对于新兴的小型办公企业，利用新建的数据网络的充裕带宽来承载语音，要比再建一套独立的话音系统方便许多，功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户，因为有连接各个分支节点的数据网络，利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此，VoIP技术在企业级用户群体中将会有广阔的应用。

　　但是，在实施项目或者在使用过程中，用户和设备供应厂家更多的会将精力放在如何改善话音质量和同现有数据网络的融合上面，很少考虑到VoIP所存在的安全隐患。如同我们将重要的应用服务器都置于防火墙的保护之内一样;其实，在VoIP的情况下，话音也是和数据应用一样，也成为了一个个的“Packet，同样也将承受各种病毒和黑客攻击的困扰。难怪有人调侃说:“这是有史以来的第一次，电脑病毒能够让你的电话不能正常工作。

　　究竟有那几种因素会影响到VoIP呢?首先是产品本身的问题。目前VoIP技术最常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别，但总体上都是一套开放的协议体系。设备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采用Windows NT的操作系统，也有的是基于Linux或VxWorks。越是开放的操作系统，也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web 的管理界面的时候，都会有机会采用MicrosoftIIS或Apache来提供服务，而这些应用都是在产品出厂的时候已经安装在设备当中，无法保证是最新版本或是承诺已经弥补了某些安全漏洞。

　　其次是基于开放端口的Dos(拒绝服务)攻击。从网络攻击的方法和产生的破坏效果来看，DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务请求，但因为所包含的回复地址是虚假的，服务器将等不到回传的消息，直至所有的资源被耗尽。VoIP技术已经有很多知名的端口，像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途，总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一网段，就可以通过简单的扫描工具，如X-Way之类的共享软件来获得更详细的信息。

　　最近报道的一个安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出，测试结果表明:“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞，容易在1720端口上受到DoS的攻击，导致从而系统的不稳定甚至瘫痪。

　　再次就是服务窃取，这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样，将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话，但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时，会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公，都会在分配一个桌面电话的同时，再分配一个虚拟的IP电话，并授予密码和拨号权限。

　　这样，即使员工出差或是在家办公情况下，都可以利用VPN方式接入到公司的局域网中，然后运行电脑中的IP软件电话接听或拨打市话，如同在公司里办公一样。当密码流失之后，任何人都可以用自己的软电话登陆成为别人的分机号码;如果获得的权限是可以自由拨打国内甚至国际长途号码，将会给企业带来巨大的损失且很难追查。

　　最后是媒体流的侦听问题。模拟话机存在并线窃听的问题，当企业用户使用了数字话机之后，由于都是厂家私有的协议，很难通过简单的手段来侦听。但VoIP环境下，这个问题又被提了出来。一个典型的 VoIP呼叫需要信令和媒体流两个建立的步骤，RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是开放的，即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放，会引起员工对话音通信的信任危机。

　　使用杀毒软件，目前存在着两种情况：一种是不安装任何杀毒软件以换取系统性能;一种则是把计算机安全环境考虑得过于严峻，于是把杀毒软件、防火墙、反木马程序、隐私保护程序一股脑的安装到系统中，惟恐系统保护得不够严密。但草木皆兵不但耗费了大量系统资源，多少还会影响使用电脑的心情。如何使用杀毒软件?能让我们即有高的系统性能，又能好好保护系统安全。我想是大家都关心的问题。下面就来给大家介绍一下……

　　选择优秀的杀毒软件

　　功能强大和占用资源少一直是杀毒软件的一对矛盾，好像既要马儿跑，又要马儿不吃草的味道。不过目前的杀毒软件都兼顾到了这两点，如卡巴斯基和江民的KV系列杀毒软件，对于系统内存的占用在大多数情况下只有数百KB到数MB之间，这么少的系统资源消耗对于目前的绝大多数电脑来说都开销得起。

　　合理设置实时监控

　　现有的网络病毒十分猖獗，对安全的威胁来自多方面，这就需要杀毒软件具备多项实时监控能力。以KV为例，它的实时监控就包括了文件监视、邮件监视、隐私保护、木马/注册表监视、网页监视等七项，如果把它们全部打开的话资源消耗自然小不了。一般来说，文件监视和网页监视是必不可少的，而像邮件监视这样的项目，如果很少收发邮件或只使用Web方式收发邮件，完全可以关闭它。其它的监视项目可以根据自己的实际情况来取舍。

　　优化杀毒速度

　　现在的硬盘堪称海量，存储的数据量也十分庞大，杀毒软件全面扫描一次耗时很长(如卡巴斯基)，让人觉得等起来很累，这也是许多人不愿意用杀毒软件的原因。其实，只要我们留意一下杀毒软件的选项，就可以发现杀毒速度是可以提高的。

　　在KV的“江民杀毒软件方案编辑器中有一个“扫描目标选项卡。我们可以把“解压检查取消，因为软件检查压缩包的耗时非常长。即使压缩包中有病毒，病毒也不会发作，当把病毒解压出来的时候也会被实时监控检测到，对系统安全不会构成威胁。基于同样的道理，我们还可以在“文件过滤选项中，增加一些扫描排除文件类型，如ISO镜像文件，MPG、AVI等视频文件，MP3等音频文件，JPG等图像文件，这些文件在电脑中为数不少，而带毒的可能性却比较小。经过这样的设置，杀毒软件的扫描速度会得到大幅的提高。

　　选择合适的查毒时机

　　对任何杀毒软件来说，杀毒都是一项费时费力的活儿，而很多杀毒软件在安全上考虑得比较保守，默认设置大都是一天查一次病毒。对普通用户来说，这确实有些多余，一周查一次就足够了。另外，像KV2006和金山毒霸等软件，都具备屏保查毒功能/我们不妨开启这项功能，让软件在电脑空闲的时候自动查杀病毒，这样可做到工作杀毒两不误。KV还有“智能提速功能，开启该功能后在第一次扫描病毒时会花较多时间，但以后就可以大幅提高扫描速度了，因为杀毒软件会自动跳过一些它认为不会感染病毒的文件，速度自然就快了。

　　当然，杀毒软件还有很多个性化的功能，限于篇幅它们的优化设置我们不可能一一涉及，不管怎样，只要我们遵循足够合理的原则，秉持中庸之道，既不“过，也避免“不及，就可以让杀毒软件高效地工作，使电脑得到合理的保护。

对所有的Linux系统和网络管理员来说，一个最基本的技巧是知道如何从头开始编写一个强健的iptables防火墙，并且知道如何修改它，使其适应多种不同的情况。然而，在现实世界中，这看起来似乎少之又少。对iptables的学习并非是一个简单的过程，不过笔者在这里向您推荐外网上如下资料，这样使用起来你就得心应手了。

笔者认为所有的管理员都应彻底地理解Iptables，不过，另外一个可选择的方法是运用出色的Linux防火墙生成工具。

Firewall Builder

第一个出场的便是Firewall Builder，这是一个完善的多平台的图形化的防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计，它将规则设计的细节隐藏起来，而着重于编写策略。不过，不要在你真实的防火墙上运行防火墙生成器，因为它需要X Windows。你需要将其运行在一台工作站上，然后将脚本复制到防火墙上。

Firestarter

第二位是Firestarter，它是一款优秀的图形化的防火墙生成向导，它可以引导你一步一步地通过构建防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说，这是一个不错的选择，并且在防火墙之后，它还有一些公共服务，或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令，可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上，并远程监视之，或者将其用作一个独立的防火墙。

Shorewall

第三位Shorewall是一个流行的防火墙生成器；它比Firestarter更加复杂和灵活，并且它适合用于更加复杂的网络。Shorewall的学习曲线类