如果語音和數(shù)據(jù)共存于同一網(wǎng)絡(luò)，就要另外采取措施以確保語音的安全。

　　設(shè)想黑客闖入你的IP PBX或者網(wǎng)關(guān)，大肆盜打長途電話、查閱貴公司CFO的語音郵件或者把發(fā)給貴公司CEO的呼叫轉(zhuǎn)給競爭對(duì)手；又或者內(nèi)部員工使用tcpdump和隨手可得的一款Unix工具（例如呼叫偷聽器）偷聽呼叫，你該如何是好？人們已逐漸接受了數(shù)據(jù)網(wǎng)絡(luò)上的各種新穎應(yīng)用，但也習(xí)慣了享用電話系統(tǒng)所具有的高可靠性和高安全性。

　　采取諸多措施可以降低網(wǎng)絡(luò)數(shù)據(jù)遭受攻擊的可能性。但首先你要知道傳統(tǒng)PBX并不是不會(huì)受到攻擊，黑客往往通過撥號(hào)進(jìn)入管理端口；或者如果員工已被解雇，但賬戶還沒有被禁用，只要接管他們的分機(jī)和語音郵件，就可以獲得訪問權(quán)，最直接的問題是，有許多網(wǎng)站專門介紹常用的電話黑客手段。

　　也就是說，IP PBX 極有可能受到數(shù)據(jù)網(wǎng)絡(luò)上發(fā)生的事件的影響。VoIP廠商認(rèn)識(shí)到這一點(diǎn)后，紛紛推出各種安全解決方案。首先，許多廠商避開Windows，改用VxWorks、Linux或者病毒和其他攻擊相對(duì)較少、不必過于頻繁打補(bǔ)丁的操作系統(tǒng)。為了加強(qiáng)OS的安全，它們只使用應(yīng)用所必需的服務(wù)，“服務(wù)器”其實(shí)只是預(yù)先經(jīng)過配置的設(shè)備。譬如，Cisco在其CallManager系統(tǒng)中采用了加強(qiáng)安全的Windows NT，大多數(shù)廠商還為IP LAN或者WAN提供語音和呼叫控制加密功能，Cisco甚至還提供了從Okena收購而來的內(nèi)置的入侵檢測功能。

　　保護(hù)VoIP LAN的最佳辦法之一就是把它與數(shù)據(jù)LAN隔離開來。這種隔離不是說需要兩套全然不同的基礎(chǔ)設(shè)施，而是使用到交換機(jī)的802.1Q功能，把它們放在不同的虛擬局域網(wǎng)（VLAN），IP電話往往有自己的交換機(jī)和VLAN功能，把IP PBX和其他應(yīng)用服務(wù)器放在不同的VLAN上，盡量利用防火墻保護(hù)含有PBX的部分，在兩個(gè)部分的交匯處，譬如消息傳送系統(tǒng)，防火墻應(yīng)當(dāng)能夠提供防范攻擊的作用。

　　一定要注意哪些IT人員可以獲準(zhǔn)訪問IP PBX服務(wù)器的核心操作系統(tǒng)，考慮采用入侵檢測和防護(hù)系統(tǒng)監(jiān)控所有語音服務(wù)器和網(wǎng)段。盡量不要使用基于PC的IP電話，因?yàn)樗鼈內(nèi)菀资艿讲《竟�擊。另外，�?yīng)當(dāng)在數(shù)據(jù)部分和語音部分之間建立一條鏈路，并在兩個(gè)部分之間實(shí)行網(wǎng)絡(luò)地址轉(zhuǎn)換，同時(shí)讓所有IP電話設(shè)備都采用專用的地址空間。

　　為了防止有人在網(wǎng)絡(luò)上安置未授權(quán)電話，需要采取一些驗(yàn)證措施，無論驗(yàn)證手段是指只允許擁有已知媒體訪問控制（MAC）地址的電話進(jìn)行訪問，還是指個(gè)人身份、口令和個(gè)人身份識(shí)別號(hào)（PIN）。IP電話采用靜態(tài)IP地址并映射到MAC地址的做法也值得考慮。當(dāng)然，還要隨時(shí)更新所有語音郵件和呼叫處理服務(wù)器上的安全補(bǔ)丁，確保擁有良好的病毒防護(hù)機(jī)制。你為IP電話系統(tǒng)付出的努力會(huì)得到回報(bào)，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的可靠性。

計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)