一旦企業(yè)用戶對VoIP通信經過測試，證明能正常工作，那么余下的工作便是解決安全性問題。VoIP通信要完全做到像其他數據應用一樣安全，需要進行適當的配置，并跟網絡中其它服務器和應用一樣，對其進行精心管理。
　　保障VoIP安全不僅僅是單方面的，而是一系列典型處理進程的集合，它涵蓋了網絡中相關的服務器、各類應用以及語音本身。而且，在選擇防火墻、入侵檢測系統（IDS）和其它安全工具時也同樣需要謹慎從事。
　　防火墻選取至關重要
　　保障VoIP數據在防火墻中的安全是一項相當繁雜的工作。VoIP會話采用的協議為H.323或SIP（會話初始協議），防火墻在整個VoIP通信配置中必須能處理這類相當復雜的實時通信協議。H.323與SIP具有單獨的控制和媒體傳輸連接方式，典型地是選擇在一個IP端口建立呼叫連接，而隨機選取另一個大數額端口（通常在1024端口以上）作為數據通信連接。因而不能簡單地將防火墻配置為對特定端口開放或禁止，因為防火墻無法識別哪個端口將被用于通信連接。這就需要一類能充分識別此類協議的防火墻，當會話啟動并通過控制域中的認證后，適時打開數據連接通道，并在會話結束時即時關閉連接。
　　另外，防火墻還須保證在不影響語音流傳輸性能的前提下，進行完整的數據包檢測。據ITU的建議，在端到端通信中語音流應不超過100毫秒延遲，因為語音包比普通數據包要小得多，每秒傳輸的包數量相應地要大得多（每次語音流中每秒約傳輸50個數據包，幾乎是一次數據流的兩倍），語音通信處理會明顯降低防火墻性能。雖然軟件防火墻能很好地處理數據通信，但要應付每秒50個數據包的呼叫請求——幾乎是它能監(jiān)測數據包的極限，因此很多軟件防火墻根本就吃不消。相對而言，專用硬件防火墻在這方面就在行得多。
　　與防火墻配套使用的VPN設備的處理能力也值得關注。當語音流中每秒數據包達20個左右時，一些低端VPN加密機就難以應付了，數據包超過一定限度甚至有可能造成加密機癱瘓。有的防火墻不具備硬件加速器，只有軟件方案，與VPN設備聯合使用就更難適應語音通信要求了，因為抖動太厲害。而且，只要防火墻處理器繁忙，必然造成語音包丟失。
　　還有一個問題是，它不能將來自遠程站點的呼叫轉接到另一遠程站點，因為防火墻不準許語音包通過同一端口進入和輸出。要徹底解決這一問題，只有解除路由器中建立的IPSec隧道，由于路由器具備硬件加速器，且能進行站點間路由轉發(fā)，因而能高效實現語音通信。
　　服務器安全保障不可少
　　VoIP服務器配置需要特別留意，大多數IP PBX操作系統都附帶其他服務功能，這有可能引發(fā)安全性問題。Avaya認為，服務器應專注于語音處理。Avaya開發(fā)的MultiVantage IP PBX采用Linux系統，其中既無Web瀏覽器，也無郵件系統和守護進程（daemon，用于郵件收發(fā)的后臺程序）。這也就是說，應盡量減少一般服務器具備的網絡服務工具。這種對操作系統的“瘦身” 加固配置，有利于保護平臺免受病毒和蠕蟲侵害。一些IP電話核心服務器簡單配置Windows NT操作系統后，就容易遭到Nimda這類病毒攻擊。據Nortel稱，他們采用的平臺基于嵌入式NT（本身進行了漏洞修補）設計，并經過嚴格測試，去除了不必要的服務，因而IP電話平臺從未遭受過攻擊。
　　另一成功應用案例是Cisco，此前他們采用基于NT的CallManager VoIP服務器，結果遭受到Nimda病毒攻擊。Cisco隨后對系統進行了修補，對平臺進行加固處理，保障了VoIP的安全。Cisco還計劃在年底前推出非NT平臺，盡管用戶對其弱點情況和補丁管理抱有疑慮，但他們堅信，VoIP服務器面臨的安全風險不會比其他網絡設備大。
　　很多用戶因為安全原因而不愿意使用基于Windows系統的IP PBX。人們一旦談及關鍵應用，首先想到的是：平臺是否容易受到病毒或黑客攻擊——Windows系統不是受攻擊的最大目標嗎？操作系統選取是一個方面，但重要的是系統穩(wěn)定，不需要太多附加安全工具進行保護�；�于此，很多公司都將Linux/Unix作為VoIP通信平臺。
　　還有就是需要采取必要預防措施，不讓語音服務器暴露于Internet。語音服務器應采用專用IP，語音通信只在經VPN加密的安全LAN中傳輸，而不是將VoIP暴露于Internet。為實現這一點，企業(yè)用戶一般是從單一通信服務商購買語音線路，以方便基于LAN處理通信。
　　與防火墻技術關系緊密的IDS也是保障VoIP通信安全的重要一環(huán)。一些專注于語音應用的IDS能提供更多的VoIP服務器保護，但目前這類設備配置還很少。而且IDS存在一個致命弱點，它容易引發(fā)錯誤告警，從而影響到功能發(fā)揮，尤其是在語音通信環(huán)境。這就需要設置大量規(guī)則，以處理數量巨大的語音包，否則系統面對的將是無止境的“主動性”錯誤告警。Cisco聲稱已獲得解決這類問題的專門技術，一是依據檢測情況的自動告警功能（旗下Psionic公司開發(fā)），一是Okena公司開發(fā)的入侵預防和檢測系統（IPS）。
　　防止竊聽進行線路加密
　　VoIP應用中另一個值得關注的安全問題是防止黑客竊聽語音呼叫或竊取語音服務。防止竊聽的一種方法是對呼叫進行加密，這對現行VPN技術來說已易于實現（撇開互操作問題）。但首先得保證VoIP終端設備具備足夠的處理資源以支撐VPN客戶端，而很多IP電話根本就不具備這個能力。此種情形下，用戶就只能在工作站或電腦中實現VPN客戶端，將電話連接到PC。這種配置方式未嘗不可，但要保證電腦不會與VoIP呼叫產生沖突。例如，如果運行Windows XP系統，將不會遇到什么問題，但若是Win98就有麻煩了；連接線路方面，若采用256K DSL接入，支持語音通信綽綽有余，但要同時運行Outlook這類客戶端郵件軟件，系統可能就吃不消了。
　　另外就是，沒有必要對LAN中VoIP通信進行全面加密。典型的例子是，現今蜂窩電話已相當普及，要進行竊聽會比VoIP通信流容易得多，應該承認不是每類通話都需要保密�？傊�，VoIP應用中，加密實現相對于其它問題要簡單些。

賽迪網 中國信息化(industry.ccidnet.com)