Cisco ASA 5500 系列统一通信部署
思科® 统一通信解决方案统一了固定网络和移动网络上的语音、视频、数据和移动应用，使用户能够随时
从任何工作空间轻松进行协作。
概述
思科统一通信产品可以帮助各种规模的企业简化操作、提高员工工作效率、优化通信，并提升客户服务。由于保护基
于统一通信的网络免受攻击对于保持业务连续性和完整性至关重要，因此思科将安全功能内置到其统一通信产品中，
并通过 Cisco ASA 5500 系列自适应安全设备增强这些产品。
Cisco ASA 5500 系列自适应安全设备是小型企业、分支机构、大企业和任务关键型数据中心环境的理想选择。这些多
功能的设备为统一通信提供市场领先的语音和视频安全服务，其中包括强大的防火墙、功能完备的 IP 安全 (IPsec) 和安
全套接字层 (SSL) VPN、入侵防御和内容安全功能。对于统一通信部署，这些平台可以保护 3 万部电话，并为一
系列统一通信协议提供应用检测，其中包括瘦客户端控制协议 (SCCP)、会话初始协议 (SIP)、H.323、媒体网关控制协
议 (MGCP)、计算机电话接口快速缓冲区编码 (CTIQBE)、实时传输协议 (RTP) 和实时传输控制协议 (RTCP)。
Cisco ASA 5500  系列统一通信部署
Cisco ASA 5500 系列自适应安全设备旨在保护实时统一通信应用，例如语音和视频。这些设备保护统一通信部署的
所有关键元素（网络基础设施、呼叫控制平台、IP 终端和统一通信应用）， 并且提供了可以补充统一通信系统内的
内嵌安全性的多项安全功能，从而提供了额外的保护层。这些功能包括：
• 访问控制：动态且精细的策略访问控制，可防止未经授权访问统一通信服务。
• 威胁防御：内置的威胁防御功能，使统一通信基础设施可以阻止攻击系统的企图。
• 网络安全策略实施：为应用和用户创建并管理有效的统一通信策略。
• 语音加密服务：思科传输层安全 (TLS) 代理可以在加密信令和媒体的同时帮助客户保持其安全策略。
• 统一通信的边界安全服务：除了 SSL 和 IPsec VPN 服务外，电话代理、移动代理和在线状态联盟安全服务使
企业可以将通信服务安全地扩展至远程用户、移动解决方案和企业到企业协作。
 访问控制
访问控制是一项基本的安全功能，它仅允许经过授权的用户访问系统内的资源和服务。在统一通信环境中，此控制通
常涉及向思科统一通信管理器和其他应用服务器提供网络层访问控制，作为抵御攻击的第一道防线。
通过限制对通信管理器服务器的访问，显著降低攻击者通过未经授权的网络通道探测系统漏洞或利用访问权限的风险。              

