聯訊億科通達SBC安全策略，給證券企業通信加道防火墻

聯訊億科通達SBC安全策略，給證券企業通信加道防火墻

為什么需要SBC？

Session Border Controller，即會話邊界控制器，現代企業中基于IP的語音、視頻、會議、融合通信等已廣泛應用，通信全IP化更新迭代已是大勢所趨，但同時企業通信也面臨著新挑戰，比如系統安全、網絡攻擊防御、跨網NAT穿越、Qos、SIP報文兼容問題等等。

因此SBC已經逐漸成為NGN和IMS網絡的標準配置產品，在組網中部署SBC必不可少，可以有效解決NGN業務部署中遇到的NAT/FW穿越、安全、互通、QoS等問題，SBC在VoIP中扮演著非常重要的角色，可以實現對VoIP業務安全統籌管理，提供有質量保障的VoIP服務以及穩定可靠的通信保障。

SBC能做什么？

網絡環境復雜，核心服務器直接暴露公網存在極大安全隱患，因此需要在企業服務器前端部署一套SBC作為核心服務器的防火墻，SBC在VoIP業務組網中可以提供有很多復雜業務功能，主要以SIP相關處理以及安全防御兩大塊為主。

組網拓撲：

功能特性：

SBC有哪些安全保障策略？

SBC作為會話邊界控制器，重要特性是SIP防火墻，對企業通信業務提供安全保障，包括核心服務器內網拓撲隱藏，防網絡攻擊，加密通信，畸形報文檢測，流量監控等。具體安全性策略如下：

1.系統安全防御（DOS/DDOS攻擊防御）

（1） ICMP-Flood攻擊防御

（2）TCP-Flood攻擊防御

（3）TCP-NULL攻擊防御

（4） TCP XMAS TREE攻擊防御

2.IP攻擊防御

根據來源IP和本地端口的數據流量以及結合設備負載使用情況設置閥值，超過閥值后自動限流或丟棄報文，并記錄日志。

3.SIP攻擊防御

（1）SIP注冊流控，實時監控注冊頻率，并可自定義閥值，攔截、拉黑、限流等操作；

（2）SIP呼叫流控，實時監控呼叫并發，并可自定義閥值，匹配條件攔截、拉黑等操作；

4.SIP規范檢測

（1） VoIP網絡環境復雜，不同廠家的接入終端可能存在不同的私有SIP字段，導致業務不兼容，通過SBC可以對不太規范的SIP報文進行規范化處理，確?？梢院推渌耐ㄐ旁O備互相交換，提高業務組網的兼容性。

（2） 呼叫中也可能因為網絡原因存在一些異常的SIP報文，SBC自動檢測到畸形報文則直接丟棄，不會轉發給核心服務器。

5.TLS/SRTP加密

支持TLS和SRTP語音加密，公共網絡環境復雜，啟用TLS加密可以防止呼叫信令被封殺攔截，防止通話被攔截或非法監控，為語音通信安全提供保障；

6.訪問控制

SBC可以針對每個網口設置web訪問、SSH訪問、ping包響應等權限，極大提高了設備安全性。

7.流量限制

可以根據業務部門的優先級進行帶寬控制，合理分配帶寬，充分利用資源，優先保證重要部門的通話暢通；

8.黑白名單

可以根據業務需求設置主被叫號碼黑白名單，可限制一些非法呼叫；

9.IP/域名認證

在IP中繼里可以設置對來源SIP呼叫和注冊消息進行IP和域名認證，防止設備被盜打或非法攻擊等。

10.拓撲隱藏

通過SBC來實現內外網拓撲隔離，SBC作為內外網數據轉發節點，完全隔離核心拓撲組網并隱藏SIP信令中的敏感信息，極大保證核心服務器的安全。

11.冗余備份

（1）支持SIP路由冗余路；

（2）SIP中繼負載均衡；

（3）電源冗余；

12.雙機熱備

主機設備會實時備份數據到備機，做到雙機數據同步，通過心跳檢測、BFD檢測、網口檢測以及檢測服務狀態來切換設備，毫秒級切換，客戶無感知，業務不中斷。

聯訊億科通達SBC部分功能特點：

1.標準SIP協議和靈活的路由規則，完美兼容IMS系統

2.提供VoIP防火墻，安全防攻擊，保護核心網

3.支持智能帶寬限制和動態黑名單

4.支持跨網、NAT穿越，適應多種組網環境

5.支持SIP over TLS，SRTP加密會話，安全可靠

6.DOS/DDOS攻擊防御

7.基于策略的IP和SIP防攻擊

8.畸形報文檢測與處理

9.UDP-Flood 攻擊防御

10.TCP-Flood 攻擊防御

11.TLS&SRTP加密會話

12.主被叫號碼黑白名單

13.VoIP防火墻

14.多種編碼標準: G.711A/U,G.723.1,G.729A/B, iLBC，AMR， OPUS

 更對針對性方案及產品，詳詢聯訊億科（山東)信息技術有限公司！