱已獲得解決這類問題的專門技術(shù)，一是依據(jù)檢測情況的自動告警功能（旗下Psionic公司開發(fā)），一是Okena公司開發(fā)的入侵預(yù)防和檢測系統(tǒng)（IPS）。
　　防止竊聽進(jìn)行線路加密
　　VoIP應(yīng)用中另一個值得關(guān)注的安全問題是防止黑客竊聽語音呼叫或竊取語音服務(wù)。防止竊聽的一種方法是對呼叫進(jìn)行加密，這對現(xiàn)行VPN技術(shù)來說已易于實現(xiàn)（撇開互操作問題）。但首先得保證VoIP終端設(shè)備具備足夠的處理資源以支撐VPN客戶端，而很多IP電話根本就不具備這個能力。此種情形下，用戶就只能在工作站或電腦中實現(xiàn)VPN客戶端，將電話連接到PC。這種配置方式未嘗不可，但要保證電腦不會與VoIP呼叫產(chǎn)生沖突。例如，如果運行Windows XP系統(tǒng)，將不會遇到什么問題，但若是Win98就有麻煩了；連接線路方面，若采用256K DSL接入，支持語音通信綽綽有余，但要同時運行Outlook這類客戶端郵件軟件，系統(tǒng)可能就吃不消了。
　　另外就是，沒有必要對LAN中VoIP通信進(jìn)行全面加密。典型的例子是，現(xiàn)今蜂窩電話已相當(dāng)普及，要進(jìn)行竊聽會比VoIP通信流容易得多，應(yīng)該承認(rèn)不是每類通話都需要保密�？傊�，VoIP應(yīng)用中，加密實現(xiàn)相對于其它問題要簡單些。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)