杜松之家 » 网络安全及相关技术专区 » Juniper NetScreen 的 VoIP

查看完整版本: Juniper NetScreen 的 VoIP

不行了吗 2007-12-21 00:11

Juniper NetScreen 的 VoIP

[size=3]Juniper NetScreen 防火墙从Screen OS 5.1 版之后增强了对VoIP的支持。Screen OS 的[i][font=宋体][size=10.5pt]IP [/size][/font][/i][font=宋体][size=10.5pt]语音协议所支持的 [/size][/font][font=宋体][size=10.5pt]VoIP[/size][/font][font=宋体][size=10.5pt]“应用层网关”[/size][/font][font=宋体][size=10.5pt](ALG)[/size][/font][font=宋体][size=10.5pt]包含[/size][/font][font=宋体][size=10.5pt]:[/size][/font][/size] [align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]H.323 [/size][/font][font=宋体][size=10.5pt]应用层网关[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]利用 [/size][/font][font=宋体][size=10.5pt]H.323[/size][/font][font=宋体][size=10.5pt]“应用层网关”[/size][/font][font=宋体][size=10.5pt](ALG) [/size][/font][font=宋体][size=10.5pt]可使您保证终端主机 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]如 [/size][/font][font=宋体][size=10.5pt]IP [/size][/font][font=宋体][size=10.5pt]电话和多媒体设备[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]间的 [/size][/font][font=宋体][size=10.5pt]IP [/size][/font][font=宋体][size=10.5pt]语音通信 [/size][/font][font=宋体][size=10.5pt](VoIP) [/size][/font][font=宋体][size=10.5pt]安全。在该电话系统中，关守设备管理呼叫注册、许可和[/size][/font][font=宋体][size=10.5pt]VoIP [/size][/font][font=宋体][size=10.5pt]呼叫的呼叫状态。关守设备可驻留在两个不同的区段，或驻留在同一区段中。[/size][/font][/size][/align][/align][align=left][align=left][font=宋体][size=10.5pt][size=3] [/size][/size][/font][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][font=宋体][size=10.5pt][size=3]会话启动协议应用层网关 [/size][/size][/font][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]“会话启动协议”[/size][/font][font=宋体][size=10.5pt](SIP) [/size][/font][font=宋体][size=10.5pt]是一种“互联网工程工作小组”[/size][/font][font=宋体][size=10.5pt](IETF) [/size][/font][font=宋体][size=10.5pt]标准协议，用于在互联网上启动、修改和终止多媒体会话。这种会话可能包括会议、电话或多媒体，在网络环境中具有诸如即时消息和应用程序级灵活性等功能。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]Juniper Networks [/size][/font][font=宋体][size=10.5pt]安全设备支持将 [/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]作为服务并可以筛选 [/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]信息流，根据所配置的策略允许并拒绝信息流。[/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]是 [/size][/font][font=宋体][size=10.5pt]ScreenOS [/size][/font][font=宋体][size=10.5pt]中的预定义服务，使用端口 [/size][/font][font=宋体][size=10.5pt]5060[/size][/font][font=宋体][size=10.5pt]作为目标端口。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]实际上，[/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]用于分配会话说明，在会话期间用于协商和修改会话参数。[/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]还用于终止多媒体会话。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]用户可将会话说明包括在 [/size][/font][font=宋体][size=10.5pt]INVITE [/size][/font][font=宋体][size=10.5pt]或 [/size][/font][font=宋体][size=10.5pt]ACK [/size][/font][font=宋体][size=10.5pt]请求中。会话说明指出会话的多媒体类型，例如语音或视频。[/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]可使用不同的说明协议来说明会话，[/size][/font][font=宋体][size=10.5pt]NetScreen [/size][/font][font=宋体][size=10.5pt]仅支持“会话说明协议”[/size][/font][font=宋体][size=10.5pt](SDP)[/size][/font][font=宋体][size=10.5pt]。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]SDP [/size][/font][font=宋体][size=10.5pt]提供系统可以使用的信息，以便与多媒体会话结合。[/size][/font][font=宋体][size=10.5pt]SDP [/size][/font][font=宋体][size=10.5pt]可能包括如 [/size][/font][font=宋体][size=10.5pt]IP [/size][/font][font=宋体][size=10.5pt]地址、端口号、时间和日期等信息。请注意，[/size][/font][font=宋体][size=10.5pt]SDP [/size][/font][font=宋体][size=10.5pt]报头中的 [/size][/font][font=宋体][size=10.5pt]IP [/size][/font][font=宋体][size=10.5pt]地址和端口号 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]分别为 [/size][/font][font=宋体][size=10.5pt]"c=" [/size][/font][font=宋体][size=10.5pt]和 [/size][/font][font=宋体][size=10.5pt]"m=" [/size][/font][font=宋体][size=10.5pt]字段[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]是客户端希望接收媒体流的地址和端口，而不是发出 [/size][/font][font=宋体][size=10.5pt]SIP[/size][/font][font=宋体][size=10.5pt]请求的 [/size][/font][font=宋体][size=10.5pt]IP [/size][/font][font=宋体][size=10.5pt]地址和端口号 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]尽管它们可能是相同的[/size][/font][font=宋体][size=10.5pt])[/size][/font][font=宋体][size=10.5pt]。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]消息由从客户端到服务器的请求和对从服务器到客户端的请求的响应组成，目的是建立会话 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]或呼叫[/size][/font][font=宋体][size=10.5pt])[/size][/font][font=宋体][size=10.5pt]。“用户代理”[/size][/font][font=宋体][size=10.5pt](UA) [/size][/font][font=宋体][size=10.5pt]是运行在呼叫端点的应用程序，由下列两部分组成[/size][/font][font=宋体][size=10.5pt]: [/size][/font][font=宋体][size=10.5pt]代表用户发送 [/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]请求的“用户代理客户端”[/size][/font][font=宋体][size=10.5pt](UAC) [/size][/font][font=宋体][size=10.5pt]及接听响应并在响应到达时通知用户的“用户代理服务器”[/size][/font][font=宋体][size=10.5pt](UAS)[/size][/font][font=宋体][size=10.5pt]。[/size][/font][font=宋体][size=10.5pt]UAS [/size][/font][font=宋体][size=10.5pt]的范例为 [/size][/font][font=宋体][size=10.5pt]SIP [/size][/font][font=宋体][size=10.5pt]代理服务器和电话。[/size][/font][/size][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt][/size][/font][/size] [/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][font=宋体][size=10.5pt][size=3]媒体网关控制协议应用层网关[/size][/size][/font][/align][/align][align=left][align=left][size=3][font=宋体][size=10.5pt]安全设备在路由模式、透明模式和网络地址转换 [/size][/font][font=宋体][size=10.5pt](NAT) [/size][/font][font=宋体][size=10.5pt]模式下支持“媒体网关控制协议”[/size][/font][font=宋体][size=10.5pt](MGCP)[/size][/font][font=宋体][size=10.5pt]。[/size][/font][font=宋体][size=10.5pt]MGCP [/size][/font][font=宋体][size=10.5pt]是基于文本的“应用层”协议，用于呼叫设置和控制。该协议基于主[font=宋体][size=10.5pt]/ [/size][/font][font=宋体][size=10.5pt]从设备呼叫控制体系结构[/size][/font][font=宋体][size=10.5pt]: [/size][/font][font=宋体][size=10.5pt]媒体网关控制器 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]呼叫代理[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]维护呼叫控制信息，而媒体网关则执行来自该呼叫代理的指令。[/size][/font][/size][/font][/size][size=3][b]
[/b][/size][/align][/align][size=3][b][font=宋体][size=10.5pt] MGCP [/size][/font][/b][b][font=宋体][size=10.5pt]安全性[/size][/font][/b][/size]

