网络电话软件的核心是将语音和数据整合在同一个IP网络上进行传输以此实现对企业通信成本的节省。从应用的角度来看网络电话软件,由于网络电话软件的传输语音是基于传统的软交换方式,因此大量的语音数据包也给病毒木马和攻击者提供了更多的可乘之机。如果不做好相应的防护措施,它很有可能将成为黑客轻松进入企业内网的一扇门。网络电话应用的特殊性使其需要更具有针对性的措施来加强安全性;并且基于不同技术与作法的不同使得网络电话软件在相同的网络环境下质量却有很大的差别。
安全方面:
1、创建独立的VLAN传输
为所有语音数据流创建独立的VLAN,已经在一些传统的企业中得到了比较好的应用效果。另外,除了防护网络攻击的优点之外,独立的VLAN还可以降低窃听电话现象的发生。将网络电话和数据整合在同一个网络中,从部署方式上看其最大的缺陷在于,因网络电话对带宽以及QOS的需求与数据并不相同,因此可能直接导致交换、路由以及网络上诸多安全设备的传输效能降低。如果将网络电话数据与一般性数据进行甄别之后,分开传输无疑是保证不同数据流之间获得不同级别安全保障的恰当方法。具体方法是将语音和数据划分到不同的虚拟局域网(VLAN)中,让语音和数据在不同的VLAN上传输,这样可以简化服务质量(QOS)设置。QOS设置简化后,用户只需为网络电话虚拟局域网赋予优先级即可。这样做的好处是既保证了语音和数据在同一个网络上传输,不需要增加新的带宽加入,又可以把两者分开,将语音流隐藏在VLAN中,从而有效地解决数据欺骗、DOS攻击等安全威胁影响到语音传输。
2、隔离
另外一种有效的方法是将网络电话服务器从物理上隔绝内部和外部攻击,以避免别有用心者利用侦听技术来截取网络电话软件信息。具体方法是,锁定能够访问网络电话管理界面的IP地址和MAC地址,同时在SIP网关前放置防火墙,以达到只允许合法用户进入相关网络电话系统的目的。
3、冗余设计
窃取网络电话账号是黑客借助网络电话网络伪装成合法客户,进入企业网络最常用的方法之一。这势必会引起网络流量骤增,引发DOS攻击几率增加。通过部署合适的监视工具和入侵检测系统,可以发现试图攻入网络电话网络的各种尝试。另外,一旦发生DOS攻击或病毒导致网络瘫痪,冗余设计就是十分必要的保障手段,系统在遭受攻击后可以自动切换到另一套设备上,可以最大限度地减少掉线、延迟和呼叫失败等问题。
有攻击就会有防范的手段,而有一种防护手段就还会有更多的攻击。这就像现在的“流感”一样,特效药不知道已经发明了多少种,但病毒也不断随之变异。至今,医学界也没有找到一种能够根除流感的方法,我们能做的就是更好地预防。
质量方面:
1、语音压缩与解压缩
取样频率的不同,会影响声音转换成数据封包,再转换成声音的真实性。网络电话软件顾名思义是使用网络来传送电话,因此网络频宽会严重影响声音的效果与质量。不同Codec使用的频宽各不相同。计算频宽需求除了要考虑Codec所需要的频宽之外,也必须将封包头与封包尾加入一齐计算。有些Codec本身占用的频宽不大,但是加算封包头尾的成本(Over-head)之后,需要频宽反而大幅增加。
2、取样频率与可用频宽
语音编码压缩与解压缩Codec是Code and Decode的缩写,Codec能影响需要的频宽大小与声音质量,尤其是对于封包遗失率的处理能力。
3、封包遗失率
网络电话软件在因特网环境上,可能因为特定网络段的拥塞、设备无法负荷过大的流量等因素,造成封包遗失;在不同介质连接(例如光电转换)或不同网络标准或协议转换时,也可能造成封包遗失。一般因特网上的服务是使用TCP协议,当封包遗失的情形发生时,透过协商(HandShaking)的方式,接收端会要求发送端传送丢失的封包,甚至可能要求发送端全部重新传送。但是正如本文前面所述,语音有实时性的要求,所以在设计上通常会使用发送后不理的UDP协议(更正确地说是使用RTP这种协议),因此当封包遗失的情形严重时,网络电话就会出现杂音、声音消失,甚至于通话中断的情形。
4、软件迟延
尽管封包在铜缆与光纤中能以非常快的速度传送,不同网络设备的介接与转换,都会造成封包传递的迟延,这种因为物质特性所造成的迟延称为物理迟延。网络电话软件由于网络架构与设计的目的会让封包在传送过程产生各种不同的迟延,封包迟延会造成回音与颤音。当封包迟延超过40ms(0.04s)时,人耳就可以分辨出有回音出现。好的网络环境是确保封包迟延低于150ms(0.15s)。人耳能接受的声音迟延大约是150ms(0.15s)到400ms(0.4s)。超过400ms(0.4s)的迟延会造成声音质量恶劣而无法接听。
|