Session Border Controller,即會(huì)話邊界控制器,現(xiàn)代企業(yè)中基于IP的語音、視頻、會(huì)議、融合通信等已廣泛應(yīng)用,通信全I(xiàn)P化更新迭代已是大勢(shì)所趨,但同時(shí)企業(yè)通信也面臨著新挑戰(zhàn),比如系統(tǒng)安全、網(wǎng)絡(luò)攻擊防御、跨網(wǎng)NAT穿越、Qos、SIP報(bào)文兼容問題等等。
因此SBC已經(jīng)逐漸成為NGN和IMS網(wǎng)絡(luò)的標(biāo)準(zhǔn)配置產(chǎn)品,在組網(wǎng)中部署SBC必不可少,可以有效解決NGN業(yè)務(wù)部署中遇到的NAT/FW穿越、安全、互通、QoS等問題,SBC在VoIP中扮演著非常重要的角色,可以實(shí)現(xiàn)對(duì)VoIP業(yè)務(wù)安全統(tǒng)籌管理,提供有質(zhì)量保障的VoIP服務(wù)以及穩(wěn)定可靠的通信保障。
SBC能做什么?
網(wǎng)絡(luò)環(huán)境復(fù)雜,核心服務(wù)器直接暴露公網(wǎng)存在極大安全隱患,因此需要在企業(yè)服務(wù)器前端部署一套SBC作為核心服務(wù)器的防火墻,SBC在VoIP業(yè)務(wù)組網(wǎng)中可以提供有很多復(fù)雜業(yè)務(wù)功能,主要以SIP相關(guān)處理以及安全防御兩大塊為主。
組網(wǎng)拓?fù)洌?/strong>
功能特性:
SBC有哪些安全保障策略?
SBC作為會(huì)話邊界控制器,重要特性是SIP防火墻,對(duì)企業(yè)通信業(yè)務(wù)提供安全保障,包括核心服務(wù)器內(nèi)網(wǎng)拓?fù)潆[藏,防網(wǎng)絡(luò)攻擊,加密通信,畸形報(bào)文檢測(cè),流量監(jiān)控等。具體安全性策略如下:
系統(tǒng)安全防御(DOS/DDOS攻擊防御)
- ICMP-Flood攻擊防御,可以設(shè)置每秒ICMP報(bào)文的閥值,超過閥值將會(huì)丟棄;
- TCP-Flood 攻擊防御,可以設(shè)置每秒ICMP報(bào)文的閥值,超過閥值將會(huì)丟棄;
- TCP-NULL攻擊防御,檢測(cè)到TCP不包含任何標(biāo)志位的數(shù)據(jù)包直接丟棄;
- TCP XMAS TREE 攻擊防御,檢測(cè)到XMAS標(biāo)志的數(shù)據(jù)包直接丟棄;
IP攻擊防御
(1)可以對(duì)來源IP或本地端口的數(shù)據(jù)流量以及結(jié)合設(shè)備CPU使用情況設(shè)置攻擊閥值,超過閥值后自動(dòng)限流或丟棄報(bào)文,并記錄日志。
SIP攻擊防御
- SIP注冊(cè)流控,實(shí)時(shí)監(jiān)控IP和SIP賬戶發(fā)起的注冊(cè)頻率,并可自定義閥值,匹配條件攔截、拉黑、限流等操作;
- SIP呼叫流控,實(shí)時(shí)監(jiān)控來源IP和SIP賬戶的呼叫CPAS值,并可自定義閥值,匹配條件攔截、拉黑等操作;
SIP規(guī)范檢測(cè)
- VoIP網(wǎng)絡(luò)環(huán)境復(fù)雜,接入的終端設(shè)備來自于不同廠家,不同的私有協(xié)議標(biāo)準(zhǔn),導(dǎo)致業(yè)務(wù)互通兼容問題,例如SIP信令方法不一致、SIP消息過大、SIP特殊字段等等,通過SBC的B2BUA原理可以對(duì)不太規(guī)范的SIP報(bào)文進(jìn)行規(guī)范化處理,確保可以和其他的通信設(shè)備互相交換,提高業(yè)務(wù)組網(wǎng)的兼容性。
- 呼叫中也可能因?yàn)榫W(wǎng)絡(luò)原因存在一些異常的SIP報(bào)文,SBC自動(dòng)檢測(cè)到畸形報(bào)文則直接丟棄,不會(huì)轉(zhuǎn)發(fā)給核心服務(wù)器。
TLS/SRTP加密
- 支持TLS信令加密,公共網(wǎng)絡(luò)環(huán)境復(fù)雜,啟用TLS加密可以防止呼叫信令被封殺攔截;
- 同時(shí)也支持SRTP語音加密,防止通話語音被攔截或非法監(jiān)控,為語音通信安全提供保障;
訪問控制
(1)SBC可以針對(duì)每個(gè)網(wǎng)口設(shè)置web訪問、SSH訪問、ping包響應(yīng)等權(quán)限,極大提高了設(shè)備安全性。
流量限制
(1)可以對(duì)SIP中繼做流量限制,合理分配帶寬,充分利用資源,可以根據(jù)業(yè)務(wù)部門的優(yōu)先級(jí)進(jìn)行帶寬控制,優(yōu)先保證重要部門的通話暢通;
黑白名單
(1)可以根據(jù)業(yè)務(wù)需求設(shè)置主被叫號(hào)碼黑白名單,可限制一些非法呼叫;
IP/域名認(rèn)證
在IP中繼里可以設(shè)置對(duì)來源SIP呼叫和注冊(cè)消息進(jìn)行IP和域名認(rèn)證,防止設(shè)備被盜打或非法攻擊等。
拓?fù)潆[藏
通過SBC來實(shí)現(xiàn)內(nèi)外網(wǎng)拓?fù)涓綦x,SBC作為內(nèi)外網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)節(jié)點(diǎn),完全隔離核心拓?fù)浣M網(wǎng)并隱藏SIP信令中的敏感信息,極大保證核心服務(wù)器的安全。
冗余備份
- 支持SIP路由冗余—SIP路由失敗二次選路;
- SIP中繼負(fù)載均衡—可根據(jù)業(yè)務(wù)情況設(shè)置負(fù)載量;
- 電源冗余---電源熱備,高可靠;
雙機(jī)熱備
主機(jī)設(shè)備會(huì)實(shí)時(shí)備份數(shù)據(jù)到備機(jī),做到雙機(jī)數(shù)據(jù)同步,通過心跳檢測(cè)、BFD檢測(cè)、網(wǎng)口檢測(cè)以及檢測(cè)服務(wù)狀態(tài)來切換設(shè)備,毫秒級(jí)切換,客戶無感知,業(yè)務(wù)不中斷。
