放弃防火墙？

　　由于目前没有任何一个防火墙方案能完美地解决VoIP安全问题，因此有些安全专家认为在应用层这个级别可能最好的处理办法就是完全放弃防火墙。RTFM安全咨询公司的主管兼传输层安全(TLS)工作小组副主席Eric Rescorla认为防火墙并不是像想象的那么好，“看看电子邮件蠕虫是如何突破防火墙的吧”，他说。

　　Dynamicsoft公司的CTO和SIP创建者之一Jonathan Rosenberg也赞同这种观点，他在一封电子邮件里写道“防火墙厂商必须要非常熟悉SIP和其他IP电话协议，这样才能保证他们产品的质量，而实际上他们做不到这一点，结果就是当一个新的应用或协议出现时，在部署它们的时候你不得不寻求厂商的帮助。这种情况就完全体现不出网络的主要好处。”

　　Rosenberg建议采用一种新的模式，即防火墙不用理会SIP和其他应用层协议。他说现在一些客户端技术如简单UDP穿越NAT协议(STUN)、交互式连通建立方式(ICE)、通过中继方式穿越NAT技术(TURN)使得防火墙不需要处理SIP就能让IP通话穿过防火墙。这些协议和技术为客户端获取NAT和防火墙所使用的外部传输层地址提供了途径，这样SIP客户端就能在会话描述协议(SDP)中规定的数据报域内加入外部地址，使得回来的数据报能被导向正确的地址。

　　Rosenberg相信那些开发基于SIP的应用的开发人员会比较倾向于支持该协议，而网络管理员就不一定了。过去的经验表明安全问题从来都是很棘手的，开发人员并不总是愿意或者说并不总是有能力在开发的时候完全解决安全问题。而从CERT和NISCC发布的安全报告来看，我们也没什么理由期待SIP开发人员会与众不同。