防火墙保障IP电话安全的实现方案

　　为了对抗针对IP电话的攻击，防火墙必须要更智能更高效地检验进来的数据报里与SIP相关的信息。对此，不同的防火墙厂商采取了不同的方案，但大体来看各方案或多或少都存在一些问题。

　　对于具有全状态检测(stateful-inspection)功能的防火墙来说，它本身并不具有应付应用层攻击的防护能力，这种防火墙在传输层对数据进行检查，它首先跟踪从公司IP电话网络出去的会话连接，然后利用这些信息来决定哪些外部数据是安全的可以进入公司网络的数据。

　　基于代理的防火墙如TIS的Guantlet具有在应用层对具体应用进行安全保护的能力，它的工作方式是首先检测从外部进来的会话连接，分析其所使用的协议，然后掐断该外部连接，最后从自己这方重新发起一个到对方的新连接。这种防火墙虽然能直接在应用层对不同的具体应用提供相应的保护，但它是以牺牲性能为条件的，并且需要对每个具体应用进行特别调整。

　　没有任何一款VoIP防火墙(包括全状态检测防火墙)是纯粹工作在网络层和传输层的，最起码它们也要利用应用层网关(ALG)在网络层、传输层和应用层查找地址信息并进行相应修改。ALG对终端设备来说是透明的，所以在处理SIP时，它们并不会向请求连接一方发送TRYING消息。

　　有些防火墙在处理SIP数据报时会利用DPI查看数据报更细节的信息，比如在应用层检查数据报是否符合标准格式，这样这些基于DPI的防火墙就能防住某些缓冲区溢出攻击，比如如果数据报里的电话号码超出标准规定的长度的话，防火墙会直接拒之门外。

　　基于代理的防火墙(用SIP领域的术语来说也叫背对背用户代理，Back-2-Back User Agent，B2BUAs)位处主叫方和被叫方中间，截取两端的通话信号和媒体流，这些设备工作方式类似SIP代理服务器，只不过它们同时还能进行协议正确性校验和检查。边界会话控制器(Session Border Controllers,SBCs)是一种被众多运营商用于连接VoIP服务和支持QoS的设备，它们也属于基于代理的防火墙这一类。很多制造SBC的厂商同时也为企业提供类似的防火墙产品，如Jasomi Networks、Kagoor Networks、Ingate Systems和Acme Packet等。