SBC在企業(yè)IP通信系統(tǒng)中的應用
劉航 2008/05/04
摘要:本文針對企業(yè)IP通信系統(tǒng)建設實施的兩大問題:終端接入安全和IP多媒體業(yè)務NAT穿越����,介紹了基于SBC(Session
Border Controller�����,會話邊界控制器)的解決方案�,并提出了利用SBC輔助實現IP錄音的一種新應用模式。
關鍵詞:IP通信�、SBC、NAT穿越����、安全、IP錄音
一�、引言
伴隨通信網絡融合與ALL IP發(fā)展趨勢,越來越多的企業(yè)開始采用IP-PBX���、軟交換�、MCU等產品技術構建內部IP通信系統(tǒng),基于IP網絡承載數據�、語音、視頻�、消息等多種業(yè)務,以降低通信成本���、實現靈活部署�����、提供新業(yè)務功能�����,提升企業(yè)內外部溝通效率與核心競爭力。
IP通信系統(tǒng)為用戶帶來諸多便利的同時���,也造成了一些其他麻煩��。其中在復雜網絡情況下的IP多媒體業(yè)務NAT穿越��、終端用戶的安全接入是許多企業(yè)建設管理IP通信系統(tǒng)時非常困擾的問題�。以下就采用SBC(Session
Border Controller���,會話邊界控制器)解決上述問題的原理��、功能和應用進行了探討�����。
二����、SBC實現IP多媒體業(yè)務NAT穿越
許多大中型企業(yè)對于信息安全對非常重視,數據網絡中部署了大量防火墻設備��,同時由于安全及IP地址資源等因素�����,許多分支機構和部門采用私網IP地址并在網絡出口處啟用NAT地址轉換����。
由于通常NAT/防火墻設備僅對IP和UDP/TCP報文頭的地址及端口號進行轉換,并不對消息凈荷中的媒體連接信息進行轉換����,從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等IP通信協議的有效傳輸。比如對于SIP協議�,終端用戶注冊后呼叫控制設備上記錄的將是其私網地址�����,導致呼叫時信令不通����。因此IP多媒體業(yè)務無法跨越普通的NAT設備���。
NAT穿越的傳統(tǒng)解決方案是啟用防火墻ALG((Application Level Gateway���,應用層網關)功能,ALG作為NAT的增強��,在地址轉換時對IP報文頭凈荷中內嵌的相應地址信息字段(例如重寫SIP協議Register消息中的Contact字段)也進行轉換����。但如果全網規(guī)模部署IP多媒體業(yè)務��,需對現網大量防火墻進行ALG升級�,成本高、實施繁瑣�。
SBC最早是應用于電信運營商NGN領域的一種產品形態(tài),定位在電信NGN網絡的IP業(yè)務網關���,解決NGN業(yè)務部署中遇到的NAT/FW穿越���、安全��、互通��、QoS等問題���。SBC設備采用Full
Proxy(全代理)方式定向傳輸信令/媒體流:
- 終端將IP-PBX/軟交換等核心控制設備的地址設置為SBC Proxy的地址
- 終端注冊到核心設備時,SBC創(chuàng)建相應的地址映射表項
- 當終端開始呼叫時�,SBC修改相應的地址信息,將報文發(fā)送給真正的核心設備
- 所有的信令流�、媒體流都可經過SBC進行轉發(fā),另外也可設置媒體流旁路
由于SBC重新指定內網/外網用戶信令/媒體流的接收地址和端口��,可以方便地實現不同網絡域之間的地址轉換(包括公網/私網地址之間的轉換)��,為信令/媒體流穿越NAT提供了技術保障���。
SBC組網示意圖
部署SBC設備對已存在的網絡拓撲結構沒有任何影響����,無需升級以便支持交互式會話的NAT穿越����。同時SBC的組網位置沒有限制�����,可放置在IP可達的任意位置���,而且能夠同時實現對于多個私網的代理。
針對多級NAT��、多個VPN等復雜網絡情況�,業(yè)界一些主流廠商如華為公司的SE2000系列SBC設備還支持多種NAT穿越形式:一級、多級NAT穿越及對稱NAT的穿越�;多個經過NAT轉換后的私網的接入,并且各私網地址空間可以重疊��;經過NAT轉換的終端和未經過NAT轉換的終端之間的混合組網�����。
三�����、SBC提升IP通信系統(tǒng)安全性
企業(yè)建設IP通信系統(tǒng)的原因之一是其部署和業(yè)務開展的靈活性��,例如通過寬帶網絡實現遠程接入和移動辦公����。但IP通信系統(tǒng)在具備靈活性和豐富業(yè)務的同時也帶來了很大的安全隱患,特別是通過外部Internet等非信任區(qū)域接入的IP軟硬件電話終端���,極可能成為病毒擴散�、DOS攻擊��、非法用戶仿冒的發(fā)起和接入點��,如何保障IP通信系統(tǒng)的安全性����?