[align=left][align=left][size=3][font=宋体][size=10.5pt]MGCP ALG [/size][/font][font=宋体][size=10.5pt]包括以下安全功能[/size][/font][font=宋体][size=10.5pt]:[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]“拒绝服务”[/size][/font][font=宋体][size=10.5pt](DoS) [/size][/font][font=宋体][size=10.5pt]攻击保护 [/size][/font][font=宋体][size=10.5pt]- ALG [/size][/font][font=宋体][size=10.5pt]分别在 [/size][/font][font=宋体][size=10.5pt]UDP [/size][/font][font=宋体][size=10.5pt]封包级、事务级和呼叫级执行状态式检查。将处理匹配 [/size][/font][font=宋体][size=10.5pt]RFC3435 [/size][/font][font=宋体][size=10.5pt]消息格式、事务状态和呼叫状态的 [/size][/font][font=宋体][size=10.5pt]MGCP[/size][/font][font=宋体][size=10.5pt]封包。所有其它消息均被丢弃。[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]网关和网关控制器 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]信号发送策略[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]间的防火墙策略实施。[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]网关 [/size][/font][font=宋体][size=10.5pt]( [/size][/font][font=宋体][size=10.5pt]媒体策略[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]间的防火墙策略实施。[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]每个网关的 [/size][/font][font=宋体][size=10.5pt]MGCP [/size][/font][font=宋体][size=10.5pt]消息泛滥控制。任何出现故障或被黑客攻击的网关将不会中断整个 [/size][/font][font=宋体][size=10.5pt]VoIP [/size][/font][font=宋体][size=10.5pt]网络。结合每个网关的泛滥控制，将损害控制在受影响的网关内。[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]每个网关的 [/size][/font][font=宋体][size=10.5pt]MGCP [/size][/font][font=宋体][size=10.5pt]连接泛滥控制。[/size][/font][/size][/align][/align][align=left][align=left][font=Wingdings][size=10.5pt][size=3]l[/size]
[/size][/font][size=3][font=宋体][size=10.5pt]顺利切换[/size][/font][font=宋体][size=10.5pt]/[/size][/font][font=宋体][size=10.5pt]故障切换 [/size][/font][font=宋体][size=10.5pt]([/size][/font][font=宋体][size=10.5pt]如果在系统发生故障时将呼叫 [/size][/font][font=宋体][size=10.5pt]([/size][/font][font=宋体][size=10.5pt]包括进行中的呼叫[/size][/font][font=宋体][size=10.5pt]) [/size][/font][font=宋体][size=10.5pt]切换到备用防火墙[/size][/font][font=宋体][size=10.5pt])[/size][/font][font=宋体][size=10.5pt]。[/size][/font][/size][/align][/align][align=left][align=left][size=3]
[/size] [/align][/align]

页: [1]

查看完整版本: Juniper NetScreen 的 VoIP