BAC支持訪問控制列表（ACL）功能，能夠根據源、目的IP地址和端口號設置訪問控制規則進行報文過濾；能夠針對特定控制協議進行濾，阻擋非法設備及未經允許的協議對軟交換設備的訪問；能進行簡單的應用層攻擊防護，實現部分代理服務型防火墻功能，具體包括：根據用戶注冊狀態進行消息的處理，對未注冊用戶發送的非注冊消息進行丟棄處理；對注冊鑒權失敗的用戶終端建立監視列表，當失敗的注冊嘗試達到一定的頻率則采取相應措施；設置IP地址/端口允許的正常信令消息流量值，當1分鐘內收到同一源IP和端口的消息超過該值時，將該地址/端口列入黑名單并采取相應措施。

具備根據業務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。

為配合安全的軟交換網絡的實施，各設備需要進行相應的改進，如支持多個網段，可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現；對媒體端口進行動態開閉管理；能進行最小化端口設置；面向用戶的服務可采取由Web或Portal面對用戶，進行業務代理方式來降低風險；設備需要專門的軟/硬件平臺設計等。

QoS問題的解決

目前的IP網絡技術還不能徹底地解決QoS問題，在現有的公共IP網絡上還不能為軟交換網絡提供大規模地有QoS保障的承載服務。本方案將采用專用網絡+BAC的信令媒體全代理功能對QoS問題進行一定程度的解決。

專用網絡組網可以采用專線、專用IP網、MPLSVPN等方式，MPLSVPN方式要提供QoS保障，仍然需要全IP網絡設備的支持，而目前的IP網絡還不能全程全網地提供QoS。專線和專用IP網方式可以通過網絡流量預測和規劃，按軟交換業務需求組織網絡，由于專網專用，使用過程中容易掌握業務流量和流向的變化，可以及時調整網絡，通過與軟交換設備呼叫數控制功能結合，可以有效解決網絡擁塞控制問題。如新建專用網絡，還可以在引進網絡設備時統一考慮設備QoS功能，區分對待不同業務等級的軟交換業務，設置為某些業務實現帶寬預留。

全代理設備可以根據不同用戶、不同業務分別對信令和媒體進行QoS標記，為后續IP網絡設備的QoS處理提供幫助。在今后的QoS解決方案中，該設備還可以接受軟交換設備或其他QoS控制設備的指令，在呼叫建立階段根據用戶QoS要求和網絡QoS狀況進行不同的后續處理（如接續、拒絕、重定向、更改編碼方式等）。

防止非法業務旁路

通過在PC機上加載一定的SIP通信軟件的SIP軟終端用戶，可以通過Internet的通達性在世界各地接入運營商的軟交換系統實現通信功能，當用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時，運營商只能收到本地呼叫的費用，而無法收到國際或國內長途呼叫收入。另外，某些終端軟件也可能在獲得SS返回的對端用戶地址信息，停止與SS之間的繼續交互，通過獲得的被叫地址采用其他IP電話軟件直接進行通信，使得運營商幫助其完成了用戶尋址后話務被旁路而無法獲得收益。

以上問題可以通過BAC在一定程度上得到改善。

對于第一個問題的做法是，終端只配軟交換域名，通過DNS解析至應去所屬的SBC;SBC將本身及用戶的IP地址送給軟交換；軟交換進行IP地址分析，判斷用戶的IP地址與使用的BAC的IP地址是否匹配，若相匹配則呼叫接續繼續，若不匹配則呼叫拒絕。當然該解決辦法的前提是SS已經了解IP地址與地域之間的分布對應關系。

對于第二個問題的做法是，通過BAC設備從信令和媒體上屏蔽通信對端用戶的地址，可以有效防止業務旁路，并滿足某些業務（如匿名聊天）的特殊需求，該功能建議由邊緣業務接入設備完成。

結束語

本解決方案中的重要部件BAC已完成了企業設備規范制定，包括產品的功能、性能、相關的協議擴展等，目前已在信息產業部通信標準協會申請立項。已有設備制造商意識到該設備的重要性，完成了該設備的研制。

[1]  [2]  [3]  [4]  [5]