Avaya SIP边界控制器企业版提供了全面的安全保护,让企业能通过任意网络,简单方便、游刃有余的把IP语音通信和统一通信部署到任意设备上。这个即插即用的综合安全平台让用户能在客户设施上安全终止会话发起协议中继,针对话费欺诈、入侵、无授权访问和窃听等实现业界最先进保障。
它是一种采用多核、片上加密加速基础架构的实时的专用设备。 所有媒体处理、包括负载、攻击条件下的加密媒体都可以在不到50微秒内执行完毕。 它支持1+1高可用性部署和跨多站点的群集,可确保扩展能力、地理冗余性和实时呼叫保留故障切换。 所有此类设备都由Avaya网元管理系统(EMS)集中管理。
企业能够利用高性价比的SIP中继实现PSTN连接,执行灵活的最低成本路由,并提供先进的端点安全功能。主要的安全特性包括:
Avaya SIP边界控制器企业版是一种高度专业化的UC安全产品。能够高效保护所有基于IP的实时多媒体应用、终端和网络基础设施,使其免于各种潜在的灾难性攻击和滥用。 最重要的是,它赋予企业以强大的实时灵活性,让企业能协调和规范各种类型的企业通信流量,以保持最高水准的网络效率和安全性。 凭借独特设计,它能实现不断变化和扩展的UC市场所不可或缺的必要安全功能。
这一解决方案面向已经部署了统一通信产品的有线和无线企业或服务提供商。为用户提供完整保护,使他们免于随时随地发生的各种恶意攻击。 尽管核心UC资产及相关的基础设施能通过各种现有技术获得一定程度的直接攻击防护,但其中任何一种技术在与日俱增的、针对UC及相关IP通信应用中固有的大量漏洞所进行的复杂攻击的面前都束手无策。 与之相比,ASBCE是高效、无缝的把全部现存方法融入单个综合性系统的唯一一种UC专业安全解决方案。
Avaya会话边界控制器高级企业版提供了一套全方位的安全解决方案,能完整保护基于会话的实时IP通信应用,例如统一通信、即时消息、视频和多媒体等,以高效阻止未经授权的人员使用UC网络设施资产,保护实时多媒体用户的私密性。 此外,Avaya SBCE还能保护包括所有终端在内的整个网络设施,使其免于各种不同的UC专门DoS信令与媒体攻击,从简单、暴力的溢出与捕获攻击到更为复杂的僵尸、欺骗、以及用户驱动型的恶意分布式、隐身式、混合式、零日攻击和SPAM攻击无不涵盖在内。 最终,Avaya SBCE能够为所有基于SIP的UC网络提供这一无与伦比的强有力保护。
Avaya SIP边界控制器企业版融合了数据安全性各个阶段的最佳实践,确保新的UC威胁能够即时得到识别、检测和消除。 除了动态学习实时多媒体用户行为的各个方面这一独特能力之外,它还能以富于想象力的巧妙方法处理不同的UC协议滥用和语音SPAM攻击。 它采用了一整套专用于UC的安全技术,包括UC协议异常检测与过滤和基于行为学习的异常检测。 这些技术相互结合,使它能监视和检测任意UC网络,保护其免于任何已知的安全漏洞。
为了支持SIP中继环境,Avaya SIP边界控制器企业版提供了下列功能:
SIP中继功能允许使用了SIP中继的企业利用通过ITSP获得的SIP中继服务,全面保障互联网SIP连接的安全。 SIP中继让穿越企业网络的所有呼叫都能确保其私密性,同时在核心网络(企业)和接入网络(服务提供商)之间保持一个定义良好的分界点。 另外,SIP中继功能还允许企业通过定义良好的域策略维持精细控制,保护企业SIP实施和服务器免遭已知的SIP与媒体漏洞攻击。
由于解决方案作为可信任主机部署在企业DMZ中,以企业网络为目的地的所有SIP信令流都由外部防火墙接收和传递。 如果信令流是加密的,在把数据包经由内部防火墙转发给企业核心的恰当IP语音通信服务器、以便建立对方请求的呼叫会话之前,Avaya SIP边界控制器企业版要对所有TLS加密流进行解密,并搜索反常行为。
一旦建立了有效的呼叫会话,实时传输协议或安全实时传输协议媒体数据包将被允许通过DMZ中的外部防火墙,由后者在把RTP/SRTP流传递给目标终端之前继续搜寻媒体中的异常行为。
媒体流定向(Media Anchoring)功能旨在优化接入网络的使用。 传统上,会话边界控制器应在呼叫从外部网络出发、经由接入网络、流向企业核心网络(如下图所示)的过程中处理呼叫。 然而,如果呼叫和被叫方都位于同一个专网里,则SBC能够释放媒体路径,让媒体流在主叫方和被叫方之间直接传递,不必穿越接入网络。 这不仅大大降低了带宽利用率,减少网络堵塞,还能显著减小接入网和核心网络基础设施面临的潜在安全威胁。 此外,这一媒体会话的持续过程中用户始终能保持对呼叫的控制。
媒体流定向
移动办公用户(Mobile Workspace User)功能提供了多种全面的UC安全特性,例如复杂防火墙/IP地址翻译的穿越与安全通道、加密、用户身份认证、以及会话与端点呼叫策略执行等。利用它们安全许可控制远程地点的SIP用户访问企业的内部UC网络。要启用这一功能,需要ASBCE的增强特性许可
为了能实现上述所有功能,企业需要部署两台ASBCE设备;一台部署在企业DMZ,另一台则设于网络核心的IP PBX“前端”,用于处理防火墙/地址翻译和支持安全通道,以尽可能减少防火墙在任何一个时间段内、为了支持正常网络活动所必须保持在开启状态的端口数量。
移动办公用户功能可以部署在SIP环境里,利用身份认证来验证远程用户的合法性,使用TLS加密/解密SIP信令流。 一旦解密过程完成,ASBCE将分析信息流,搜寻异常行为、攻击和入侵,并应用由用户自定义的统一通信策略。 然后,数据包通过安全通道转发到第二台ASBCE,以建立用户请求的呼叫会话。
如果呼叫来自远程地点的移动办公用户(位于企业网络外部),并拨至内部用户(位于核心企业网络内部),企业DMZ里的ASBCE还能解密从外部IP网络(互联网)进入企业网络的SRTP媒体,执行用户请求的任何网络地址转换,分析流量以寻找异常行为,然后运用相关的UC媒体策略。 接下来,它把RTP媒体发送给核心ASBCE,然后再把RTP流传送到目标接收方。
媒体和信令的高可用性保证了不管出现任何软硬件故障问题,ASBCE安全功能都能持续生效。 在企业DMZ或核心,两个设备部署为一个逻辑上的高可用性对,其中一个设备设为主动模式,另一个则以热备用备份模式工作。 HA对可以分散在不同地点,每个设备部署于一个独立设施内。
ASBCE高可用对能以并行模式配置部署在企业环境内,此时,信令包只路由到主动服务器,由后者执行所有数据处理任务。 备用服务器的连接端口不负责处理任何流量。 两个ASBCE设备上的管理接口采用不同的IP地址,但信令/媒体接口的IP地址则相同。 ASBCE设备对通过专用接口上的心跳保持同步,并且都和网元管理系统(EMS)持续通信。
一旦网元管理系统检测到主动SBC出现故障,它的网络端口会被自动禁用,备用系统上的相应端口则被打开。 然后,备用系统广播其MAC,将其为通用信令及媒体IP地址的二层地址,并接管数据处理工作。 故障检测和操作转移既不会导致数据包丢失,也不会显著增加数据路径的延迟。 接下来,网关管理系统会报告状态变化,以便系统管理员能采取任何必要措施。
高可用性配置共有两种:在标准配置里,主用和备用设备位于同一个区域内;地理分散型的高可用性配置下,主动设备和备用设备则分别部署在不同的地点。
传统的入侵防护系统通常会监视网络流量,收集和分析来自网络各个不同部分的信息,找出可能的安全缺口,随后设法预防或缓和问题;ASBCE则与之不同。独特的设计使其不仅能检测任何异常事件,包括未知攻击,还能预防几乎所有类型的入侵(来自企业外部的攻击)和滥用(来自企业内部的攻击), 从而让网络安全管理员在建立统一通信规则时能获得无与伦比的灵活性和精细调整支持。
IPS安全特性所提供的功能包括:
IP网络三层/四层安全特性包含了IP防火墙端口规则,可用于限制入站流量(在数据流量的内容过滤流程之后生效),以保护Avaya SBCE自身免遭IP/ICMP/TCP级攻击。 需要注意的是,出站流量不受限制。
三层/四层溢出与端口扫描防范包括了:
为了保证所有实时IP应用、而不仅仅是统一通信应用的完整性,ASBCE能全面执行维持最高水准通信网络安全性、可靠性和可用性所至关重要、不可或缺的三大功能:监控、检测和保护。
- 作为这些功能的补充,它还能“学习”和运用动态信任指数,从一个未知指数开始,根据呼叫方的行为模式(信任、已知、未知、可疑或“Spammer”)和被叫方的反。ò酌?ズ秃诿?ィ┙?涮岣呋蚪档偷讲煌?募侗,以进一步增强检测异常行为的即时性。
- 检测功能还能从网络内部的不同节点与终端收集和关联多个事件和活动,以准确检测攻击行为,这些行为如果仅由网络中的单个节点报告,则很有可能被用户忽略。 它也能执行一种基于已知主叫方指纹的独特检测技术,验证可疑的恶意呼叫或攻击行为的来源。
- ASBCE不但能持续学习呼叫模式,还能根据用户自定义的具体标准,不断分析原始事件数据并自动采取行动,因而能够独立发展和适应,高效应对任何新生或现有的威胁
- 通过这种方式,所有IP通信设备(包括硬件电话、软件电话、IP无线(WiFi)电话和智能手机)、呼叫服务器、语音邮件服务器、媒体服务器、媒体网关和应用服务器都可得到保护,从而高效保障整个网络免于所有类型的攻击。
在配置了ASBCE增强版功能特性许可后,ASBCE还具有下述功能: