⑴ VOIP对网络有什么要求
带宽的需求由VOIP语音网关设备来决定,目前来说,好的语音网关对带宽的限制很少。
我安装过许多,一般来说1M带宽在交换机下带16台分机是很轻松通话的。
你公司带了16台电脑,那就要看你电脑使用情况了,如果想安全通话,建议分配固定带宽给VOIP设备,20条分机假设在同时间内通讯分配1M绰绰有余。
⑵ 如何用多层次方法保VoIP安全
这种风险绝对是存在的,但是这并不意味着企业就要停止采用voip技术。相反,了解黑客窃听 voip的方法,可以帮助企业针对这些入侵途径制定有针对性的安全措施。同时企业也可以利用现有的voip黑客工具检查自己企业的voip网络是否安全 由于通话价格便宜,voip技术已经变得越来越流行了,尤其是在长途电话和国际电话费用方面,voip可以为企业节约大量通信费用。另外,voip还实现了双网合一的管理,高级呼叫功能,以及统一消息可以让用户通过一个统一的界面直接访问语音邮件,电子邮件,文本信息,传真以及其它接入的通信内容。
但是,安全性仍然是voip存在的问题,也是制约很多个人用户和企业用户部署voip的主要障碍。尤其是当电话内容涉及敏感和机密内容时,安全性就显得更为关键了。当然,voip也会受到和数据网络一样类型的攻击,比如拒绝服务攻击(DoS)就可以让企业的voip服务瘫痪。 但是对于voip用户来说,还有一个特殊的安全问题,就是黑客有可能窃听用户的通话内容。在本文中我将介绍黑客常用的一些窃听Voip通话内容的方式,并研究该通过什么方式来防止企业用户的voip通话内容被窃听。 几乎所有人都知道,传统的电话线路很容易被窃听。比如将窃听设备放入电话机的听筒中,或者在户外线路上接入一个窃听设备。另外,如果你在电信交换机房(如果法律允许的话),你也可以随便窃听某条线路上的通话内容。 还有,无线侦测设备可以监听到室内的无绳电话或者蜂窝电话的通信内容。一些专业人员还可以通过高级设备窃听卫星电话以及微波通信的内容。 对于传统电话线路的侦听,美国联邦法律和宪法一直都有明文规定。而法律针对voip的条款才刚刚出现。对于未经许可入侵企业计算机网络的犯罪指控同样适用于黑客对voip网络的入侵,攻击以及窃听。 这是一个好消息,因为拦截voip通信确实不难,黑客的手段也很多,而法律可以从一个侧面起到震慑作用。由于大部分Voip通话都是通过互联网传递的,黑客可以像以往拦截普通数据一样从任何地点拦截voip数据包。 不过,由于voip是将语音信号采样为数字格式,黑客必须从大量的二进制数据中重建实际的语音通话,因此监听voip通话与监听传统PSTN电话相比还是多了一些难度。 不幸的是,解决这个问题并不需要什么高深的编程技巧。目前网上有很多免费的黑客工具可以完成捕获,重建和播放voip通话内容等全套工作。虽然黑客可以利用这些工具不经验证就获取voip通话内容,但是这些工具也可以用在好的方面。Voip管理员就可以利用这些工具来测试企业自身网络的安全性。 voip窃听工具 最出名的voip窃听工具是VOMIT(Voice Over Misconfigured Internet Telephones的缩写)。但是这个工具并不负责捕获voip数据包。因此,你还需要“sniffer”类的工具,比如Ethereal/Wireshark 或 Angst或者“mping”类的工具,如pcapsipmp 。 VOMIT可以将voip通话内容重建为 .wav 文件,任何媒体播放软件(如Windows Media Player)都可以播放这种原始的音频格式。但是 VOMIT是基于Cisco的 Skinny Voip 协议的,因此只能用于采用Cisco IP电话设备的voip网络。 另一个流行的Voip窃听工具是Voipong 。这个工具会监听网络中的Voip通话,并建立一个.wav文件来重建通话内容。和VOMIT一样,Voipong是基于Linux和Unix的,但是它可以处理各种类型的voip协议,因此可以用来窃听SIP和H.323 Voip数据流以及基于Cisco的Skinny协议的voip电话。Voipong是开源软件,在GNU General Public License下免费使用。 另外,还可以使用Oreka来记录voip RTP线程。这个工具支持多种voip平台,包括Cisco CallManager, Lucent APX8000, Avaya S8500, Siemens HiPath, 以及 Asterisk SIP频道。与其它很多voip工具不同,Oreka不但支持Unix环境,还支持Windows环境。 Cain &Abel是一个流行的sniffer程序,可以用来捕获和破解密码,它可以捕获各种类型的数据包,包括voip数据包。软件可以使用SIP和RTP协议分离出数据包中的语音内容,并且支持多种不同的编码方式,包括G711, GSM, DVI, LPC等很多。 还要记住:除了这些技术工具,Voip黑客还经常采用与数据网络上类似的社会学技巧来骗取用户信任,方便其监听用户的voip通话内容。 防止voip窃听 为什么不在voip协议本身中增加更强大的安全机制呢?一个最重要的原因是性能。voip需要进行大量数据的转换,性能的损失会带来明显的通话质量下降。而安全策略基本上都是以牺牲性能为代价的。到目前为止,Voip协议主要针对的还是通话质量和可靠性,而不是安全。 对于企业来说,可以通过以下方法来提高voip网络对于黑客的抵抗能力: ◆将voip网络与数据网络分开。虽然这有些违背了voip出现的意义 —通过双网合并实现单一化的管理 — 但这可以将voip受到攻击的机会降到最低。如果不愿意重新部署一个物理上独立的网络,企业可以采用虚拟局域网 (VLAN)技术在现有网络上创建一个逻辑上独立的网络。 ◆通过身份验证方式确认从外部接入voip网络的用户都是合法用户。 ◆通过加密技术传输 voip数据包,确保黑客即使拦截了数据包,也无法很快破解。 ◆采用支持voip的防火墙,以及入侵检测系统,入侵拦截系统。 (IDS/IPS). 总结 你是否担心黑客在监听你的 voip通话?这种风险绝对是存在的,但是这并不意味着企业就要停止采用voip技术。 相反,了解黑客窃听 voip的方法,可以帮助企业针对这些入侵途径制定有针对性的安全措施。
⑶ 详细介绍一下VOIP的本地落地网关
实际上,没有什么简单的解决方法可以有效确保VoIP的绝对安全,不过还是有些办法可以尽量减小风险、改进整体的安全策略。
安全问题对语音服务而言根本不是什么新鲜事。几十年来,传统电话系统就饱受话费欺诈之困扰。如今,一些企业出于对安全问题的担忧而对安装IP语音(VoIP)系统犹豫不决,而另一些企业却在没有解决安全问题的前提下贸然行事。大多数行业的分析师估计,今年企业新安装的语音电话至少有一半将会是VoIP手机,这意味着你可能很快就会面临语音安全问题,如果不正视这些问题,你的系统就会随时遭到攻击。
说到如何有效地确保VoIP 安全,根本没有灵丹妙药,但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分,如果IP网络已经落实了良好的安全措施,整个网络安全系数越高,那么攻击者进行窃听、发动拒绝服务(DoS)攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。
一开始就让安全小组参与VoIP项目也非常重要。语音小组和数据小组也根本犯不着卷入地盘之争。毕竟,现在它们应当作为一个团队开展工作。
遵守一系列的严格规定
主要的VoIP安全策略很简单: 首先,在你确保各种VoIP部件和因特网之间没有任何通信之前,不要把这些设备接入网络。其次,不要允许与因特网及VoIP系统进行联系的PC之间有任何通信。这是因为,PC特别容易受到攻击,可能会被用来闯入VoIP系统,或者对语音应用发动拒绝服务攻击。它们还会强行利用VoIP电话从事话费欺诈、暗中窃听或者冒充他人等勾当。
如果你无法遵守这项策略,就要确保每个人都知道其中的风险,并且落实了相应的对策以缓解风险。这就要求清楚地知道安全、系统架构以及有关的VoIP协议。
要实施安全策略,第一步就是把所有VoIP电话放在单独的虚拟局域网(VLAN)上,并且使用不可路由的RFC 1918地址。大多数VoIP电话都有内置的交换机,支持802.1p/Q虚拟局域网标准。这样一来,就有可能在桌面系统和距离最近的布线室交换机之间建立虚拟局域网,而布线室交换机可以通过网络进行延伸。
如果语音用户的PC被接到电话的交换机上,你就可以自始至终地让语音和数据在不同的虚拟局域网上传输。记住一点: 虚拟局域网无法彼此联系,除非彼此之间有路由,所以这是确保语音和数据分开的一个办法。你还可以使用访问控制列表(ACL)防止虚拟局域网之间进行通信,作为保护语音的另一道安全层。让语音和数据在不同的虚拟局域网上传输,还可以简化为VoIP流量配置服务质量(QoS)。随后只是为VoIP虚拟局域网赋予优先级的问题而已,如果你通过路由器传输,仍需要第三层服务质量。
服务质量通常与确保性能联系在一起,不过它在安全方面也起到关键作用。在不同逻辑虚拟局域网上传输的语音和数据仍使用相同的物理带宽。这意味着,即便PC被病毒或者蠕虫感染、这些PC进而向网络发送大批流量,VoIP流量仍能够在共同的物理带宽上获得优先权,因而就不会沦为拒绝服务攻击的受害者。与此同时,ACL和防火墙可以阻止VoIP系统访问因特网,反之亦然。
虚拟局域网还可以缓解有人窃听电话的现象。如果语音包被人用分析仪获取,重放语音就轻而易举。IP具有的移动性和灵活性使得它容易受到“中间人攻击”,即地址解析协议(ARP)被用来强制流量通过某台PC传输,然后就能获取这些流量。虚拟局域网可以阻止有人从外面发动攻击,但内部攻击比较难以预防。内部人只要把某台PC接入墙上的插座,对PC进行配置,成为VoIP虚拟局域网的一部分,就可以发动攻击。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。
你还需要在电话和通向公共交换电话网络(PSTN)的网关之间进行加密。如今VoIP电话厂商开始把媒体加密和信令加密功能融入各自的设备当中。譬如说,Avaya声称它的所有电话现在都支持加密功能; 而北电网络公司声称,它的电话很快也具有同样的功能。加密还可以挫败需要对基础设施获得物理访问权的其他类型的窃听,譬如利用交换机的端口镜像,或者利用以太网接头接入某条以太网连接线。
当然,加密以增加时延为代价。这对普通局域网来说不成问题,但对广域网来说可能会成问题。要考虑的另一个因素就是,如果对电话之间传输的信号进行加密(这在应用层实现),工作在应用层的防火墙就很难对加密信号进行解密。
虽然防火墙必不可少,但别以为它们能够胜任各项工作。VoIP协议很难过滤。尽管会话初始化协议(SIP)是VoIP信号传输标准,但许多厂商采用的却是专有的信令协议,而防火墙必须理解这些协议。
实时协议(RTP)用于传输实际的语音媒体,不过有一系列众多的端口动态分配给了每路呼叫。信令协议会表明应使用哪个RTP端口用于某路呼叫。一款好的防火墙会从信令协议处接到该指示,随后开启某个端点的IP地址所必需的那个端口。然而,不是所有的防火墙都具有这种功能。有些只是开启某段范围的端口,所以要确保你对防火墙的运行情况了如指掌。
有些防火墙必须处理专用地址和网络地址转换(NAT),这样一来,保护VoIP的安全难度就更大了,如果处理的请求是针对采用专用地址的某个端点,更是如此。了解信令协议的防火墙能跟踪用户注册登记的最新地址,然后相应地为请求安排路由。Check Point软件技术公司声称,其最新款的FireWall-1具有这种功能,可以提供最低程度的安全接入。
另一个办法就是把防火墙放置在专门为IP语音设计的VoIP系统前面。譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。
另外还要当心,防火墙可能会带来时延,从而成为性能方面的一个瓶颈。
支持VoIP的服务器每个都有各自的操作系统,而这些操作系统又存在许多相关漏洞,所以你必须确保把服务器放到你的网络上之前,它们都已打上了补丁。注意时时打上最新补丁,还要认真限制对它们的访问。每个IP电话其实也是一台电脑,有着自己的应用软件和操作系统,所以对你的电话也要采取同样的防范措施,并确保电话带有良好的补丁管理系统。
一些例外情况
有些应用可能会让你考虑打开语音虚拟局域网和数据虚拟局域网之间的通信通道。譬如说,大多数VoIP厂商提供的桌面客户系统能够管理VoIP电话,并且提供丰富的用户状态信息。许多厂商提供的客户端还可以让你监控其他系统用户的电话和即时通信(IM)状态,并且发布你自己的状态信息。这些特性需要桌面系统和VoIP系统之间进行一定的直接联系,所以你要想办法安全地实现这项功能。
说到这里,使用防火墙最为稳妥。做法是,提供最低程度的接入权限,不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台。但如果蠕虫占用了网络上的大量带宽,PC和布线室之间的连接上所用的这些应用就无法得到保护,因为数据来自PC,因而会在数据虚拟局域网上传输。不过好消息是,VoIP电话的通信将得到保护,只要你实施了服务质量。但如果你在PC上使用的仅仅是软电话,就没有办法为PC和布线室交换机之间的语音包提供服务质量。
如果你的远程办公人员要通过因特网访问IP PBX,虚拟专用网(VPN)显然是防止窃听的解决办法。Zultys科技公司等VoIP厂商提供的产品旨在便于通过VPN访问IP PBX。Zultys的有些电话可以直接在电话到PBX之间建立一条VPN隧道。北电公司的Contivity VPN PC客户机则可以通过连接的PC,为其电话建立VPN隧道。
你最不希望把IP PBX暴露于因特网面前。如果你提供只能访问相关端口的功能,而且通过VPN进行验证,那么就可以尽量减小这个风险。当然,你还会希望在IP PBX和VPN网关之间安装一只防火墙,只允许访问被认为绝对有必要的端口。
另外,也很有必要落实相应机制,以保护你的VoIP系统免受针对应用的拒绝服务攻击。如果需要从虚拟局域网进行额外的一道验证,应当不会面临来自外部的重大危害; 但如果有人获得了访问权,从内部发动攻击可能会是个问题。譬如说,利用SIP,发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统(IPS)可以缓解这个问题,而如果IPS或者入侵检测系统(IDS)能理解SIP,就可以检测这些攻击。一款好的IPS还能够防止基于SIP的中间人攻击,以免通过另一个设备改变流量传输方向。
可以访问VoIP系统的任何桌面系统都必须加以保护。如今许多厂商提供集中管理的防火墙以及可以检查操作系统补丁及病毒更新状况的软件。这对使用IP软电话的远程办公人员来说尤为重要。
所以不要被VoIP安全问题捆住了手脚。有了可*的IP语音安全策略以及合理搭配的安全工具,没有理由错过VoIP具有的诸多优点。
⑷ 什么叫voip 网守
什么是网关?
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
什么是网守?
网守:是对网络端终(如电话)网关等呼叫和管理功能,它是Voip网络系统的重要组成部分。
VoIP网守的功能
一、RAS功能 RAS部分的功能有用户认证、地址解析、带宽管理、路由管理、安全性管理、区域管理。
1、区域管理:由于IP Phone网络正在发展中,网络的拓扑结构各种各样,考虑到目前的发展趋势,网守在结构上应能适应各种结构,既能支持单网守、单区域,也能支持多网守、多区域;在多区域情况下,各个区域即可以建立平等和直接的联系,也可通过上级网守联系。每个区域可配置多个网守,以用于备份和负荷分担。每个网关保存两个网守的地址,网关启动后定期向网守发RRQ登录,如果登录失败,则向另一网守登录。登录时网守保存网关的登录生存周期,超时后未重新收到网关的RRQ则认为网关故障,将其状态置为不可用。
2、用户认证:网关用ARQ把用户卡号和密码发给网守,网守再把卡号和密码送给计费认证中心,如果计费认证中心认证通过,网守向网关发ACF,否则回ARJ。
3、地址解析:网关在用户认证完成后,接受被叫号码,接收完被叫号码后把号码用ARQ送给网守,网守在路由表中查找目的网关的IP地址,如果目的网关不在本区域中,向上级网守或邻近网守请求在别的区域中查找。找到目的网关后在ACF中返回其IP地址,未找到返回ARJ。网守到网守的通信方式遵循H.225.0 Annex G的建议。
4、带宽管理:由于每个网关接入到Internet的带宽有限,为了避免在话务高峰期造成网络拥塞,影响所有的呼叫,网守可设定进行带宽管理,网关在ARQ中填入所需的带宽,网守判断有无足够的带宽资源,如果资源不足,就拒绝呼叫。由于呼叫所需的带宽取决于语言编码的类别、是否采取静音、每个RTP包带几帧数据等,因此,在ARQ中的带宽应按最大需求申请,在通话开始时,再用BRQ修改所需带宽。
5、路由管理:为了提高网络的可靠性和接通率,对话务流量进行分配,网守提供路由管理。在路由表中,每个区号可以对应多个路由,路由具有优先级,选路时先选高优先级路由,如果高优先级路由拥塞或不可达,再选低优先级的路由。当呼叫跨区域时,双方的网守可以直接建立联系,也可以通过上级网守联系,还可以通过别的同级网守联系,方式灵活,保证系统的灵活配置和网络的可靠性。具有相同区号和路由特性的网关可以组成网关组,选路时可以针对网关,也可以针对网关组。对某一网关组选路时,可以按每个网关的优先级,也可以按百分比在网关间进行流量分配。为了在某些情况下能与即不在本网守的控制下,也无法与其网守通信的网关互通,路由还可设为"独立网关",直接与之通信。
6、安全性管理:由于Internet是一个开放的网络,容易遭到攻击,网守应提供基于H.235的安全机制,在相互通信的网关和网守之间、网守与网守之间设置密码,相互认证。为了与别的设备互通或别的原因,网守也可以不提供基于H.235的安全性机制或也可以针对IP地址进行认证,根据对方的IP地址来判断对方是否是合法用户。
二、呼叫处理功能
网守除了进行RAS功能外,还需要具有呼叫处理功能,利用H.225.0和H.245进行呼叫的建立,能力交换,呼叫维护和结束呼叫等处理。对于PC-to-Phone业务,PC需要对网守发起呼叫。再由网守向被叫网关发起呼叫,网守在进行呼叫处理的时侯,其处理能力会下降很多。
三、用户界面和参数设置
用户界面和参数设置部分完成路由表、网关数据表、网关组数据表、本网守数据设定等数据的输入、修改、保存和调试信息、日志信息、告警信息的管理和用户权限管理。
1、各种数据的管理:网守的数据主要有网关数据表、网关组数据表、网守数据表、路由表、国家信息表五个表格和本网守的各种设置,如RAS端口号,是否采用H.235,本网守的国家号和国家号前缀等。通过用户界面,可以实时修改大部分数据,少数参数如端口号等只能在系统初始化时设定,运行中禁止修改。所有的数据都可以保存在文件中,下次启动可直接使用。
2、告警信息管理:提供告警窗口,在系统出现异常时打印告警信息。
3、调试信息管理:可以输入一些命令,来控制系统的运行和显示某些感兴趣的信息,如VOS的内存信息,显示收到的消息等。
4、日志管理:记录网守所有的操作,以便进行问题跟踪等。
5、用户权限管理:对操作设置各级权限,根据权限确定用户对网守的操作。
四、RADIUS Client程序
计费认证中心中保存着所有卡号用户的信息,当网关向网守发送ARQ请求对用户进行认证时,GK通过Radius Client向计费认证中心发送用户验证请求,等待计费认证中心的验证结果。呼叫开始通话时,网守收到网关的通知后通过Radius Client向计费认证中心发送计费开始消息,通话结束后发送计费结束消息。
五、网管功能
网守支持SNMP,通过运行SNMP代理,与网管中心建立联系。
六、其他功能
1、设备备份的考虑:为了保证系统的可靠性,每个区域应至少配置两个网守,这两个网守可以配置为一个为主,一个为从,也可以配置为两个平等的网守,对区域内的网关进行负荷分担,同时互为备用。在正常情况下网关只向主网守登记,但主备网守中都保存有该网关的数据,当网关向主网守登记失败后,向备用网守登记。
2、设备管理:为了在某一网关或网守出现故障时能及时改变路由,提高接通率,网守应能及时发现其管理下的网关和与之联系的其它网守的状态改变并以此改变路由数据。网守管理下的网关不断向网守发送登记请求,每次登记的生存周期可以设得很短,当生存周期已到而未收到网关新的登记请求时,网守就可以认为网关发生故障,并不在向其分配呼叫。与此同时,网关不停向所有与之向连的网守发送服务请求,与之建立联系。当向对方发出服务请求未收到对方的证实,重发也超过最大重发次数时,认为对方发送故障,这时改变自己的路由表。
3、会话管理:网关上的每一个呼叫在网守中都有一与之对应的呼叫控制块,当网关发起呼叫时向网守发送ARQ,网守在收到后ARQ创建呼叫控制块,呼叫结束时网关向网守发送DRQ,网守释放呼叫控制块。为了避免在某些情况下网守未收到网关的DRQ而造成网守无法释放呼叫,网守定期向网关发送查询命令,检查呼叫是否存在,如果不存在,则释放呼叫控制块。为了避免呼叫超出网守处理能力而造成网守崩溃,网守可以设一最大呼叫数,超出的呼叫将被拒绝。对每个网关也设一最大呼叫数,当该网关上的呼叫数超出门限值时呼叫也将被拒绝。网守还可以闭塞某一网关或网守,禁止其呼入或呼出。对每一网守,还可以设一拥塞上限和拥塞下限,当呼叫超出呼叫上限时认为该网守已拥塞,不再向该网守分配呼叫;当呼叫数低于拥塞下限时,认为拥塞已经解除。 摘自《计算机世界》 。
⑸ VOIP网络电话安全吗哪款好用些
可以,现在蛮多在用
⑹ 做VOIP网络电话需要的硬件和软件。每个部分是怎么工作的
需要的硬件:
1. 服务器;服务器能够稳定的保证VOIP软件系统稳定的运行,保证数据安全、完整、无误差。一般根据“软交换”软件的需要来安装windows或linux系统,以便满足“软交换”的安装要求;
2. 中继网关;(局端使用)负责把服务器传输过来的数字信号转行成模拟信号,送达被叫完成通话服务(语音或数据传输。打电话是语音,文字消息、传真等业务称之为数据);
3. 小网关:专业的叫法是叫IAD,负责把普通的模拟信号转换成数字信号在互联网上进行传输;
以上3个可以形成一个完整的呼叫流程,如下:
主叫用户使用IAD发起呼叫-->服务器-->中继网关-->被叫接听-->通话结束后挂机-->完成通话。
需要的软件:
1. 软交换:服务端软件,安装在服务器上,软件交换系统,俗称“软交换”。负责对电话的呼入呼出进行交换,根据不同的被叫前缀、区号、号码段讲电话交换到对应的线路上。
2. 软电话:(专业名词为:softphone,按目前主流协议是sip协议,也可称之为sip phone,如目前最常见的MSN就是sip协议的)客户端软件,可接、打电话,有的支持视频、文字聊天(如:skype、uucall、gtalk、QQ都属于此类软件),使用服务端提供的账号密码进行使用。
软硬件完整的呼叫流程:
主叫发起呼叫(IAD或软电话)-->软交换认证账号密码是否正确,余额是否够通话-->完成验证后,放行本次通话并根据被叫号码进行判断,讲呼叫传输至对应的中继网关-->被叫振铃-->被叫接听-->开始通话-->通话结束-->软交换根据被叫挂机信令进行计费并写入数据库形成话单-->结束本次任务。
你的问题如果要完整的回答,需要有写一本书的信息量才能完整的进行解答,很抱歉,我只能写个大概。希望能对你有所帮助。
⑺ VoIP 网关
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。网关可以说是在封包中加了TCP/IP地址协议,在软交换平台上找到对方.
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
什么是网关
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
一、协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能:安全网关和管道。由于两个互连的网络区域的逻辑差异, 安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论, 此部分中集中于实行物理的协议转换的协议网关。
1、管道网关
管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中,到达目的地时, 接收主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。
管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。 管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。
2、专用网关
很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO
这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。在上图的例子中, 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层协议网关
2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。
(1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它们不能直接互通。
翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换集线器通常提供高带宽主干, 在不同帧类型间可作为翻译网桥,现在翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要, 多功能交换集线器天生就具有2层协议转换网关的功能。
替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备:路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网, 它们通常都支持标准的局域网接口,经过适当的配置,路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询,这是软件功能,而象交换机和集线器等2层设备的功能由硬件来实现, 从而可以运行得更快。
(2)传输率差异
很多过去的局域网技术已经提升了传输速率,例如,IEEE 802.3以太网现在有 10Mbps、100Mbps和1bps的版本, 它们的帧结构是相同的, 主要的区别在于物理层以及介质访问机制,在各种区别中,传输速率是最明显的差异。令牌环网也提升了传输速率, 早期版本工作在4Mbps速率下,现在的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来的,通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494!
2 什么是网关
如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以为不同的802兼容的局域网提供2层帧转换。 路由器也可以做速率差异的缓冲工作,它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表(过滤)要应用,以及决定下一跳, 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异.
二、应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译, 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。
一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能需要与各种格式的邮件服务器交互, 实现此功能唯一的方法是支持多个网关接口。
应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点,这就使得客户端的响应时间更短。 应用网关将请求发送给相应的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式。
本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点, 为了充分地支持这样的交汇点,需要包括局域网、广域网在内的多种网络技术的结合。Tys
三、安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类: 分组过滤 电路网关 应用网关
注意:三种中只有一种是过滤器,其余都是网关。 这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有各自的能力和限制,要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许网际协议如 FTP、rlogin等。过滤器可对进入和/或流出的数据操作, 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)路由器的常驻部分, 这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包, 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先, 它直接依赖路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的, 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的, 必须根据防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。
随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组, 它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CPU的工作: 检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。 头信息很容易被精通网络的人篡改, 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求, 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求,并代表数据源完成请求。实际上, 此网关就象一条将源与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。
3 什么是网关
这种方式的请求代理简化了边缘网关的安全管理,如果做好了访问控制,除了代理服务器外所有出去的数据流都被阻塞。 理想情况下,此服务器有唯一的地址,不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化, 只有代理服务器的网络地址可被外部得到,而不是安全区域中每个联网的计算机的网络地址。
3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护, 而应用网关在每个需要保护的主机上放置高度专用的应用软件,它防止了包过滤的陷阱,实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台, 持续地监视文件不受已知病毒的感染,甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。
这种保护级别不可能在网络层实现,那将需要检查每个分组的内容,验证其来源,确定其正确的网络路径, 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载,严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制,可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点,通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关:一个路由器和一个处理机。 结合在一起后,它们可以提供协议、链路和应用级保护。
这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网络边缘的网关,它们的责任是控制出入的数据流。 显然的,由这种网关联接的内网与外网都使用IP协议,因此不需要做协议转换,过滤是最重要的。
保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下, 是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制, 很容易影响网络运载其它应用的能力,因此有必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议,它被设计用于实现网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网, 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则, 在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少, 很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。 另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大, 但是对网络安全有无形的价值。从安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、 使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。
回答者:wfchenjin - 魔法师 五级 11-24 10:48
--------------------------------------------------------------------------------
网关是互连网络中操作在OSI运输层之上的设施,所以称为设施, 是因为网关不一定是一台设备,有可能在一台主机中实现网关功能。当然也不排除使用一台计算机来专门实现网关具有的协议转换功能。
由于网关是实现互连、互通和应用互操作的设施。通常又多是用来连接专用系统,所以市场上从未有过出售网关的广告或公司。因此,在这种意义上,网关是一种概念,或一种功能的抽象。网关的范围很宽,在TCP/IP网络中,网关有时所指的就是路由器,而在MHS系统中,为实现CCITTX.400和SMTPL简单邮件运输协议间的互操作,也有网关的概念。SMTP是TCP/IP环境中使用的电子邮件,其标准为RFC- 822,而符合国际标准的CCITTX.400发展较晚,但受到以欧州为先锋的世界范围的支持。为将两种系统互连,TCP/IP标准制定团体专门定义了X.400和RFC-822 之间的变换标准RFC987(适用于1984年X.400),以及RFC1148(适用于1988年X.400)。 实现上述变换标准的设施也称之为网关。
网关在MS-DOS进入超级终端后进行设置
⑻ 为什么说voip网络电话使用不安全
不一定,这个要看产品的,mimicall、VP3000之类蛮不错的,安全性比较高。