简单四步 将网络电话安全攻击拒之门外

　　最近我听说了很多关于攻击局域网(LAN)的各种新形式，例如VoIP(Voice over IP,网络电话)攻击或者漏洞攻击(利用打印机作为攻击源)等。那么，要怎样提高局域网安全性来阻止这些攻击呢?

　　这些攻击形式正在不断增多，非常需要引起用户们的重视。事实上，SANS研究所最近已经将客户端攻击列为了当今互联网最重要的漏洞之一。可以说，要想完全彻底地杜绝此类攻击是不太可能的，不过你可以通过采取一些方法来尽量减轻攻击给你的企业造成的威胁。

　　首先应该采取的措施之一就是在你的局域网内(包含所有设备以及用户)实施一个认证策略。如果你希望使用的是像802.1 x认证技术之类的认证，恐怕不太现实，因为大部分电话、打印机、医疗设备、机器设备和其他设备将无法支持所要求的802.1xsupplicant.

　　此外，你还需要找到一种方法来确保每一个非用户设备接入网络的安全性，并且你要清楚这种设备的类型。使用一种认证方法来将那些特定的已知设备列入可信任名单，或者最好采用这样一种认证办法-----通过使用反向域名来联系设备的名称以及种类来帮助你自动辨识那些设备。

　　下一步，你需要把这些非用户设备分门别类，然后给不同类型的设备设置不同的接入权。例如，你可以给打印机指定一个类别，这个类别将适用于你的网络环境中的所有打印机和打印服务器。对于接入权限，你可以指明该打印机只能与打印服务器通信，并且所有的用户设备都只能与打印服务器通信。有了这种规定，你就可以避免用户设备与打印机的直接通信。

　　同样的在VoIP网络电话方面，你可以给网络电话指定一个类别，并且规定那些网络电话只能与话务管理人员通信。你甚至也可以超越这种专门针对应用程序的分区保护策略，例如，你可以指定网络电话只能与SIP、H.323或者SKINNY通信，来进一步减少基于数据的攻击。

　　这种分区和分门别类的方法在很大程度上可以帮助避免电话、打印机或者其他设备受到攻击。例如，一台已经经过安全分区处理并且安装了漏洞扫描软件的打印机，就将不能够接触你所有的接入端口的网络设备。并且网络电话也不能被用来实施对其他服务器或者最终用户电脑的攻击;有了应用程序保护方法，甚至无法攻击正在使用数据协议的电话管理人员。

　　在何种形式下你可以得到这样的局域网安全保障呢?你有很多选择。拥有超过802.1x认证技术以上的认证以及对用户和设备实施基于策略的接入控制的能力的新一代LAN交换机将可以这些技术方法直接内建在你的局域网络内。如果你还没有考虑进行交换机升级，可以考虑使用拥有验证用户身份以及设备的能力的安全设备，自动将设备分门别类，并且根据控制区和应用程序来进行基于策略的控制。

　　不管你选择的是一个接入交换机还是安全设备，关键问题在于保护策略是不是被正确的运用在局域网的用户端处。这些方法可以帮助减少那些基于客户端的攻击，否则，你根本找不到正确的手段来从源头处阻止攻击。