Cisco ASA 5500 系列自适应安全设备是语音和视频感知型设备，可以检测现代统一通信中使用的协议（SIP、SCCP、
H.323 和 MGCP），并将策略应用于这些协议。如果采用较旧的网络访问控制机制，例如访问控制列表 (ACL)，则无
法以大多数组织所需的精细程度和动态程度，来处理这些比较复杂的协议。
与传统的数据应用不同，统一通信协议通过动态协商如何在信令控制通道内交换端口信息来进行通信。诸如 ACL 等静
态访问控制机制无法跟踪将打开哪些端口，因此必须采取较弱的访问控制措施，这会限制实施有效访问策略的能力。
Cisco ASA 5500 系列自适应安全设备可以动态跟踪应打开的授权连接，然后在会话结束时立即关闭连接。这种级别
的控制与诸如语音协议感知型网络地址转换 (NAT) 等其他智能服务相结合，使 Cisco ASA 5500 系列有别于不符合现
代统一通信协议要求的较旧平台。威胁防范
使用 Cisco ASA 5500 系列，可防止思科统一通信应用遭受可能威胁系统完整性和可用性的各种常见攻击。这些攻击
包括通话窃听、用户假冒、话费诈骗和拒绝服务 (DoS)。其中许多攻击（尤其是 DoS）可以通过发送格式错误的协议
数据包启动，攻击您的统一通信呼叫控制系统和应用。Cisco ASA 5500 系列设备会对流向关键统一通信服务器的流
量执行协议一致性和合规性检查。例如，设备可以帮助确保流经设备的媒体确实是语音媒体 (RTP)，或防止攻击者发
送可能导致呼叫控制系统崩溃的恶意语音信令。通过帮助确保信令和媒体符合标准 RFC，Cisco ASA 5500 系列为您
的关键系统提供有效的第一道防线。
除了检查协议一致性之外，Cisco ASA 5500 系列的多功能安全服务还可以进行扩展，以提供入侵防御服务。Cisco
ASA 5500 系列高级检测和防御安全服务模块 (AIP SSM) 将基于硬件的入侵防御系统 (IPS) 功能应用于入站流量，
以阻止针对统一通信呼叫控制和应用服务器的已知攻击。一组统一通信 IPS 签名可用于防御针对思科统一通信管理器
和思科统一通信管理器快捷版产品安全突发事件响应团队 (PSIRT) 漏洞的攻击，为 IT 管理员提供即时保护，而无需
立即修补统一通信服务器。协议一致性和入侵防御相结合，提供针对常见统一通信威胁的强大网络层防御。
网络安全策略实施
您的统一通信部署可能需要遵守组织的安全部门规定的安全策略要求。Cisco ASA 5500 系列拥有先进的统一通信安全
功能，您的组织可以将精细的应用层策略应用于统一通信流量，以满足安全合规性要求。例如，您的企业可以允许或
拒绝来自特定呼叫者或域的呼叫，也可以应用特定的黑名单或白名单。再比如说，您可将网络策略扩展到终端和应用，
以便仅允许已登记的电话致电呼叫控制中心或拒绝某些应用，例如通过 SIP 进行的即时消息。
语音和视频加密服务
出于合规性或安全策略原因，您的组织可能被要求对语音和视频流量加密。端到端加密通常使网络安全设备“看不见”
媒体和信令流量，这种情况可能危及访问控制和威胁防御安全功能， 还可能导致防火墙与加密的语音之间缺乏互通性，
使您的企业无法满足两项关键安全要求。
Cisco ASA 5500 系列加密代理解决方案为思科统一通信系统提供出色的支持（TLS 代理）。它是思科统一通信管理器
身份验证域中的受信任设备：语音和视频终端可以安全地对流量进行身份验证和加密。Cisco ASA 5500 系列设备作为
代理，可以将这些连接解密、采用必需的威胁防护和访问控制措施，并通过对流向思科统一通信管理器服务器的流量重
新加密来确保机密性。此集成使您的组织可以灵活部署所有必需的安全应对措施，而不是勉强采用不足够的一部分措施。            

边界安全服务包括以下方面：
•  SSL 和 IPsec VPN：SSL 或 IPsec VPN 服务可在多个办公地点或远程用户之间提供安全、高速的语音和数据通信，
Cisco ASA 5500 系列使用这些服务支持灵活、安全的连接。这些设备支持服务质量 (QoS) 功能，可促进以企业级质
量可靠地提供延迟敏感型应用，例如音频和视频。您可以按用户、按组、按隧道或按流量应用 QoS 策略，以便将适
当的优先级和带宽限制应用于语音和视频流量。此外，连接前状态评估和安全检查有助于确保 VPN 用户不会在不
经意间将攻击带入网络中。Cisco SSL 和 IPsec 解决方案非常适合保护软客户端统一通信流量，例如 Cisco IP
Communicator 以及 Cisco Unified Mobile Communicator 和 Cisco Unified Personal Communicator。
•  电话代理：Cisco ASA 电话代理功能有助于端接 Cisco SRTP 和 TLS 加密的终端，以便进行安全的远程访问。使
用 Cisco ASA 电话代理，可以在没有大规模部署 VPN 远程访问硬件的情况下大规模部署安全电话。最终用户
基础设施仅限于 IP 终端，不包括 VPN 隧道或硬件。Cisco ASA 电话代理是思科统一电话代理的替代产品。
•  移动代理：Cisco ASA 移动代理可促进 Cisco Unified Mobile Communicator 软件和 Cisco Unified Mobility
Advantage 服务器之间的安全连接。Cisco ASA 设备可以拦截 Cisco Unified Mobile Communicator 软件和
Cisco Unified Mobility Advantage 服务器之间的 TLS 连接，并且可以使用新的多机箱多链路点到点协议 (MMP)
检测引擎来检测移动流量，并将策略应用于移动流量。从思科统一通信 7.0 系统开始，Cisco ASA 设备是移动
解决方案的必备组件，并取代 Cisco Unified Mobility Proxy。
•  在线状态联盟：Cisco ASA 5500 系列可促进 Cisco Unified Presence 和 Microsoft Office Communications
Server (OCS) Presence 解决方案之间的安全在线状态联盟。这使两个组织可以更有效地协作，方法是使用常见
的可用通信方式共享关于如何与其他用户进行联系和通信的在线状态信息。Cisco ASA 5500 系列自适应
安全设备在线状态联盟解决方案的必备组件。
部署拓扑

