VoIP存在很多安全隱患，面臨很多安全威脅，但是這不是說VoIP的安全性就不可救藥，實際上隨著安全事件的屢次發(fā)生，眾多VoIP廠商也在不斷的實踐中積累著經驗，通過一些措施來更大限度的保障VoIP的安全。

但提高VoIP的安全性要雙管齊下，除了VoIP廠商要摒棄VoIP安全是一個附加產品的觀念，將安全技術一并根植于VoIP產品本身外；對于VoIP使用者而言，要充分意識到, VoIP設備的安全直接影響著整個企業(yè)基礎網(wǎng)絡的安全，作為管理者不要認為采用VoIP產品僅僅是添加了一部網(wǎng)絡電話，如果不做好完備的防護措施，它很有可能將成為黑客輕松進入企業(yè)內網(wǎng)的一扇門，因此企業(yè)應選用來自IT或數(shù)據(jù)部門的專業(yè)人士來管理IP通訊系統(tǒng)，而并非原有的語音部門，這些人必須比管理傳統(tǒng)PBX的專業(yè)人員更謹慎小心。

可以看出VoIP面臨的安全問題實際上大部分是IP網(wǎng)絡所面臨的問題。因此常規(guī)的安全措施是首先要保證的，另外VoIP應用的特殊性使其需要特殊的措施來加強安全性，下面筆者推薦幾種防范小措施。這幾個措施可能并沒有使用什么高深的技術，但采取這幾種措施之后可能會幫助你的網(wǎng)絡堵住VoIP大漏洞。

VoIP統(tǒng)一到一個VLAN中 便于設置QoS策略

筆者見到很多用戶部署VoIP時，往往采用VoIP和一般性數(shù)據(jù)混合在一個網(wǎng)絡之中。這種部署方式的最大軟肋在于，因VoIP對帶寬以及QoS的需求與一般數(shù)據(jù)并不相同，將直接導致交換、路由器以及網(wǎng)絡上諸多安全設備的傳輸效能大大降低。

將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進行甄別之后，分開傳輸無疑是最恰當?shù)姆椒ā６@一方法也是思科等VoIP設備供應商們的推薦方法之一。

具體方法是，將語音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)（VLAN）中分開，讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸；將VoIP統(tǒng)一到同一個VLAN中，在同一VLAN中傳輸?shù)臄?shù)據(jù)對服務質量（QoS）要求相同，可以簡化服務質量（QoS）設置。QoS設置簡化后，用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。有一點需要注意，當VoIP如果要通過路由器進行傳輸，仍需要第三層服務質量。

這種方法帶來直接的好處是，兩者分開還可以將語音網(wǎng)絡從數(shù)據(jù)VLAN中隱藏起來，可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等，因此沒有了可能會發(fā)起攻擊的計算機，你的VoIP網(wǎng)絡就會安全很多。

加固你的VoIP服務器防范竊聽

實際上，將VoIP信號統(tǒng)一到同一個VLAN中，除了上述優(yōu)點之外，還可以大大降低竊聽電話現(xiàn)象的發(fā)生。如果語音包被人用分析儀獲取，重放語音就輕而易舉。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動攻擊。

俗話說"家賊難防"，上述方法只能防范外部網(wǎng)絡電話的竊聽行為，對內部攻擊卻難以預防。因為內部人員只要將任意一個終端設備接入網(wǎng)絡之中，進行適當配置，披上偽裝成為VoIP虛擬局域網(wǎng)的一部分，就可以任意竊聽。要防止這種破壞，最好的辦法就是購買具有強加密功能的VoIP電話，而這種方法要奏效，每只電話都要有加密功能。這種防范方法造價高，其保密效果到底能提升到何種程度，都很難說。

另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務器從物理上杜絕內部和外部攻擊者，以避免別有用心者利用偵聽技術來截取VoIP信息。具體方法是，鎖定能夠訪問VoIP管理界面的IP地址和MAC地址，同時在SIP網(wǎng)關前放置防火墻，以達到只允許合法用戶才可以進入相關VoIP系統(tǒng)。

譬如說，Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設計。Ingate最近宣布，如今其產品已通過了認證，能夠與Avaya公司的基于SIP的產品協(xié)同工作。確保你實施的VoIP系統(tǒng)基于SIP，那樣以后需要安全選項功能時不至于只能求助于你現(xiàn)有的VoIP廠商。

有些用戶不僅使用防火墻，還對相關的VoIP數(shù)據(jù)包進行加密。然而你可知道，僅僅加密發(fā)送出去的數(shù)據(jù)是不夠的，還必須加密所有呼叫信號。加密語音數(shù)據(jù)包可以防止語音插入。例如可以通過實時安全協(xié)議（SRTP）來加密節(jié)點之間的通信，通過TLS來加密整個過程。

監(jiān)視跟蹤、網(wǎng)絡冗余等手段抵御DoS攻擊

竊取VoIP帳號是黑客借助VoIP網(wǎng)絡偽裝成合法客戶，進入企業(yè)網(wǎng)絡最常用的方法之一。為了竊取帳號，黑客可以說是不擇手段，甚至是采用暴力破解方法來攻擊某一個帳號的密碼，試圖破解控制它。這勢必會引起網(wǎng)絡流量驟增，引發(fā)DoS攻擊幾率大大增加。

通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng)，可以幫助你發(fā)現(xiàn)試圖攻入你的VoIP網(wǎng)絡的各種嘗試。通過仔細觀察這些工具所記錄下來的日志，有助于你及時發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況，從而可以發(fā)現(xiàn)是否有人試圖使用暴力破解帳號進入網(wǎng)絡。

不得不承認，無論你的防范多么嚴密，總會有攻擊的發(fā)生，因此請做好準備應對DoS攻擊或病毒導致網(wǎng)絡癱瘓，其中一個辦法就是增加冗余設計，一旦現(xiàn)在運行著的系統(tǒng)遭受攻擊或出現(xiàn)意外，可以自動切換到另一套設備上，這樣可以最大限度地減少損失，為你發(fā)現(xiàn)并解決問題提供充裕的時間。

VoIP網(wǎng)絡的安全性很大程度上取決于網(wǎng)絡內設備的操作系統(tǒng)和運行在其上的各種應用。及時維護操作系統(tǒng)和VoIP應用系統(tǒng)的補丁，對于防范來自惡意軟件或病毒的威脅是非常重要的。事實上，很多攻擊都是利用了系統(tǒng)的漏洞。這一點與IP網(wǎng)絡的安全防御是一致的。

制定一個計劃，把自己的角色轉換成一個黑客的身份，那么嘗試用各種辦法來攻擊你的VoIP系統(tǒng)吧，盡管找不到攻擊入口并不代表你的VoIP系統(tǒng)就是安全的，但是如果能找到入口，那么別人也可以，趕快采取辦法來堵住這個漏洞。

加固VoIP網(wǎng)絡的辦法絕不僅如此，本文只撿一些必要的幾點進行介紹。然而這并不是最重要的，比這更重要的是，我們要正確面對VoIP存在的安全問題，既要承認它的存在，又要相信通過合理、良好的設計和良好的安全習慣，我們可以把其安全風險控制在可以接受的范圍之內。