SBC在企業(yè)IP通信系統(tǒng)中的應(yīng)用
劉航 2008/05/04
摘要:本文針對(duì)企業(yè)IP通信系統(tǒng)建設(shè)實(shí)施的兩大問(wèn)題:終端接入安全和IP多媒體業(yè)務(wù)NAT穿越,介紹了基于SBC(Session
Border Controller�,會(huì)話邊界控制器)的解決方案,并提出了利用SBC輔助實(shí)現(xiàn)IP錄音的一種新應(yīng)用模式����。
關(guān)鍵詞:IP通信�、SBC�、NAT穿越、安全���、IP錄音
一�、引言
伴隨通信網(wǎng)絡(luò)融合與ALL IP發(fā)展趨勢(shì)�,越來(lái)越多的企業(yè)開始采用IP-PBX、軟交換�、MCU等產(chǎn)品技術(shù)構(gòu)建內(nèi)部IP通信系統(tǒng),基于IP網(wǎng)絡(luò)承載數(shù)據(jù)�����、語(yǔ)音����、視頻、消息等多種業(yè)務(wù)��,以降低通信成本�、實(shí)現(xiàn)靈活部署、提供新業(yè)務(wù)功能����,提升企業(yè)內(nèi)外部溝通效率與核心競(jìng)爭(zhēng)力���。
IP通信系統(tǒng)為用戶帶來(lái)諸多便利的同時(shí),也造成了一些其他麻煩��。其中在復(fù)雜網(wǎng)絡(luò)情況下的IP多媒體業(yè)務(wù)NAT穿越���、終端用戶的安全接入是許多企業(yè)建設(shè)管理IP通信系統(tǒng)時(shí)非常困擾的問(wèn)題���。以下就采用SBC(Session
Border Controller,會(huì)話邊界控制器)解決上述問(wèn)題的原理���、功能和應(yīng)用進(jìn)行了探討����。
二�、SBC實(shí)現(xiàn)IP多媒體業(yè)務(wù)NAT穿越
許多大中型企業(yè)對(duì)于信息安全對(duì)非常重視���,數(shù)據(jù)網(wǎng)絡(luò)中部署了大量防火墻設(shè)備�����,同時(shí)由于安全及IP地址資源等因素���,許多分支機(jī)構(gòu)和部門采用私網(wǎng)IP地址并在網(wǎng)絡(luò)出口處啟用NAT地址轉(zhuǎn)換���。
由于通常NAT/防火墻設(shè)備僅對(duì)IP和UDP/TCP報(bào)文頭的地址及端口號(hào)進(jìn)行轉(zhuǎn)換,并不對(duì)消息凈荷中的媒體連接信息進(jìn)行轉(zhuǎn)換�����,從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等IP通信協(xié)議的有效傳輸�����。比如對(duì)于SIP協(xié)議�,終端用戶注冊(cè)后呼叫控制設(shè)備上記錄的將是其私網(wǎng)地址,導(dǎo)致呼叫時(shí)信令不通�。因此IP多媒體業(yè)務(wù)無(wú)法跨越普通的NAT設(shè)備。
NAT穿越的傳統(tǒng)解決方案是啟用防火墻ALG((Application Level Gateway��,應(yīng)用層網(wǎng)關(guān))功能�,ALG作為NAT的增強(qiáng),在地址轉(zhuǎn)換時(shí)對(duì)IP報(bào)文頭凈荷中內(nèi)嵌的相應(yīng)地址信息字段(例如重寫SIP協(xié)議Register消息中的Contact字段)也進(jìn)行轉(zhuǎn)換����。但如果全網(wǎng)規(guī)模部署IP多媒體業(yè)務(wù)���,需對(duì)現(xiàn)網(wǎng)大量防火墻進(jìn)行ALG升級(jí),成本高����、實(shí)施繁瑣。
SBC最早是應(yīng)用于電信運(yùn)營(yíng)商N(yùn)GN領(lǐng)域的一種產(chǎn)品形態(tài)�,定位在電信NGN網(wǎng)絡(luò)的IP業(yè)務(wù)網(wǎng)關(guān),解決NGN業(yè)務(wù)部署中遇到的NAT/FW穿越�����、安全�、互通、QoS等問(wèn)題���。SBC設(shè)備采用Full
Proxy(全代理)方式定向傳輸信令/媒體流:
- 終端將IP-PBX/軟交換等核心控制設(shè)備的地址設(shè)置為SBC Proxy的地址
- 終端注冊(cè)到核心設(shè)備時(shí)���,SBC創(chuàng)建相應(yīng)的地址映射表項(xiàng)
- 當(dāng)終端開始呼叫時(shí)��,SBC修改相應(yīng)的地址信息���,將報(bào)文發(fā)送給真正的核心設(shè)備
- 所有的信令流����、媒體流都可經(jīng)過(guò)SBC進(jìn)行轉(zhuǎn)發(fā),另外也可設(shè)置媒體流旁路
由于SBC重新指定內(nèi)網(wǎng)/外網(wǎng)用戶信令/媒體流的接收地址和端口�����,可以方便地實(shí)現(xiàn)不同網(wǎng)絡(luò)域之間的地址轉(zhuǎn)換(包括公網(wǎng)/私網(wǎng)地址之間的轉(zhuǎn)換)���,為信令/媒體流穿越NAT提供了技術(shù)保障���。
SBC組網(wǎng)示意圖
部署SBC設(shè)備對(duì)已存在的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)沒(méi)有任何影響,無(wú)需升級(jí)以便支持交互式會(huì)話的NAT穿越�。同時(shí)SBC的組網(wǎng)位置沒(méi)有限制,可放置在IP可達(dá)的任意位置����,而且能夠同時(shí)實(shí)現(xiàn)對(duì)于多個(gè)私網(wǎng)的代理。
針對(duì)多級(jí)NAT����、多個(gè)VPN等復(fù)雜網(wǎng)絡(luò)情況,業(yè)界一些主流廠商如華為公司的SE2000系列SBC設(shè)備還支持多種NAT穿越形式:一級(jí)����、多級(jí)NAT穿越及對(duì)稱NAT的穿越�����;多個(gè)經(jīng)過(guò)NAT轉(zhuǎn)換后的私網(wǎng)的接入���,并且各私網(wǎng)地址空間可以重疊;經(jīng)過(guò)NAT轉(zhuǎn)換的終端和未經(jīng)過(guò)NAT轉(zhuǎn)換的終端之間的混合組網(wǎng)�。
三、SBC提升IP通信系統(tǒng)安全性
企業(yè)建設(shè)IP通信系統(tǒng)的原因之一是其部署和業(yè)務(wù)開展的靈活性����,例如通過(guò)寬帶網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程接入和移動(dòng)辦公。但I(xiàn)P通信系統(tǒng)在具備靈活性和豐富業(yè)務(wù)的同時(shí)也帶來(lái)了很大的安全隱患��,特別是通過(guò)外部Internet等非信任區(qū)域接入的IP軟硬件電話終端�����,極可能成為病毒擴(kuò)散���、DOS攻擊��、非法用戶仿冒的發(fā)起和接入點(diǎn)�����,如何保障IP通信系統(tǒng)的安全性�����?
IP通信系統(tǒng)安全性是一個(gè)系統(tǒng)工程����,其實(shí)除了傳統(tǒng)的VPN��、防火墻����、IPS、IDS等方式外�,利用SBC是進(jìn)一步提升IP通信系統(tǒng)安全性的有效手段。以華為公司SE2000系列SBC設(shè)備為例���,可以提供以下的安全保障功能:
隱藏核心網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的拓?fù)?/b>:
SBC作為用戶終端和IP-PBX�����、軟交換等核心設(shè)備之間的代理���,為實(shí)時(shí)會(huì)話提供安全保證���。外部終端設(shè)備通過(guò)SBC接入核心網(wǎng)絡(luò),核心網(wǎng)絡(luò)的拓?fù)鋵?duì)終端不可見(jiàn)����。這樣,就有效隱藏了核心網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)��,防止其受到攻擊��,提高了整個(gè)網(wǎng)絡(luò)架構(gòu)的安全性��。
用戶注冊(cè)和IP地址綁定:
SBC能夠?qū)⒂脩粜畔ⅲɡ缬脩裘�、主叫?hào)碼和域名)和IP地址進(jìn)行綁定,從而在用戶注冊(cè)時(shí)根據(jù)綁定規(guī)則來(lái)判斷是否允許該用戶進(jìn)行注冊(cè)���,防止終端非法漫游����。也可以將用戶注冊(cè)地址交給核心控制設(shè)備��,由核心控制設(shè)備判斷是否允許用戶注冊(cè)����。
融合了防火墻的安全功能:
SBC提供基于會(huì)話層的針孔式動(dòng)態(tài)防火墻功能�,支持基于時(shí)間段的ACL����,可以靈活配置ACL規(guī)則生效的時(shí)間�。同時(shí)還提供黑名單功能,即根據(jù)報(bào)文的源IP地址進(jìn)行快速過(guò)濾���,從而將命中黑名單表項(xiàng)的特定IP地址發(fā)送過(guò)來(lái)的報(bào)文屏蔽�,防止非法入侵����。
信令DoS攻擊防范:
