⑴ VOIP對網路有什麼要求
帶寬的需求由VOIP語音網關設備來決定,目前來說,好的語音網關對帶寬的限制很少。
我安裝過許多,一般來說1M帶寬在交換機下帶16台分機是很輕鬆通話的。
你公司帶了16台電腦,那就要看你電腦使用情況了,如果想安全通話,建議分配固定帶寬給VOIP設備,20條分機假設在同時間內通訊分配1M綽綽有餘。
⑵ 如何用多層次方法保VoIP安全
這種風險絕對是存在的,但是這並不意味著企業就要停止採用voip技術。相反,了解黑客竊聽 voip的方法,可以幫助企業針對這些入侵途徑制定有針對性的安全措施。同時企業也可以利用現有的voip黑客工具檢查自己企業的voip網路是否安全 由於通話價格便宜,voip技術已經變得越來越流行了,尤其是在長途電話和國際電話費用方面,voip可以為企業節約大量通信費用。另外,voip還實現了雙網合一的管理,高級呼叫功能,以及統一消息可以讓用戶通過一個統一的界面直接訪問語音郵件,電子郵件,文本信息,傳真以及其它接入的通信內容。
但是,安全性仍然是voip存在的問題,也是制約很多個人用戶和企業用戶部署voip的主要障礙。尤其是當電話內容涉及敏感和機密內容時,安全性就顯得更為關鍵了。當然,voip也會受到和數據網路一樣類型的攻擊,比如拒絕服務攻擊(DoS)就可以讓企業的voip服務癱瘓。 但是對於voip用戶來說,還有一個特殊的安全問題,就是黑客有可能竊聽用戶的通話內容。在本文中我將介紹黑客常用的一些竊聽Voip通話內容的方式,並研究該通過什麼方式來防止企業用戶的voip通話內容被竊聽。 幾乎所有人都知道,傳統的電話線路很容易被竊聽。比如將竊聽設備放入電話機的聽筒中,或者在戶外線路上接入一個竊聽設備。另外,如果你在電信交換機房(如果法律允許的話),你也可以隨便竊聽某條線路上的通話內容。 還有,無線偵測設備可以監聽到室內的無繩電話或者蜂窩電話的通信內容。一些專業人員還可以通過高級設備竊聽衛星電話以及微波通信的內容。 對於傳統電話線路的偵聽,美國聯邦法律和憲法一直都有明文規定。而法律針對voip的條款才剛剛出現。對於未經許可入侵企業計算機網路的犯罪指控同樣適用於黑客對voip網路的入侵,攻擊以及竊聽。 這是一個好消息,因為攔截voip通信確實不難,黑客的手段也很多,而法律可以從一個側面起到震懾作用。由於大部分Voip通話都是通過互聯網傳遞的,黑客可以像以往攔截普通數據一樣從任何地點攔截voip數據包。 不過,由於voip是將語音信號采樣為數字格式,黑客必須從大量的二進制數據中重建實際的語音通話,因此監聽voip通話與監聽傳統PSTN電話相比還是多了一些難度。 不幸的是,解決這個問題並不需要什麼高深的編程技巧。目前網上有很多免費的黑客工具可以完成捕獲,重建和播放voip通話內容等全套工作。雖然黑客可以利用這些工具不經驗證就獲取voip通話內容,但是這些工具也可以用在好的方面。Voip管理員就可以利用這些工具來測試企業自身網路的安全性。 voip竊聽工具 最出名的voip竊聽工具是VOMIT(Voice Over Misconfigured Internet Telephones的縮寫)。但是這個工具並不負責捕獲voip數據包。因此,你還需要「sniffer」類的工具,比如Ethereal/Wireshark 或 Angst或者「mping」類的工具,如pcapsipmp 。 VOMIT可以將voip通話內容重建為 .wav 文件,任何媒體播放軟體(如Windows Media Player)都可以播放這種原始的音頻格式。但是 VOMIT是基於Cisco的 Skinny Voip 協議的,因此只能用於採用Cisco IP電話設備的voip網路。 另一個流行的Voip竊聽工具是Voipong 。這個工具會監聽網路中的Voip通話,並建立一個.wav文件來重建通話內容。和VOMIT一樣,Voipong是基於Linux和Unix的,但是它可以處理各種類型的voip協議,因此可以用來竊聽SIP和H.323 Voip數據流以及基於Cisco的Skinny協議的voip電話。Voipong是開源軟體,在GNU General Public License下免費使用。 另外,還可以使用Oreka來記錄voip RTP線程。這個工具支持多種voip平台,包括Cisco CallManager, Lucent APX8000, Avaya S8500, Siemens HiPath, 以及 Asterisk SIP頻道。與其它很多voip工具不同,Oreka不但支持Unix環境,還支持Windows環境。 Cain &Abel是一個流行的sniffer程序,可以用來捕獲和破解密碼,它可以捕獲各種類型的數據包,包括voip數據包。軟體可以使用SIP和RTP協議分離出數據包中的語音內容,並且支持多種不同的編碼方式,包括G711, GSM, DVI, LPC等很多。 還要記住:除了這些技術工具,Voip黑客還經常採用與數據網路上類似的社會學技巧來騙取用戶信任,方便其監聽用戶的voip通話內容。 防止voip竊聽 為什麼不在voip協議本身中增加更強大的安全機制呢?一個最重要的原因是性能。voip需要進行大量數據的轉換,性能的損失會帶來明顯的通話質量下降。而安全策略基本上都是以犧牲性能為代價的。到目前為止,Voip協議主要針對的還是通話質量和可靠性,而不是安全。 對於企業來說,可以通過以下方法來提高voip網路對於黑客的抵抗能力: ◆將voip網路與數據網路分開。雖然這有些違背了voip出現的意義 —通過雙網合並實現單一化的管理 — 但這可以將voip受到攻擊的機會降到最低。如果不願意重新部署一個物理上獨立的網路,企業可以採用虛擬區域網 (VLAN)技術在現有網路上創建一個邏輯上獨立的網路。 ◆通過身份驗證方式確認從外部接入voip網路的用戶都是合法用戶。 ◆通過加密技術傳輸 voip數據包,確保黑客即使攔截了數據包,也無法很快破解。 ◆採用支持voip的防火牆,以及入侵檢測系統,入侵攔截系統。 (IDS/IPS). 總結 你是否擔心黑客在監聽你的 voip通話?這種風險絕對是存在的,但是這並不意味著企業就要停止採用voip技術。 相反,了解黑客竊聽 voip的方法,可以幫助企業針對這些入侵途徑制定有針對性的安全措施。
⑶ 詳細介紹一下VOIP的本地落地網關
實際上,沒有什麼簡單的解決方法可以有效確保VoIP的絕對安全,不過還是有些辦法可以盡量減小風險、改進整體的安全策略。
安全問題對語音服務而言根本不是什麼新鮮事。幾十年來,傳統電話系統就飽受話費欺詐之困擾。如今,一些企業出於對安全問題的擔憂而對安裝IP語音(VoIP)系統猶豫不決,而另一些企業卻在沒有解決安全問題的前提下貿然行事。大多數行業的分析師估計,今年企業新安裝的語音電話至少有一半將會是VoIP手機,這意味著你可能很快就會面臨語音安全問題,如果不正視這些問題,你的系統就會隨時遭到攻擊。
說到如何有效地確保VoIP 安全,根本沒有靈丹妙葯,但必須把這方面的安全作為整體安全策略的一部分來考慮。因為如今VoIP應用已成為IP網路的一部分,如果IP網路已經落實了良好的安全措施,整個網路安全系數越高,那麼攻擊者進行竊聽、發動拒絕服務(DoS)攻擊或者闖入VoIP系統中的操作系統或者應用系統的難度就會越大。
一開始就讓安全小組參與VoIP項目也非常重要。語音小組和數據小組也根本犯不著捲入地盤之爭。畢竟,現在它們應當作為一個團隊開展工作。
遵守一系列的嚴格規定
主要的VoIP安全策略很簡單: 首先,在你確保各種VoIP部件和網際網路之間沒有任何通信之前,不要把這些設備接入網路。其次,不要允許與網際網路及VoIP系統進行聯系的PC之間有任何通信。這是因為,PC特別容易受到攻擊,可能會被用來闖入VoIP系統,或者對語音應用發動拒絕服務攻擊。它們還會強行利用VoIP電話從事話費欺詐、暗中竊聽或者冒充他人等勾當。
如果你無法遵守這項策略,就要確保每個人都知道其中的風險,並且落實了相應的對策以緩解風險。這就要求清楚地知道安全、系統架構以及有關的VoIP協議。
要實施安全策略,第一步就是把所有VoIP電話放在單獨的虛擬區域網(VLAN)上,並且使用不可路由的RFC 1918地址。大多數VoIP電話都有內置的交換機,支持802.1p/Q虛擬區域網標准。這樣一來,就有可能在桌面系統和距離最近的布線室交換機之間建立虛擬區域網,而布線室交換機可以通過網路進行延伸。
如果語音用戶的PC被接到電話的交換機上,你就可以自始至終地讓語音和數據在不同的虛擬區域網上傳輸。記住一點: 虛擬區域網無法彼此聯系,除非彼此之間有路由,所以這是確保語音和數據分開的一個辦法。你還可以使用訪問控制列表(ACL)防止虛擬區域網之間進行通信,作為保護語音的另一道安全層。讓語音和數據在不同的虛擬區域網上傳輸,還可以簡化為VoIP流量配置服務質量(QoS)。隨後只是為VoIP虛擬區域網賦予優先順序的問題而已,如果你通過路由器傳輸,仍需要第三層服務質量。
服務質量通常與確保性能聯系在一起,不過它在安全方面也起到關鍵作用。在不同邏輯虛擬區域網上傳輸的語音和數據仍使用相同的物理帶寬。這意味著,即便PC被病毒或者蠕蟲感染、這些PC進而向網路發送大批流量,VoIP流量仍能夠在共同的物理帶寬上獲得優先權,因而就不會淪為拒絕服務攻擊的受害者。與此同時,ACL和防火牆可以阻止VoIP系統訪問網際網路,反之亦然。
虛擬區域網還可以緩解有人竊聽電話的現象。如果語音包被人用分析儀獲取,重放語音就輕而易舉。IP具有的移動性和靈活性使得它容易受到「中間人攻擊」,即地址解析協議(ARP)被用來強制流量通過某台PC傳輸,然後就能獲取這些流量。虛擬區域網可以阻止有人從外面發動攻擊,但內部攻擊比較難以預防。內部人只要把某台PC接入牆上的插座,對PC進行配置,成為VoIP虛擬區域網的一部分,就可以發動攻擊。要防止這種破壞,最好的辦法就是購買具有強加密功能的VoIP電話,而這種方法要奏效,每隻電話都要有加密功能。
你還需要在電話和通向公共交換電話網路(PSTN)的網關之間進行加密。如今VoIP電話廠商開始把媒體加密和信令加密功能融入各自的設備當中。譬如說,Avaya聲稱它的所有電話現在都支持加密功能; 而北電網路公司聲稱,它的電話很快也具有同樣的功能。加密還可以挫敗需要對基礎設施獲得物理訪問權的其他類型的竊聽,譬如利用交換機的埠鏡像,或者利用乙太網接頭接入某條乙太網連接線。
當然,加密以增加時延為代價。這對普通區域網來說不成問題,但對廣域網來說可能會成問題。要考慮的另一個因素就是,如果對電話之間傳輸的信號進行加密(這在應用層實現),工作在應用層的防火牆就很難對加密信號進行解密。
雖然防火牆必不可少,但別以為它們能夠勝任各項工作。VoIP協議很難過濾。盡管會話初始化協議(SIP)是VoIP信號傳輸標准,但許多廠商採用的卻是專有的信令協議,而防火牆必須理解這些協議。
實時協議(RTP)用於傳輸實際的語音媒體,不過有一系列眾多的埠動態分配給了每路呼叫。信令協議會表明應使用哪個RTP埠用於某路呼叫。一款好的防火牆會從信令協議處接到該指示,隨後開啟某個端點的IP地址所必需的那個埠。然而,不是所有的防火牆都具有這種功能。有些只是開啟某段范圍的埠,所以要確保你對防火牆的運行情況了如指掌。
有些防火牆必須處理專用地址和網路地址轉換(NAT),這樣一來,保護VoIP的安全難度就更大了,如果處理的請求是針對採用專用地址的某個端點,更是如此。了解信令協議的防火牆能跟蹤用戶注冊登記的最新地址,然後相應地為請求安排路由。Check Point軟體技術公司聲稱,其最新款的FireWall-1具有這種功能,可以提供最低程度的安全接入。
另一個辦法就是把防火牆放置在專門為IP語音設計的VoIP系統前面。譬如說,Ingate公司的防火牆就是為基於SIP的VoIP系統而設計。Ingate最近宣布,如今其產品已通過了認證,能夠與Avaya公司的基於SIP的產品協同工作。確保你實施的VoIP系統基於SIP,那樣以後需要安全選項功能時不至於只能求助於你現有的VoIP廠商。
另外還要當心,防火牆可能會帶來時延,從而成為性能方面的一個瓶頸。
支持VoIP的伺服器每個都有各自的操作系統,而這些操作系統又存在許多相關漏洞,所以你必須確保把伺服器放到你的網路上之前,它們都已打上了補丁。注意時時打上最新補丁,還要認真限制對它們的訪問。每個IP電話其實也是一台電腦,有著自己的應用軟體和操作系統,所以對你的電話也要採取同樣的防範措施,並確保電話帶有良好的補丁管理系統。
一些例外情況
有些應用可能會讓你考慮打開語音虛擬區域網和數據虛擬區域網之間的通信通道。譬如說,大多數VoIP廠商提供的桌面客戶系統能夠管理VoIP電話,並且提供豐富的用戶狀態信息。許多廠商提供的客戶端還可以讓你監控其他系統用戶的電話和即時通信(IM)狀態,並且發布你自己的狀態信息。這些特性需要桌面系統和VoIP系統之間進行一定的直接聯系,所以你要想辦法安全地實現這項功能。
說到這里,使用防火牆最為穩妥。做法是,提供最低程度的接入許可權,不允許PC在無意中成為用來搜尋VoIP系統中存在漏洞的平台。但如果蠕蟲佔用了網路上的大量帶寬,PC和布線室之間的連接上所用的這些應用就無法得到保護,因為數據來自PC,因而會在數據虛擬區域網上傳輸。不過好消息是,VoIP電話的通信將得到保護,只要你實施了服務質量。但如果你在PC上使用的僅僅是軟電話,就沒有辦法為PC和布線室交換機之間的語音包提供服務質量。
如果你的遠程辦公人員要通過網際網路訪問IP PBX,虛擬專用網(VPN)顯然是防止竊聽的解決辦法。Zultys科技公司等VoIP廠商提供的產品旨在便於通過VPN訪問IP PBX。Zultys的有些電話可以直接在電話到PBX之間建立一條VPN隧道。北電公司的Contivity VPN PC客戶機則可以通過連接的PC,為其電話建立VPN隧道。
你最不希望把IP PBX暴露於網際網路面前。如果你提供只能訪問相關埠的功能,而且通過VPN進行驗證,那麼就可以盡量減小這個風險。當然,你還會希望在IP PBX和VPN網關之間安裝一隻防火牆,只允許訪問被認為絕對有必要的埠。
另外,也很有必要落實相應機制,以保護你的VoIP系統免受針對應用的拒絕服務攻擊。如果需要從虛擬區域網進行額外的一道驗證,應當不會面臨來自外部的重大危害; 但如果有人獲得了訪問權,從內部發動攻擊可能會是個問題。譬如說,利用SIP,發送大量的「注冊」請求會導致伺服器無力處理請求。入侵防護系統(IPS)可以緩解這個問題,而如果IPS或者入侵檢測系統(IDS)能理解SIP,就可以檢測這些攻擊。一款好的IPS還能夠防止基於SIP的中間人攻擊,以免通過另一個設備改變流量傳輸方向。
可以訪問VoIP系統的任何桌面系統都必須加以保護。如今許多廠商提供集中管理的防火牆以及可以檢查操作系統補丁及病毒更新狀況的軟體。這對使用IP軟電話的遠程辦公人員來說尤為重要。
所以不要被VoIP安全問題捆住了手腳。有了可*的IP語音安全策略以及合理搭配的安全工具,沒有理由錯過VoIP具有的諸多優點。
⑷ 什麼叫voip 網守
什麼是網關?
網關(Gateway)又稱網間連接器、協議轉換器。網關在傳輸層上以實現網路互連,是最復雜的網路互連設備,僅用於兩個高層協議不同的網路互連。網關的結構也和路由器類似,不同的是互連層。網關既可以用於廣域網互連,也可以用於區域網互連。
什麼是網守?
網守:是對網路端終(如電話)網關等呼叫和管理功能,它是Voip網路系統的重要組成部分。
VoIP網守的功能
一、RAS功能 RAS部分的功能有用戶認證、地址解析、帶寬管理、路由管理、安全性管理、區域管理。
1、區域管理:由於IP Phone網路正在發展中,網路的拓撲結構各種各樣,考慮到目前的發展趨勢,網守在結構上應能適應各種結構,既能支持單網守、單區域,也能支持多網守、多區域;在多區域情況下,各個區域即可以建立平等和直接的聯系,也可通過上級網守聯系。每個區域可配置多個網守,以用於備份和負荷分擔。每個網關保存兩個網守的地址,網關啟動後定期向網守發RRQ登錄,如果登錄失敗,則向另一網守登錄。登錄時網守保存網關的登錄生存周期,超時後未重新收到網關的RRQ則認為網關故障,將其狀態置為不可用。
2、用戶認證:網關用ARQ把用戶卡號和密碼發給網守,網守再把卡號和密碼送給計費認證中心,如果計費認證中心認證通過,網守向網關發ACF,否則回ARJ。
3、地址解析:網關在用戶認證完成後,接受被叫號碼,接收完被叫號碼後把號碼用ARQ送給網守,網守在路由表中查找目的網關的IP地址,如果目的網關不在本區域中,向上級網守或鄰近網守請求在別的區域中查找。找到目的網關後在ACF中返回其IP地址,未找到返回ARJ。網守到網守的通信方式遵循H.225.0 Annex G的建議。
4、帶寬管理:由於每個網關接入到Internet的帶寬有限,為了避免在話務高峰期造成網路擁塞,影響所有的呼叫,網守可設定進行帶寬管理,網關在ARQ中填入所需的帶寬,網守判斷有無足夠的帶寬資源,如果資源不足,就拒絕呼叫。由於呼叫所需的帶寬取決於語言編碼的類別、是否採取靜音、每個RTP包帶幾幀數據等,因此,在ARQ中的帶寬應按最大需求申請,在通話開始時,再用BRQ修改所需帶寬。
5、路由管理:為了提高網路的可靠性和接通率,對話務流量進行分配,網守提供路由管理。在路由表中,每個區號可以對應多個路由,路由具有優先順序,選路時先選高優先順序路由,如果高優先順序路由擁塞或不可達,再選低優先順序的路由。當呼叫跨區域時,雙方的網守可以直接建立聯系,也可以通過上級網守聯系,還可以通過別的同級網守聯系,方式靈活,保證系統的靈活配置和網路的可靠性。具有相同區號和路由特性的網關可以組成網關組,選路時可以針對網關,也可以針對網關組。對某一網關組選路時,可以按每個網關的優先順序,也可以按百分比在網關間進行流量分配。為了在某些情況下能與即不在本網守的控制下,也無法與其網守通信的網關互通,路由還可設為"獨立網關",直接與之通信。
6、安全性管理:由於Internet是一個開放的網路,容易遭到攻擊,網守應提供基於H.235的安全機制,在相互通信的網關和網守之間、網守與網守之間設置密碼,相互認證。為了與別的設備互通或別的原因,網守也可以不提供基於H.235的安全性機制或也可以針對IP地址進行認證,根據對方的IP地址來判斷對方是否是合法用戶。
二、呼叫處理功能
網守除了進行RAS功能外,還需要具有呼叫處理功能,利用H.225.0和H.245進行呼叫的建立,能力交換,呼叫維護和結束呼叫等處理。對於PC-to-Phone業務,PC需要對網守發起呼叫。再由網守向被叫網關發起呼叫,網守在進行呼叫處理的時侯,其處理能力會下降很多。
三、用戶界面和參數設置
用戶界面和參數設置部分完成路由表、網關數據表、網關組數據表、本網守數據設定等數據的輸入、修改、保存和調試信息、日誌信息、告警信息的管理和用戶許可權管理。
1、各種數據的管理:網守的數據主要有網關數據表、網關組數據表、網守數據表、路由表、國家信息表五個表格和本網守的各種設置,如RAS埠號,是否採用H.235,本網守的國家號和國家號前綴等。通過用戶界面,可以實時修改大部分數據,少數參數如埠號等只能在系統初始化時設定,運行中禁止修改。所有的數據都可以保存在文件中,下次啟動可直接使用。
2、告警信息管理:提供告警窗口,在系統出現異常時列印告警信息。
3、調試信息管理:可以輸入一些命令,來控制系統的運行和顯示某些感興趣的信息,如VOS的內存信息,顯示收到的消息等。
4、日誌管理:記錄網守所有的操作,以便進行問題跟蹤等。
5、用戶許可權管理:對操作設置各級許可權,根據許可權確定用戶對網守的操作。
四、RADIUS Client程序
計費認證中心中保存著所有卡號用戶的信息,當網關向網守發送ARQ請求對用戶進行認證時,GK通過Radius Client向計費認證中心發送用戶驗證請求,等待計費認證中心的驗證結果。呼叫開始通話時,網守收到網關的通知後通過Radius Client向計費認證中心發送計費開始消息,通話結束後發送計費結束消息。
五、網管功能
網守支持SNMP,通過運行SNMP代理,與網管中心建立聯系。
六、其他功能
1、設備備份的考慮:為了保證系統的可靠性,每個區域應至少配置兩個網守,這兩個網守可以配置為一個為主,一個為從,也可以配置為兩個平等的網守,對區域內的網關進行負荷分擔,同時互為備用。在正常情況下網關只向主網守登記,但主備網守中都保存有該網關的數據,當網關向主網守登記失敗後,向備用網守登記。
2、設備管理:為了在某一網關或網守出現故障時能及時改變路由,提高接通率,網守應能及時發現其管理下的網關和與之聯系的其它網守的狀態改變並以此改變路由數據。網守管理下的網關不斷向網守發送登記請求,每次登記的生存周期可以設得很短,當生存周期已到而未收到網關新的登記請求時,網守就可以認為網關發生故障,並不在向其分配呼叫。與此同時,網關不停向所有與之向連的網守發送服務請求,與之建立聯系。當向對方發出服務請求未收到對方的證實,重發也超過最大重發次數時,認為對方發送故障,這時改變自己的路由表。
3、會話管理:網關上的每一個呼叫在網守中都有一與之對應的呼叫控制塊,當網關發起呼叫時向網守發送ARQ,網守在收到後ARQ創建呼叫控制塊,呼叫結束時網關向網守發送DRQ,網守釋放呼叫控制塊。為了避免在某些情況下網守未收到網關的DRQ而造成網守無法釋放呼叫,網守定期向網關發送查詢命令,檢查呼叫是否存在,如果不存在,則釋放呼叫控制塊。為了避免呼叫超出網守處理能力而造成網守崩潰,網守可以設一最大呼叫數,超出的呼叫將被拒絕。對每個網關也設一最大呼叫數,當該網關上的呼叫數超出門限值時呼叫也將被拒絕。網守還可以閉塞某一網關或網守,禁止其呼入或呼出。對每一網守,還可以設一擁塞上限和擁塞下限,當呼叫超出呼叫上限時認為該網守已擁塞,不再向該網守分配呼叫;當呼叫數低於擁塞下限時,認為擁塞已經解除。 摘自《計算機世界》 。
⑸ VOIP網路電話安全嗎哪款好用些
可以,現在蠻多在用
⑹ 做VOIP網路電話需要的硬體和軟體。每個部分是怎麼工作的
需要的硬體:
1. 伺服器;伺服器能夠穩定的保證VOIP軟體系統穩定的運行,保證數據安全、完整、無誤差。一般根據「軟交換」軟體的需要來安裝windows或linux系統,以便滿足「軟交換」的安裝要求;
2. 中繼網關;(局端使用)負責把伺服器傳輸過來的數字信號轉行成模擬信號,送達被叫完成通話服務(語音或數據傳輸。打電話是語音,文字消息、傳真等業務稱之為數據);
3. 小網關:專業的叫法是叫IAD,負責把普通的模擬信號轉換成數字信號在互聯網上進行傳輸;
以上3個可以形成一個完整的呼叫流程,如下:
主叫用戶使用IAD發起呼叫-->伺服器-->中繼網關-->被叫接聽-->通話結束後掛機-->完成通話。
需要的軟體:
1. 軟交換:服務端軟體,安裝在伺服器上,軟體交換系統,俗稱「軟交換」。負責對電話的呼入呼出進行交換,根據不同的被叫前綴、區號、號碼段講電話交換到對應的線路上。
2. 軟電話:(專業名詞為:softphone,按目前主流協議是sip協議,也可稱之為sip phone,如目前最常見的MSN就是sip協議的)客戶端軟體,可接、打電話,有的支持視頻、文字聊天(如:skype、uucall、gtalk、QQ都屬於此類軟體),使用服務端提供的賬號密碼進行使用。
軟硬體完整的呼叫流程:
主叫發起呼叫(IAD或軟電話)-->軟交換認證賬號密碼是否正確,余額是否夠通話-->完成驗證後,放行本次通話並根據被叫號碼進行判斷,講呼叫傳輸至對應的中繼網關-->被叫振鈴-->被叫接聽-->開始通話-->通話結束-->軟交換根據被叫掛機信令進行計費並寫入資料庫形成話單-->結束本次任務。
你的問題如果要完整的回答,需要有寫一本書的信息量才能完整的進行解答,很抱歉,我只能寫個大概。希望能對你有所幫助。
⑺ VoIP 網關
網關(Gateway)又稱網間連接器、協議轉換器。網關在傳輸層上以實現網路互連,是最復雜的網路互連設備,僅用於兩個高層協議不同的網路互連。網關的結構也和路由器類似,不同的是互連層。網關既可以用於廣域網互連,也可以用於區域網互連。網關可以說是在封包中加了TCP/IP地址協議,在軟交換平台上找到對方.
網關曾經是很容易理解的概念。在早期的網際網路中,術語網關即指路由器。路由器是網路中超越本地網路的標記, 這個走向未知的「大門」曾經、現在仍然用於計算路由並把分組數據轉發到源始網路之外的部分,因此, 它被認為是通向網際網路的大門。隨著時間的推移,路由器不再神奇,公共的基於IP的廣域網的出現和成熟促進了路由器的成長。 現在路由功能也能由主機和交換集線器來行使,網關不再是神秘的概念。現在,路由器變成了多功能的網路設備, 它能將區域網分割成若干網段、互連私有廣域網中相關的區域網以及將各廣域網互連而形成了網際網路, 這樣路由器就失去了原有的網關概念。然而術語網關仍然沿用了下來,它不斷地應用到多種不同的功能中, 定義網關已經不再是件容易的事。
目前,主要有三種網關:
·協議網關 WNx"N
·應用網關 o:JWN
·安全網關 E-c
唯一保留的通用意義是作為兩個不同的域或系統間中介的網關,要克服的差異本質決定了需要的網關類型。
什麼是網關
網關曾經是很容易理解的概念。在早期的網際網路中,術語網關即指路由器。路由器是網路中超越本地網路的標記, 這個走向未知的「大門」曾經、現在仍然用於計算路由並把分組數據轉發到源始網路之外的部分,因此, 它被認為是通向網際網路的大門。隨著時間的推移,路由器不再神奇,公共的基於IP的廣域網的出現和成熟促進了路由器的成長。 現在路由功能也能由主機和交換集線器來行使,網關不再是神秘的概念。現在,路由器變成了多功能的網路設備, 它能將區域網分割成若干網段、互連私有廣域網中相關的區域網以及將各廣域網互連而形成了網際網路, 這樣路由器就失去了原有的網關概念。然而術語網關仍然沿用了下來,它不斷地應用到多種不同的功能中, 定義網關已經不再是件容易的事。
目前,主要有三種網關:
·協議網關 WNx"N
·應用網關 o:JWN
·安全網關 E-c
唯一保留的通用意義是作為兩個不同的域或系統間中介的網關,要克服的差異本質決定了需要的網關類型。
一、協議網關
協議網關通常在使用不同協議的網路區域間做協議轉換。這一轉換過程可以發生在OSI參考模型的第2層、第3層或2、3層之間。 但是有兩種協議網關不提供轉換的功能:安全網關和管道。由於兩個互連的網路區域的邏輯差異, 安全網關是兩個技術上相似的網路區域間的必要中介。如私有廣域網和公有的網際網路。這一特例在後續的「組合過濾網關」中討論, 此部分中集中於實行物理的協議轉換的協議網關。
1、管道網關
管道是通過不兼容的網路區域傳輸數據的比較通用的技術。數據分組被封裝在可以被傳輸網路識別的幀中,到達目的地時, 接收主機解開封裝,把封裝信息丟棄,這樣分組就被恢復到了原先的格式。
管道技術只能用於3層協議,從SNA到IPv6。雖然管道技術有能夠克服特定網路拓撲限制的優點,它也有缺點。 管道的本質可以隱藏不該接受的分組,簡單來說,管道可以通過封裝來攻破防火牆,把本該過濾掉的數據傳給私有的網路區域。
2、專用網關
很多的專用網關能夠在傳統的大型機系統和迅速發展的分布式處理系統間建立橋梁。 典型的專用網關用於把基於PC的客戶端連到區域網邊緣的轉換器。該轉換器通過X.25網路提供對大型機系統的訪問。 shoO
這些網關通常是需要安裝在連接到區域網的計算機上的便宜、單功能的電路板,這使其價格很低且很容易升級。在上圖的例子中, 該單功能的網關將大型機時代的硬連線的終端和終端伺服器升級為PC機和區域網。
3、2層協議網關
2層協議網關提供區域網到區域網的轉換,它們通常被稱為翻譯網橋而不是協議網關。 在使用不同幀類型或時鍾頻率的區域網間互連可能就需要這種轉換。
(1)幀格式差異 IEEE802兼容的區域網共享公共的介質訪問層,但是它們的幀結構和介質訪問機制使它們不能直接互通。
翻譯網橋利用了2層的共同點,如MAC地址,提供幀結構不同部分的動態翻譯,使它們的互通成為了可能。 第一代區域網需要獨立的設備來提供翻譯網橋,如今的多協議交換集線器通常提供高帶寬主幹, 在不同幀類型間可作為翻譯網橋,現在翻譯網橋的幕後性質使這種協議轉換變得模糊,獨立的翻譯設備不再需要, 多功能交換集線器天生就具有2層協議轉換網關的功能。
替代使用僅涉及2層的設備如翻譯網橋或多協議交換集線器的另一種選擇是使用3層設備:路由器。 長期以來路由器就是區域網主幹的重要組成部分。如果路由器用於互連區域網和廣域網, 它們通常都支持標準的區域網介面,經過適當的配置,路由器很容易提供不同幀類型的翻譯。 這種方案的缺點是如果使用3層設備路由器需要表查詢,這是軟體功能,而象交換機和集線器等2層設備的功能由硬體來實現, 從而可以運行得更快。
(2)傳輸率差異
很多過去的區域網技術已經提升了傳輸速率,例如,IEEE 802.3乙太網現在有 10Mbps、100Mbps和1bps的版本, 它們的幀結構是相同的, 主要的區別在於物理層以及介質訪問機制,在各種區別中,傳輸速率是最明顯的差異。令牌環網也提升了傳輸速率, 早期版本工作在4Mbps速率下,現在的版本速率為16Mbps,100Mbps的FDDI是直接從令牌環發展來的,通常用作令牌環網的主幹。 這些僅有時鍾頻率不同的區域網技術需要一種機制在兩個其它方面都兼容的區域網間提供緩沖的介面,現今的多協議、 高帶寬的交換集線器提供了能夠緩沖速率差異的健壯的背板.1494!
2 什麼是網關
如今的多協議區域網可以為同一區域網技術的不同速率版本提供內部速率緩沖,還可以為不同的802兼容的區域網提供2層幀轉換。 路由器也可以做速率差異的緩沖工作,它們相對於交換集線器的長處是它們的內存是可擴展的。 其內存緩存進入和流出分組到一定程度以決定是否有相應的訪問列表(過濾)要應用,以及決定下一跳, 該內存還可以用於緩存可能存在於各種網路拓撲間的速率差異.
二、應用網關
應用網關是在使用不同數據格式間翻譯數據的系統。典型的應用網關接收一種格式的輸入,將之翻譯, 然後以新的格式發送。輸入和輸出介面可以是分立的也可以使用同一網路連接。
一種應用可以有多種應用網關。如Email可以以多種格式實現,提供Email的伺服器可能需要與各種格式的郵件伺服器交互, 實現此功能唯一的方法是支持多個網關介面。
應用網關也可以用於將區域網客戶機與外部數據源相連,這種網關為本地主機提供了與遠程互動式應用的連接。 將應用的邏輯和執行代碼置於區域網中客戶端避免了低帶寬、高延遲的廣域網的缺點,這就使得客戶端的響應時間更短。 應用網關將請求發送給相應的計算機,獲取數據,如果需要就把數據格式轉換成客戶機所要求的格式。
本文不對所有的應用網關配置作詳盡的描述,這些例子應該概括了應用網關的各種分支。它們通常位於網路數據的交匯點, 為了充分地支持這樣的交匯點,需要包括區域網、廣域網在內的多種網路技術的結合。Tys
三、安全網關
安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其范圍從協議級過濾到十分復雜的應用級過濾。防火牆主要有三類: 分組過濾 電路網關 應用網關
注意:三種中只有一種是過濾器,其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。
1、包過濾器
包過濾是安全映射最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如 FTP、rlogin等。過濾器可對進入和/或流出的數據操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。
包過濾很難做好,尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包, 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員准確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套復雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新添加的伺服器如果沒有明確地被保護,可能就會成為攻破點。
隨著時間的推移,訪問許可權的查找會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。
包過濾的第二個缺陷是它認為包頭信息是有效的,無法驗證該包的源頭。 頭信息很容易被精通網路的人篡改, 這種篡改通常稱為「欺騙」。
包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。
2、鏈路網關
鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求,甚至某些UDP請求, 然後代表數據源來獲取所請求的信息。該代理伺服器接收對萬維網上的信息的請求,並代表數據源完成請求。實際上, 此網關就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。
3 什麼是網關
這種方式的請求代理簡化了邊緣網關的安全管理,如果做好了訪問控制,除了代理伺服器外所有出去的數據流都被阻塞。 理想情況下,此伺服器有唯一的地址,不屬於任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區域的信息量最小化, 只有代理伺服器的網路地址可被外部得到,而不是安全區域中每個聯網的計算機的網路地址。
3、應用網關
應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾設備的數據的通用保護, 而應用網關在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。
應用網關的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入內存並駐留在後台, 持續地監視文件不受已知病毒的感染,甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用戶不受到病毒的潛在損害。
這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路性能。
4、組合過濾網關
使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。
這種專用的網關不象其它種類的網關一樣,需要提供轉換功能。作為網路邊緣的網關,它們的責任是控制出入的數據流。 顯然的,由這種網關聯接的內網與外網都使用IP協議,因此不需要做協議轉換,過濾是最重要的。
保護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的數據的。例如,用戶基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類數據。
聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通信。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。
5、實現中的考慮
實現一個安全網關並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。
安全策略可以是寬松的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有數據通過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要通過的數據明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。
回答者:wfchenjin - 魔法師 五級 11-24 10:48
--------------------------------------------------------------------------------
網關是互連網路中操作在OSI運輸層之上的設施,所以稱為設施, 是因為網關不一定是一台設備,有可能在一台主機中實現網關功能。當然也不排除使用一台計算機來專門實現網關具有的協議轉換功能。
由於網關是實現互連、互通和應用互操作的設施。通常又多是用來連接專用系統,所以市場上從未有過出售網關的廣告或公司。因此,在這種意義上,網關是一種概念,或一種功能的抽象。網關的范圍很寬,在TCP/IP網路中,網關有時所指的就是路由器,而在MHS系統中,為實現CCITTX.400和SMTPL簡單郵件運輸協議間的互操作,也有網關的概念。SMTP是TCP/IP環境中使用的電子郵件,其標准為RFC- 822,而符合國際標準的CCITTX.400發展較晚,但受到以歐州為先鋒的世界范圍的支持。為將兩種系統互連,TCP/IP標准制定團體專門定義了X.400和RFC-822 之間的變換標准RFC987(適用於1984年X.400),以及RFC1148(適用於1988年X.400)。 實現上述變換標準的設施也稱之為網關。
網關在MS-DOS進入超級終端後進行設置
⑻ 為什麼說voip網路電話使用不安全
不一定,這個要看產品的,mimicall、VP3000之類蠻不錯的,安全性比較高。