本着“在攻与防的对立统一中寻求突破”这一主旨，我们来讨论一下最为典型的防御办法：
1、限制所有的VoIP数据只能传输到一个VLAN上
Cisco建议对语音和数据分别划分VLAN，这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的电脑形成了一个有效的封闭的圈子，它不允许任何其他电脑访问其设备，从而也就避免了电脑的攻击，VoIP网路也就相当安全；即使受到攻击，也会将损失降到最低。（图）
图http://1821.img.pp.sohu.com.cn/images/2008/6/19/6/5/11b42c30067.jpg
2、监控并跟踪VoIP网路的通信模式
监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网路的企图。详细观察VoIP日志可以帮助发现一些不规则的东西，如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话，多重登录试图破解密码，语音暴增等。
3、保护VoIP伺服器
必须采取效措施来保障伺服器的安全以抵御来自内部或外部的入侵者用嗅探技术来截获数据。因为VoIP电话机拥有固定的IP地址和MAC地址，所以攻击者易于据此潜入。建议用户限制IP和MAC地址，不允许随便访问VoIP系统的超级用户介面,并在SIP网关之前建立另一道防火墙，这样就会在一定程度上限制对于网路系统的侵入。
4、使用多重加密
仅仅对发送的数据包加密是远远不够的,必须对所有的电话信号进行加密。对话音加密会防止拦截者的语音插入到用户会话中。在这方面，SRTP协议能够对端点通信加密，TLS能够对整个通信过程加密。应该通过在网关、网路、主机层面上提供强大的保护来支援语音传输加密。
5、建立VoIP网路的冗余机制
要时刻准备著可能会遭到病毒、DoS攻击，它们可能会导致网路系统瘫痪。构建能够设置多层节点、网关、伺服器、电源及呼叫路由器的网路系统,并与不只一个供应商互联。经常性的对各个网路系统进行考验，确保其工作良好，当主服务网路瘫痪时，备用设施可以迅速接管工作。
6、将设备置于防火墙之后
建立分离的防火墙，这样通过VLAN边界的通信仅限于可用的协议。万一客户端受到感染的话，这会防止病毒、木马扩散到伺服器。建立分离的防火墙后，系统安全策略的维护也会变得简单。当需要时，必须正确配置防火墙以便开放或关闭某些端口。
7、定期更新补丁
VoIP网路的安全性，既依赖于底层的作业系统又依赖于运行其上的应用软体。保持作业系统及VoIP应用软体补丁及时更新对于防御恶意程式或传染性程式代码是非常重要的。
8、将内部网路与Internet分开
将电话管理系统与网路系统置于国际互联网路直接访问之外是一个不错的选择，将语音服务与其他伺服器置于相分离的域中，并限制对其访问。
9、将软终端电话（softphone）的使用减至最少
VoIP软终端电话易于遭受电脑骇客攻击，即使它位于公司防火墙之后，因为这种东西是与普通的PC、VoIP软体及一对耳机一起使用的。而且，软终端电话并没有将语音和数据分开，因此，易于受到病毒和蠕虫的攻击。
10、确保网关的安全
要配置网关，使那些只有经过允许的用户才可以打出或接收VoIP电话，列示那些经过鉴别和核准的用户，这可以确保其他人不能占线打免费电话。通过SPI防火墙、应用层网关、网路地址转换工具、SIP对VoIP软客户端的支援等的组合，来保护网关和位于其后的局域网。

看不懂

怎么好多版快进不去

一半懂一半不懂～～郁闷