IP通信系統(tǒng)安全性是一個系統(tǒng)工程,其實除了傳統(tǒng)的VPN�����、防火墻����、IPS、IDS等方式外,利用SBC是進一步提升IP通信系統(tǒng)安全性的有效手段��。以華為公司SE2000系列SBC設備為例��,可以提供以下的安全保障功能:
隱藏核心網絡和內部網絡的拓撲:
SBC作為用戶終端和IP-PBX���、軟交換等核心設備之間的代理��,為實時會話提供安全保證�����。外部終端設備通過SBC接入核心網絡��,核心網絡的拓撲對終端不可見���。這樣,就有效隱藏了核心網和企業(yè)內部網絡的拓撲結構����,防止其受到攻擊,提高了整個網絡架構的安全性�����。
用戶注冊和IP地址綁定:
SBC能夠將用戶信息(例如用戶名、主叫號碼和域名)和IP地址進行綁定����,從而在用戶注冊時根據綁定規(guī)則來判斷是否允許該用戶進行注冊�,防止終端非法漫游。也可以將用戶注冊地址交給核心控制設備���,由核心控制設備判斷是否允許用戶注冊�����。
融合了防火墻的安全功能:
SBC提供基于會話層的針孔式動態(tài)防火墻功能���,支持基于時間段的ACL,可以靈活配置ACL規(guī)則生效的時間�����。同時還提供黑名單功能����,即根據報文的源IP地址進行快速過濾,從而將命中黑名單表項的特定IP地址發(fā)送過來的報文屏蔽�����,防止非法入侵。
信令DoS攻擊防范:
SBC提供防信令報文DoS攻擊功能�����,在發(fā)生信令報文DoS攻擊時仍能夠最大程度地保證正常用戶的使用:可以防范偽造源IP地址的信令報文DoS攻擊�;可以防范IP地址固定的信令報文DoS攻擊;可以部分防范偽造已有用戶的信令報文DoS攻擊���;可以直接丟棄畸形的信令報文����,減輕對軟交換處理的壓力�����。
媒體流攻擊防范:
SBC可以記錄合法媒體流的信息(IP五元組)���,對于非法的媒體流可以直接丟棄���,從而可以防范媒體流DoS攻擊。
其它DoS攻擊防范:
SBC還可以防范其他IP網絡常見的DoS攻擊���,包括:SYN Flooding攻擊�����、UDP Flooding攻擊�����、ICMP
Flooding攻擊�����、超大ICMP報文攻擊�����、Ping-of-death攻擊��、WinNuke攻擊���、Fraggle攻擊、Land攻擊等��。
基于SBC的這些強大安全功能��,并配合防火墻、VPN�����、IPS�����、IDS等傳統(tǒng)安全設備��,可以有效保障IP通信系統(tǒng)的安全性��。
四��、SBC擴展應用:完善IP錄音解決方案
在金融��、能源��、政府等行業(yè)���,由于業(yè)務特殊性�����,往往要求對一些內部通話進行錄音并集中存儲管理以便后續(xù)查詢�����。目前業(yè)界的IP錄音方案主要有兩種:
方案一通過IP電話機直接錄音�����,但該方案需要特殊終端支持�,而且只能實現單點分散錄音,適合個人應用��,難以實現集中存儲和管理����。
方案二采用集中的錄音服務器�,通過從IP網絡中抓取SIP/H.323等協議包分析并轉換為WAV文件實現錄音。該方案需在以太網交換機等網絡設備上設置端口鏡像功能�,將所有IP電話機的流量鏡像到集中錄音服務器所連接端口。
方案二適合于局域網內的集中匯聚型IP語音應用����,但如果IP語音系統(tǒng)是分散組網,用戶分布在多個局點��,或部分網絡設備不支持鏡像功能�,則難以實現抓包和錄音�。而且將所有IP電話端口都實現鏡像對網絡設備性能�����、帶寬要求較高����,同時系統(tǒng)配置和管理維護繁瑣,難以滿足實際應用需求����。
利用SBC設備的媒體和信令流的代理功能,可以將其擴展應用于IP錄音解決方案:無論IP承載網絡拓撲如何��,接入設備是否支持端口鏡像���,只需在網絡核心設備(如L3或GSR)上連接一臺SBC����,就能將IP電話媒體和信令流經由SBC轉發(fā)���。錄音服務器只需與網絡核心設備連接��,通過其把SBC的端口鏡像到錄音服務器����。
采用該方式只要求核心設備支持鏡像,對網絡中其他設備無特殊要求�����。由于只需將IP語音的媒體和信令流通過SBC匯聚到錄音服務器����,對正常的數據流并無影響,也避免了純鏡像方式將所有端口流量均匯聚到核心而對網絡性能和設備配置的影響�����。對于不需錄音的IP電話用戶���,還可以設置不經過SBC代理,或只代理信令流而旁路媒體流���,以減少媒體流匯聚轉發(fā)造成的帶寬浪費���。
五、結束語
采用SBC(Session Border Controller����,會話邊界控制器)是低成本解決IP多媒體業(yè)務NAT穿越并保障IP通信系統(tǒng)終端接入安全的有效方式�,同時SBC還可以很好解決傳統(tǒng)IP錄音方案在分布式組網時存在的問題����,相信SBC將在企業(yè)IP通信系統(tǒng)建設中得到更為廣泛的應用。
作者供稿 CTI論壇編輯
相關鏈接: