如果實現VoIP，安全是個需要考慮的重要事項，因為VoIP中的每一節點都像計算機一樣是可訪問的。當遭受DoS攻擊、黑客入侵時，VoIP通常會導致發生未經授權的免費呼叫、呼叫竊聽和惡意呼叫重定向等問題。針對諸多問題，大力推崇VoIP的思科是如何解決的？

如果實現VoIP，安全是個需要考慮的重要事項，因為VoIP中的每一節點都像計算機一樣是可訪問的。當遭受DoS攻擊、黑客入侵時，VoIP通常會導致發生未經授權的免費呼叫、呼叫竊聽和惡意呼叫重定向等問題。針對諸多問題，大力推崇VoIP的思科是如何解決的？

Cisco精心打造的IP-telephony package可以說是整個Cisco網絡安全防御系統設備中最安全的一個。測試也表明，通過這種方法建立的VoIP網絡能有效抵御熟練黑客的攻擊，其拓撲明顯要優于許多用戶現在部署的安全選項，但美中不足的是，構建這樣的系統確實有點價格不菲。

在這樣一個系統中，可選的組件包括：兩個獨立的PIX防火墻、另一個位于backbone Catalyst 6500刀片上的防火墻、在6500中的一個IDS刀片、一個完全獨立的管理子網和不同安全的管理應用系統。防火墻和IDS部件的價格共計約64萬元。防火墻為桌面帶來了許多實用性很強而且具有高安全級別的特性：一個是信任方－不信任方的概念（不信任方接口總是指向黑客）；另一個是協議理解，即只有要求VoIP的特定協議才被允許，且請求和響應只能在正確的方向才能通過。本測試中還包括其他一些防火墻特性，例如：VoIP呼叫控制檢查（Stateful inspection of VoIP Call Controll）、網絡地址解析（networks address resolution）、通過防火墻的通道呼叫控制、TCP截取（TCP intercept，他可確保TCP連接的順利完成，還能防止呼叫管理器上的DoS攻擊，以及對Secure SCCP的支持）。

作為Cisco IP-telephony package的核心所在，呼叫管理器4.0版可處理呼叫控制，還包括一些其他新的安全相關特性。其中最關鍵之處是VoIP加密，本次測試中語音流（RTP，實時傳輸協議）加密僅僅在Cisco最新的7970 IP phone sets上得到支持。而基于Windows 2000操作系統的最新呼叫管理器已呈現逐步硬化的趨勢。

另外，還有一系列強大的網絡自防御特征也包括在本次被測試的Catalyst　IOS版本中，尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa，和access Catalyst 4500上的IOS 12.1(20)ew等，所有這些功能作為安全防御的先鋒，較之其他任何Cisco拓撲中的組件，均有效地阻止了攻擊隊伍的行動，主要還包括：流量警察（police）和committed access rate，對于阻擋攻擊隊伍的DoS攻擊十分成功；第二層端口安全，他可嚴格限制一個端口中MAC地址的數量；第二層DHCP偵聽（Dynamic Host Configuration Protocol，動態主機配置協議），他可有效阻止動態主機配置協議的連續攻擊；動態地址解析協議檢查，他能中止ARP（地址解析協議）感染病毒和對ARP的偵聽攻擊，同時還能抵御攻擊隊伍大量更隱蔽的攻擊；IP源地址保護（IP Source Guard），他能防止偽裝攻擊；VLAN訪問控制列表，可限制到達IP電話的流量等。

CSA（Cisco Security Agent，Cisco安全代理）是另一個基于主機的防止入侵系統（IPS，intrusion-prevention system），現在作為呼叫管理器IP電話服務器中集成的一個安全組件，也出現在Cisco的統一語音郵件服務器（Unity voice mail server），和其他所有貫穿Cisco網絡拓撲的Win 2000服務器中。

Cisco有效的安全措施幾乎應用在了全部層上：第二和第三層（Catalyst系列交換機），第四和第五層（防火墻和IPS），第六層（RTP語音加密流，目前仍僅限于某些電話），和第七層（基于服務器的軟件，如Cisco Security Agent等）。

經過評測部門組織的三天的測試攻擊，攻擊隊伍在電話通信中沒有發現明顯的干擾，Cisco VoIP系統的安全性基本經受住了考驗，但也存在幾個瑕疵：首先，黑客隊伍很容易就能在一個IP電話基站連接鏈路中插入一個偵聽器，從這個有利的位置他們能觀察收集到全部的流量信息細節，如協議，地址，甚至捕捉到RTP，而這是一種運行在UDP上，并承載全部VoIP系統上中語音樣本的VoIP協議。雖然流入/出VoIP Cisco 7970電話的流量是經過加密的128位數據，但攻擊隊伍很容易獲取；其次，利用放置的偵聽器所收集到的網絡信息，黑客能插入他們自己的計算機，因而能進一步訪問語音虛擬LAN，并向其他VLAN中的設備發送流量，但他們不能偽裝成某個IP電話或IP電話的呼叫。最后，盡管這是一個跨越多層平臺的有效的安全策略，但所有這些安全部件之間細微的相互關聯和正確的安裝是非常令人頭疼的，如果將Cisco配置的防火墻其雙向都不允許通過流量，這或許很安全，但并不實用。任何不當或不正確的設置，既便是最好的安全策略也會受到影響。

    Cisco VoIP系統拓撲圖

   相關鏈接

VoIP安全級別：作為網絡管理員可能經常要面對諸如此類的問題：“你的IP電話（IP telephony）網絡能防止黑客的攻擊嗎？”可能大多數答案都是肯定的，但這個肯定主要取決于網絡所使用的是哪個廠商的IP PBX。因此更重要的是是否制定了周密的網絡安全計劃、網絡和個人資源戰略，以及額外的安全設備方面，投入資金和時間等。下表是對幾種安全級別的定義。