什么arp防火墙好用(道哥漫谈在IP语音中)
IP 语音 (VoIP) 和统一通信 (UC), 作为封闭专有通信系统的替代解决方案, 在当今动态的商业和经济环境中,随着IP网络的全面普及,越拉越受欢迎。
图-1 VoIP通信
IP网络在为企业和联络中心内网通信中,基于其可提供可扩展性,灵活性和成本优势,充分体现了其高效性。由于有组织的通信网络是关键业务资源,因此必须确保基于IP的企业联络中心通信网络、服务和应用程序的安全。但其他要求,如最大化通信服务和应用互操作性,确保服务可用性和质量水平,符合政府法规,以及控制成本,才能成功交付 VoIP/UC。
工作原理:SBC与防火墙对比了解防火墙和SBC之前,让我们重温一下OSI。OSI模型(Open System Interconnection Reference Model),由国际标准化组织提出,一个试图使各种计算机在世界范围内互连为网络的标准框架。定义于ISO/IEC 7498-2,如图-2所示。
图-2 OSI通信模型
OSI/RM协议是由ISO(国际标准化组织)制定的,它有三个基本的功能:提供给开发者一个必须的、通用的概念以便开发完善、可以用来解释连接不同系统的框架。
图-3 OSI各层功能
OSI将计算机网络体系结构(architecture)划分为以下七层,不同层次负责不同的通信功能,如图-3所示。
图-4 防火墙定义
在当今的IP企业网络中,防火墙无处不在。防火墙,是一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。通过防火墙用于保护IP数据网络、服务器和网络。
图-5 防火墙在OSI层
防火墙的核心技术,在常见的防火墙中,关键主要功能主要常用的分为以下几部分:
- 包过滤:最常用的技术。工作在网络层,根据数据包头中的IP、端口、协议等确定是否数据包通过
- 应用代理:另一种主要技术,工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析
- 状态检测:工作在2-4层,控制方式与1同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理人员和网络使用人员事先设定好的)和连接状态表,综合判断是否允许数据包通过。
- 完全内容检测:需要很强的性能支撑,既有包过滤功能、也有应用代理的功能。工作在2-7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
在其通信OSI(开放式系统互联通信)模型中,防火墙主要用于对于发生在第3层和第4层通信进行状态检查和过滤,用来来应对各种攻击威胁。
图-6 基于SIP ALG实现SIP会话的防火墙
在VOIP通信链接中,为了通过防火墙,通常需要在防火墙中体添加支持VoIP信令(SIP/H323/H248/MGCP/etc.)的ALG SIP支持 (有些防火墙不具有添加此功能),SIP AlG用于转换嵌入式 SIP 地址,,以达到允许防火墙维持任意一侧两端点之间之间的SIP会话。
相比之下, SBC(会话边界控制器)实现SIP会话,实基于IETF RFC 3261 中定义的 SIP 的B2BUA(背对背用户代理 )模式。
图-7 基于B2BUA是实现SIP的SBC
在通信实现上,B2BUA 将每个 SIP 会话划分为两个不同的段,如上图所示。这样,SBC 能够以 SIP AlG 无法完全有效地控制 SIP 会话以及关联的媒体流。这种独特的功能使 SBC 在安全提供可靠、高质量、基于 IP 的交互式通信的能力方面拥有明显的优势。
带 SIP ALG 的防火墙:
- 通过防火墙 (FW) 维护单个 SIP 会话
- 在第 3 层和第 4 层具有全状态识别处理能力
- 仅检查/修改 SIP 和会话协议 (SDP) 地址
- 无法终止、启动、重新启动或响应 SIP 信令消息
- 仅支持静态访问控制列表 (ACL) 和策略
SBC:
- 通过SIP B2BUA实现完全感知
- 在第2层到第7层具有全状态识别处理能力
- 检查/修改所有 SIP 和 SDP 标头信息
- 可以终止、启动、重新启动和响应 SIP 信令消息
- 支持静态和动态ACL和策略
SBC独特地提供了SIP可信、可靠和高质量IP 交互式通信所需的所有控制,在SIP通信中具有的优点:
- 安全性:IP专用交换机(PBX)和UC服务器拒绝服务/分布式拒绝服务(DoS / DDoS)。
- 通信覆盖范围最大化:IP PBX 和 UC 协议互通、远程网络地址转换 (NAT) 遍历。
- 服务级别协议 (SLA) 保证:IP PBX 和 UC 服务器会话准入和过载控制、数据中心灾难恢复、远程站点生存能力、基于体验质量 (QoE) 的路由、SBC 高可用性操作
- 法规遵从性:用于记录的会话
具有应用程序层网关 (FW/ALG) 的数据防火墙,只能效保护面向数据的应用程序基础结构(PC、服务器)。
SIP ALG项目中SBC与防火墙使用案例:SBC与具有SIP应用层网关的防火墙。在常见的企业和联络中心VoIP / UC用例的背景下 ,通过SIP ALG 的案例进行区分SBC和防火墙之间差异。
下面显示的十个案例场景中,每一个都伴随着相关的业务问题,以及网络元件为了应对该问题 而必须满足的技术要求。每个方案场景都明确表明,只有SBC才能满足成功交付企业和联系中心 VoIP/UC 服务和应用程序的所有要求。。
图-8 SBC与FW比较
结论:
在VoIP/UC所使用场景中,只有SBC能满足成功交付企业和联络中心VoIP / UC服务和应用程序的要求。 在基于IP的交互式通信方面,与FW / ALG相比,SBC在提供安全的可信、可靠、高质量和高性能方面,具有明显的优势。
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com