如图1 所示，您可以在网络中使用 Cisco ASA 5500，保护自己的呼叫控制系统、终端、应用和底层基础设施免遭
攻击。这些拓扑包括：
•  保护呼叫控制服务器：通过控制客户端对这些服务器的访问权限，Cisco ASA 5500 系列可以阻止可能影响性能
或可用性的恶意或未经授权的网络连接。通过有状态地检测连接以确定连接符合访问控制策略，并确定连接符
合预期的行为，Cisco ASA 平台为安全的统一通信部署提供第一道防线。
•  远程访问安全：对于安全的远程工作人员电话、思科统一 IP 电话以及 Apple iPhone 等第三方电话、移动电话
和企业到企业联盟部署，Cisco ASA 5500 系列提供 SSL 和 IPsec VPN、电话代理、移动代理和在线状态联盟
安全服务。
•  SIP 中继安全：企业将迁移到 SIP 中继架构以降低其通信成本。Cisco ASA 5500 系列拥有强大的 SIP 安全功
能，能够防御通过 SIP 中继进行的任何攻击。
•  可信和不可信边界：您可以将 Cisco ASA 5500 作为安全设备放置在可信和不可信网络之间，以帮助确保不可信
网络中的漏洞不会影响可信任网络。您可以使用 Cisco ASA 5500 系列安全设备代理流量，或在 DMZ 架构中保
护内部网络免受外部访问。
 Cisco ASA 5500 系列为您的统一通信网络提供一套全面的语音和视频安全功能。表 1列出了功能和优势。  

 订购信息
要下订单，请访问思科订购主页 (http://www.cisco.com/go/ordering)，并参阅表 2 至表 4。要下载软件，请访问思科
软件中心 (http://www.cisco.com/go/software)。在订购 Cisco ASA 5500 系列自适应安全设备以保护统一通信部署时，
您有两个选项：
 选项 1：思科统一通信代理许可证。您可以为现有的 ASA 设备单独订购思科统一通信代理软件许可证。您
多可以为表 2 中列出的****会话数结合使用电话代理、移动代理、在线状态联盟代理和 TLS 代理。
 表 2.  思科统一通信代理****会话数    

 选项 2：Cisco ASA 5500 系列统一通信版捆绑包。这些设备捆绑统一通信代理许可证，为您的企业提供单个
硬件和软件产品 ID，以提供电话代理、移动代理、在线状态联盟和 TLS 代理功能， 以及基本的防火墙和
VPN 功能。请注意，捆绑包不适用于 ASA 5505、5510、5580 或 5585。请订购统一通信代理许可证及 ASA
硬件。表 3 提供了部件号。
 表 3.  Cisco ASA 5500 系列统一通信版订购信息

思科统一通信服务
借助思科统一通信服务，即可更快地节省与部署安全、恢复力强的思科统一通信解决方案关联的成本，并提高相应的
工作效率。我们的服务产品组合由思科和认证合作伙伴提供，基于经过验证的方法，可在固定和移动网络中统一语音、
视频、数据和移动应用。我们独特的服务生命周期方法可增强您的技术体验，从而树立真正的企业优势。
更多详情
有关 Cisco ASA 5500 系列或 Cisco ASA 平台上的统一通信的更多信息，请访问 http://www.cisco.com/go/asa 或
http://www.cisco.com/go/secureuc。您还可以联系您当地的思科客户代表。1  DES 适用于 ASA 软件 8.2 及更早版本中的 UC 许可证。3DES/AES 适用于 ASA 软件 8.3 及更高版本中的 UC 许可证