设备级安全

　　在设备级，负责提供统一消息、呼叫中心和CTI业务我们的IP电话服务器、多媒体服务器和应用服务器要能将将管理功能与业务功能分开、严格的访问控制、以及用户认证、授权和计费。

　　同时我们的方案较好在不同的语音、多媒体和应用服务器中采用些基本的安全方法，以确保关闭所有任何可能被攻击者利用的后门程序。例如：

　　◆ 关闭不用的端口(如用于控制台或远程调制解调器访问的端口);

　　◆ 只允许使用经过授权的应用软件;

　　◆ 支持针对操作人员设置多级权限(如监视、配置和控制权限);

　　◆ 安全地保存用户密码;

　　◆ 对密码格式和管理变更进行严格控制;

　　◆ 可使用VPN路由器对管理业务(如计费信息)进行加密，即使这些信息只在内部传输。

　　边界保护

　　网络边界保护针对的是位于一个被称之为安全多媒体区域的VoIP和多媒体资源。这种保护可确保只允许合法的多媒体业务、信令业务和管理业务进入这一区域。

　　安全多媒体区域采用安全多媒体控制器等产品在通信和多媒体服务器周围设置一道“安全防护栏”，以保护这些设备免遭内外攻击。可以针对业务提供商和企业采取不同的方法，这是因为业务提供商通常允许用户通过开放的互联网访问它们的VoIP系统，而企业主要关心如何在在一个相对安全的企业内部网上进行部署，并通过安全隧道的延伸实现远程和移动接入。

　　端点的策略符合性和保护

　　无论是应用于本地或远端的有线或无线IP话机，还是应用于PC和PDA中的软件客户端，端点的策略符合性可确保只有通过认证的用户和符合操作者定义的安全策略的终端设备才能接入网络，并且这些设备只能使用经过授权的应用和网络资源。

　　目前，采用符合行业标准的HTTP Digest认证方式对多媒体用户进行认证，从而防止未知设备伪装成一台IP话机，或防止一台IP话机进入一个未经授权的网络端口。我们使用的以太网交换机、以太网路由交换机和WLAN安全交换机不仅要支持802.1x/EAP认证，而且还支持媒体访问控制(MAC)地址过滤，作为访问控制的另一种形式。

　　对于IP电话软件客户端，解决方案需支持IPsec VPN认证，并支持通过一个SSL(安全套接字层)VPN提交用户名和认证信息。IPsec是互联网工程工作小组(IETF)定义的一套安全协议，它们通过加密、认证、保密、数据完整性、防回放保护和防业务流分析来保护IP通信业务。

　　IPsec SSL VPN连接可利用SNA解决方案查询本地或远程接入设备，以确保它们符合企业的安全策略，如防火墙和防病毒软件的最新定义。在VPN中，SNA解决方案采用隧道防护(TG)技术。一些VPN产品系列几年前就开始采用这一独特技术，让企业能够灵活采用以下方式确保端点安全：在安装VPN客户端时安装一个代理，或者将代理下载到试图建立一个SSL VPN连接的设备上。

　　不仅如此，SSL还与第三方厂商通过一个开放的应用程序接口(API)相互作用。如果某个设备不符合安全策略，可以将其放置在一个用于纠正的VLAN内，直到其符合安全策略为止。