IP语音(VoIP)技术正在从汇聚广域网(WAN)服务向企业局域网(LAN)迅速扩展。根据位于美国新泽西州Boonton的市场研究公司Insight Research Corporation所提供的数字，单在美国，IP电话分机数量预计将由2004年的约1400万部增加到2008年的约4500万部，增长3倍以上。
    随着装机数量的增加，用户对安全问题的担心也在增加。企业力图采取谨慎措施，防止盗用长途电话服务CONTROL ENGINEERING China版权所有，并确保语音信箱等语音资源使用的私密性。
　　目前所采用的系统化保护IP网络安全的综合手段已经保护了大量核心业务应用，而且传统语音行业在保护单独的电路交换PBX系统(即专用分组交换机系统)方面也有很多经验。所以剩下的问题是：我们怎样才能最好地利用两种网络的优势来提供先进的IP通信语音服务，并做到像将要被取代的传统系统所提供的服务一样安全、甚至还要更安全？
　　识别风险因素
　　让我们先从识别对语音网络设备和服务构成威胁的因素开始www.cechina.cn，然后再讨论减少风险的方法。一些风险因素威胁到语音服务本身的可用性、质量以及语音交谈的私密性

，而另一些风险因素则把语音网络用作渗透数据网络的一种渠道，因为数据网络通常是对窃贼来说最有价值的所在。
　　在IP语音环境中，最常见的风险因素包括以下主要类别：
　　盗用服务或收费欺诈
　　擅自使用语音信箱等语音资源
　　以语音设备和基础设施为入口点来破坏数据网络
　　服务停止或拒绝服务(DoS)以及由此造成生产率损失
　　对呼叫私密性的侵犯(窃听行为)
　　以数据网络为例，通过对语音网络设备以多层的、深度防御的方式采用标准网络设计和最佳网络配置，就可以消除大多数风险因素。
　　在一个IP环境中，前两个风险因素是与在电路交换环境中同样的方式应对的。例如，要防止“黑客”拨打你的PBX网络，然后再退出到一个长途网络，通常只要不允许分机接通外线就可以了。
　　确保语音通信内容只能被主叫方所联系的人接收非常重要，这样外人就不知道谁在跟谁通信，也就不知道潜在的商业伙伴关系、并购信息、以及保密的研发信息等。
　　剩余的风险因素，即数据盗用(一种在语音帮助下的网络入侵行为)、拒绝服务、服务质量下降以及窃听等，与共用一个基础设施的语音和数据包紧密相关。针对这些剩余的风险因素的防护措施包括：
　　语音虚拟局域网(VLANs)或逻辑网络划分
　　根据地点和用途的不同，停用某些电话上的某些功能
　　采用应用层防火墙和“接入控制列表”(ACLs)
　　采用资源限制控制工程网版权所有，来控制DoS(拒绝服务)的进攻
　　媒介和链路加密
　　让我们来看看上面的每一种安全措施怎样发挥作用。
　　美国IP PBX电话分机装机数量(百万)
　　2004年(13.6) 2005年(19.4) 2006年*(26.6) 2007年*(36.3) 2008年*(45.2) (括号内为数量。资料来源：Insight Research Corporation，新泽西州Boonton  * 预测数字)
    通过划分网络来降低风险
　　通过向特定VLANs分配语音流来逻辑划分语音和数据流，是业界普遍接受的一种最好方法。专门的语音设备，应尽可能地限于专用语音VLANs。只有这样才能限制其只与其他语音资源进行通信。思科IP通信安全部高级系统营销经理Roger Farnsworth解释说，更为重要的是，这样可以将语音流与通用数据网络分开，因为在这种网络上语音流可能更容易被截获或动手脚。
　　Farnsworth解释说：“VLANs可帮助防止恶意设备接入到网络中。VLANs有特定会员标准，加入一个VLAN网络的设备必须满足该标准，才能使其身份通过验证。如果一个VLAN网络是专门为承载语音流而配置的，那么非电话设备肯定会被阻止。”
　　思科IP通信安全部技术营销工程师Greg Moore说，从DoS角度来看，将语音划分成独立的逻辑VLANswww.cechina.cn，可减少网络受到攻击的可能性。“黑客”往往编写攻击最流行的软件的病毒，而到目前为止最流行的软件一直是通用数据服务器操作系统。Moore指出：“像思科CallManager服务器这样的呼叫处理设备的职责范围比通用数据服务器的职责范围更有限，所以使语音在逻辑上保持分开，可减少语音受到这些入侵攻击的可能性。”顺便指出，语音VLANs在服务质量(QoS)方面还有很大的附加好处控制工程网版权所有，在一个交换机/路由器队列中，它们的优先级可以被排在数据VLANs前面，从而减少VoIP的延迟。
　　在建立VLANs时，Farnsworth建议不要使用默认的VLAN地址，这样VLAN