·多个媒体端口通过信令会话动态协商;媒体端口的协商内容包含在信令协议的净荷中(ip地址和端口信息)。防火墙需要深入检测每个数据包来获得所需要的信息并动态维持会话，因此需要防火墙具备额外的处理能力。

　　·源和目标ip地址嵌入在voip信令数据包中。支持nat的防火墙对数据包在ip头一级进行ip地址和端口转换。更为不利的是，全对称nat防火墙经常调整其nat绑定，而且为了保护内部网络，可能会随时关闭允许外部数据包进入的针孔通道，从而使得服务供应商无法向内部网络的客户发送呼叫请求。

　　·为有效地支持voip，nat防火墙需要在数据包通过防火墙时进行深度数据包检测并转换嵌入的ip地址和端口信息。

　　·防火墙还必须能够处理由不同voip系统所使用的不同消息格式组成的信令协议组。实际上，两家供应商采用了同样的协议组并不意味着他们之间就可以互操作。

　　voip供应商互操作性

　　有些voip供应商的产品所实现的协议与基于rfc的标准voip协议有少量不同，并不是所有都完全符合或兼容标准。而且，有些供应商采用了所谓“标准兼容的”专用voip协议。由于这一原因，防火墙能够与尽量广泛的voip终端设备和呼叫服务器实现互操作就非常重要。

　　最后，每家供应商都应当保证与其它供应商的设备是兼容的。sonicwall在这方面投入了大量的时间和精力。sonicwall设备可互操作的部分设备名单在本文档后面列出。

　　现有voip安全性解决方案

　　目前有多种针对voip基础设施安全保障方法。下表简要概述了主要的方法。

　　sonicwall解决方法

　　sonicwall公司的完全voip解决方案为voip基础设施提供了无与伦比的安全性，基于标准的voip兼容性，以及与全球大多数主要voip网关和通信设备的互操作性。

　　所有sonicwall tz 170 和 pro 系列 (gen 4) 安全设备都支持本文所描述的全面voip安全防护能力。这一点非常重要，因为voip网络的总体安全性取决于网络中最脆弱的链路，这些地方需要最高水平的保护，甚至在家庭办公和个人通信设备方面也是如此。

　　sonicwall安全设备基于sonicos版或增强版固件，具有内建的voip能力。利用sonicwall增强版，用户可以获得更多呼叫监控和报告功能，以及更多更全面的服务质量(qos)支持(例如，进入方向带宽管理)。

　　图 1.

　　sonicwall voip 解决方法

　　sonicwall voip解决方案的核心包括以下方面(将在本文后面的章节详细描述):

　　·在整个voip呼叫期间的状态数据包检测和变换

　　o 呼叫注册

　　o 呼叫建立/拆除

　　o 媒体交换

　　·安全性

　　o voip入侵防御、防病毒、内容过滤

　　o voip over wlan，支持全面的威胁预防功能

　　o 检测并丢弃畸形恶意数据包

　　o 强制‘封闭’voip网络 ╟ 防止非授权呼叫

　　·架构

　　o 支持流式媒体和组播应用

　　o 任意设备组合可以位于任何区域(h.323 和 sip 端点、h.323 关守、h.323 多点控制单元、sip代理和重定向服务器)

　　o 网守和代理可以位于网络的任何位置，甚至在dmz区

　　o 全对称nat

　　·丰富的报告

　　o 呼叫跟踪

　　o ‘异常’数据包日志

　　o 简化问题排除和调试过程

　　sonicwall voip安全性

　　sonicwall公司功能强大的深度检测技术为在voip基础设施中的所有点检测和强化业务流管理提供了一种灵活的框架。

　　voip服务器和端点

　　·业务流合法性

　　对通过防火墙的每个voip信令和媒体数据包进行状态检测可保证所有业务流的合法性。对于攻击者来说，攻击所使用的主要方法就是利用特殊编制的数据包来窥探和利用软硬件实现的缺陷，从而导致目标设备出现缓冲区溢出等问题。sonicwall能够在奇异或非法数据包到达目标之前检测到它们并将其丢弃。

　　·对voip协议的应用层保护

　　sonicwall入侵检测服务(ips)能够为voip协议应用层提供全面保护。ips集成了一个可配置的超高性能扫描引擎，配合动态更新和拥有1900多攻击和漏洞签名的数据库，可以保护网络免受最复杂的木马和变形威胁的影响。sonicwall已经利用一系列voip相关的签名来扩展其ips签名数据包，可以防止恶意业务流到达受保护的voip电话和服务器。

　　figure 2 sonicwall ips gui

　　·dos 和 ddos攻击保护

　　防止dos和ddos攻击，如syn flood、ping of death以及land(ip)攻击。这些攻击会造成网络或服务瘫痪。

　　·验证采用tco的voip信令数据包的顺序。不允许失序或在窗口外重传的数据包。

　　·在每一tcp会话中采用随机tcp顺序号(在连接建立时由加密随机数生成器生成)并验证数据流，防止重放和数据插入攻击。

　　·syn flood保护保证了攻击者无法通过打开多个tcp/ip连接(并未完全建立 ╟ 通常是采用欺骗源地址)来使服务器过载。

　　·状态监控

　　状态监控保证数据包(即使表面上看起来正确)符合目前所关联的voip连接的状态。

　　·sonicwall防病毒

　　sonicwall防病毒产品保护软电话客户免受基于病毒的威胁，同时自动强制应用病毒定义dat文件。这大大缩短了整个网络的防病毒策略管理所需要的时间，并降低了成本。

　　voip会话

　　·无缝支持加密媒体

　　一些voip设备可以利用加密来保护voip会话期间交换的媒体数据，防止窃听和重放。

　　·强认证和加密

　　sonicwall公司的点到点(site-to-site)和远程移动用户ipsec vpn经过了icsa认证，为远程用户、远程办公人员和分支机构访问网络资源提供了经济可靠和安全的远程访问通道。配置健壮的认证服务，可以利用公共密钥基础设施(pki)和数字证书为因特网vpn用户提供强大的认证机制。

　　为保护不支持加密媒体传输的voip设备，ipsec vpn提供了完全的解决方案，可保证voip呼叫的私密性。