SBC提供防信令報(bào)文DoS攻擊功能,在發(fā)生信令報(bào)文DoS攻擊時(shí)仍能夠最大程度地保證正常用戶的使用:可以防范偽造源IP地址的信令報(bào)文DoS攻擊���;可以防范IP地址固定的信令報(bào)文DoS攻擊�;可以部分防范偽造已有用戶的信令報(bào)文DoS攻擊�����;可以直接丟棄畸形的信令報(bào)文��,減輕對(duì)軟交換處理的壓力����。
媒體流攻擊防范:
SBC可以記錄合法媒體流的信息(IP五元組)��,對(duì)于非法的媒體流可以直接丟棄��,從而可以防范媒體流DoS攻擊���。
其它DoS攻擊防范:
SBC還可以防范其他IP網(wǎng)絡(luò)常見(jiàn)的DoS攻擊,包括:SYN Flooding攻擊�、UDP Flooding攻擊、ICMP
Flooding攻擊�、超大ICMP報(bào)文攻擊、Ping-of-death攻擊�����、WinNuke攻擊�、Fraggle攻擊、Land攻擊等�。
基于SBC的這些強(qiáng)大安全功能,并配合防火墻���、VPN�����、IPS����、IDS等傳統(tǒng)安全設(shè)備,可以有效保障IP通信系統(tǒng)的安全性�����。
四���、SBC擴(kuò)展應(yīng)用:完善IP錄音解決方案
在金融、能源�、政府等行業(yè),由于業(yè)務(wù)特殊性�����,往往要求對(duì)一些內(nèi)部通話進(jìn)行錄音并集中存儲(chǔ)管理以便后續(xù)查詢��。目前業(yè)界的IP錄音方案主要有兩種:
方案一通過(guò)IP電話機(jī)直接錄音�����,但該方案需要特殊終端支持,而且只能實(shí)現(xiàn)單點(diǎn)分散錄音����,適合個(gè)人應(yīng)用,難以實(shí)現(xiàn)集中存儲(chǔ)和管理����。
方案二采用集中的錄音服務(wù)器,通過(guò)從IP網(wǎng)絡(luò)中抓取SIP/H.323等協(xié)議包分析并轉(zhuǎn)換為WAV文件實(shí)現(xiàn)錄音��。該方案需在以太網(wǎng)交換機(jī)等網(wǎng)絡(luò)設(shè)備上設(shè)置端口鏡像功能�,將所有IP電話機(jī)的流量鏡像到集中錄音服務(wù)器所連接端口。
方案二適合于局域網(wǎng)內(nèi)的集中匯聚型IP語(yǔ)音應(yīng)用�����,但如果IP語(yǔ)音系統(tǒng)是分散組網(wǎng)��,用戶分布在多個(gè)局點(diǎn)��,或部分網(wǎng)絡(luò)設(shè)備不支持鏡像功能���,則難以實(shí)現(xiàn)抓包和錄音�。而且將所有IP電話端口都實(shí)現(xiàn)鏡像對(duì)網(wǎng)絡(luò)設(shè)備性能����、帶寬要求較高��,同時(shí)系統(tǒng)配置和管理維護(hù)繁瑣����,難以滿足實(shí)際應(yīng)用需求��。
利用SBC設(shè)備的媒體和信令流的代理功能����,可以將其擴(kuò)展應(yīng)用于IP錄音解決方案:無(wú)論IP承載網(wǎng)絡(luò)拓?fù)淙绾危尤朐O(shè)備是否支持端口鏡像����,只需在網(wǎng)絡(luò)核心設(shè)備(如L3或GSR)上連接一臺(tái)SBC���,就能將IP電話媒體和信令流經(jīng)由SBC轉(zhuǎn)發(fā)����。錄音服務(wù)器只需與網(wǎng)絡(luò)核心設(shè)備連接����,通過(guò)其把SBC的端口鏡像到錄音服務(wù)器���。
采用該方式只要求核心設(shè)備支持鏡像,對(duì)網(wǎng)絡(luò)中其他設(shè)備無(wú)特殊要求�。由于只需將IP語(yǔ)音的媒體和信令流通過(guò)SBC匯聚到錄音服務(wù)器,對(duì)正常的數(shù)據(jù)流并無(wú)影響����,也避免了純鏡像方式將所有端口流量均匯聚到核心而對(duì)網(wǎng)絡(luò)性能和設(shè)備配置的影響。對(duì)于不需錄音的IP電話用戶����,還可以設(shè)置不經(jīng)過(guò)SBC代理,或只代理信令流而旁路媒體流���,以減少媒體流匯聚轉(zhuǎn)發(fā)造成的帶寬浪費(fèi)�����。
五�、結(jié)束語(yǔ)
采用SBC(Session Border Controller���,會(huì)話邊界控制器)是低成本解決IP多媒體業(yè)務(wù)NAT穿越并保障IP通信系統(tǒng)終端接入安全的有效方式�����,同時(shí)SBC還可以很好解決傳統(tǒng)IP錄音方案在分布式組網(wǎng)時(shí)存在的問(wèn)題�,相信SBC將在企業(yè)IP通信系統(tǒng)建設(shè)中得到更為廣泛的應(yīng)用。
作者供稿 CTI論壇編輯
相關(guān)鏈接: