大型IP电话设计利用了SAFE中的大型网络设计。为了实现IP电话功能，对SAFE设计进行了某些修改，包括：
　　
　　·为研发和营销部门的数据网添加了基于PC的IP电话。
　　
　　·为语音邮件系统增加了一个语音网。
　　
　　·为边缘分布模块添加了用于本地呼叫的PSTN。
　　
　　·提高了服务器模块中呼叫处理网段的可用性，并在前面增加了一对状态防火墙。
　　
　　·在与语音相关的所有服务中安装了HIDS。
　　
　　·按照语音和相关网段中的流量对NIDS作了调整。
　　
　　大型IP电话安全网络主要包含的模块有：大厦模块、企业服务器模块，每种模块应包含的内容有：整体设计、访问控制和包检查、性能和可扩展性、高可用性、安全管理、其他设计方案。我们将分别进行描述。
　　
　　大厦模块
　　
　　大厦模块包括最终用户工作站、IP电话及其相关的第2层接入点。其主要目标是为最终用户提供服务。
　　
　　1．主要IP电话设备
　　
　　·第2层交换机（支持VLAN）——这种交换机为数据和语音设备提供第2层服务。
　　
　　· 用户工作站——用户工作站通过基于PC的IP电话为网上的授权用户提供数据服务和语音服务。
　　
　　·IP电话——IP电话为网上用户提供语音服务。
　　
　　2．保护语音安全的措施
　　
　　· 包窃听/呼叫截获——交换式基础设施能有效地预防窃听。
　　
　　·病毒和特洛伊木马应用——基于主机的病毒扫描能预防多数病毒和特洛伊木马。
　　
　　·非授权访问——这种访问可以通过HIDS和应用访问控制有效消除。
　　
　　·呼叫者身份欺诈——向管理员通报未知设备。
　　
　　·话费欺诈——呼叫处理管理器不允许配置未知电话，访问控制只允许已知电话网相互通信。
　　
　　·否认——呼叫处理管理器的呼叫设置记录能提供某种防否认功能。
　　
　　·IP欺诈——RFC 2827和1918过滤器放置在ISP边缘和本地防火墙路由器上。
　　
　　3．设计指南
　　
　　大厦模块的主要功能是交换数据和语音流量，同时实施数据网和语音网之间的分离。这些功能通常由无状态第3层过滤和VLAN执行，病毒扫描可以保护数据网上的用户系统。
　　
　　在交换机内，VLAN功能是打开的，目的是防止从数据网对语音网发起攻击。无状态第3层过滤能控制融合网络方案中列出的流量，任何非法流量都将遭到拒绝并记录在案。病毒扫描的最初目的是防止从本地发起对用户系统的攻击，现在还执行对基于PC的IP电话的控制。病毒扫描安装在用户系统中，以便防止对数据网上基于PC的IP电话发起的攻击渗透到语音网上。
　　
　　原SAFE文档中建议，基于小组的过滤应该将同一IP网络上的两个部门分开。例如，营销和研发部门只能访问自己的服务器，但是，这种方法对IP电话不适用。营销部门的用户应该可以通过IP电话呼叫研发部门的用户，但不能用基于PC的IP电话呼叫。否则，就会违反基本过滤规则。
　　
　　企业服务器模块
　　
　　服务器模块的主要目标是向最终用户和设备提供应用和语音服务。
　　
　　1．主要IP电话设备
　　
　　·第3层交换机——第3层交换机在服务器模块内路由和交换数据、语音和管理流量，并支持流量过滤和NIDS等先进服务。
　　
　　·公司服务器——公司服务器为内部用户提供电子邮件和语音邮件服务，并为工作站提供文件、打印和DNS服务。
　　
　　·呼叫处理管理器——呼叫处理管理器为网络中的IP电话设备提供语音服务。
　　
　　·状态防火墙——状态防火墙为呼叫处理器提供网络级保护，包括对流量进行状态过滤、DoS预防和欺诈预防。
　　
　　·代理服务器——为IP电话提供数据服务。
　　
　　2．保护语音安全的措施
　　
　　·包窃听/呼叫截获——交换式基础设施能有效地预防窃听。
　　
　　·非授权访问——这种访问可以通过HIDS和应用访问控制有效消除。
　　
　　·呼叫者身份欺诈——向管理员通报未知设备。
　　
　　·话费欺诈——呼叫处理管理器不允许配置未知电话，访问控制只允许已知电话网相互通信。
　　
　　·否认——呼叫处理管理器的呼叫设置记录能提供某种防否认功能。
　　
　　·IP欺诈——IP欺诈在第3层交换机和状态防火墙上提供RFC 2827和1918过滤器。
　　
　　·应用层攻击——为操作系统、设备和应用提供最新安全修复，多数服务器还受到HIDS的保护。
　　
　　·拒绝服务——将语音和数据网分开能显著减少受攻击的可能性。状态防火墙TCP设置能控制保留给呼叫处理管理器和代理服务器的内容。
　　
　　·信任关系利用——通过有限信任模式和专用VLAN预防基于信任关系的攻击。
　　
　　3．设计指南
　　
　　服务器模型包括IP电话所需的所有语音服务。驻留在分离网段中的呼叫处理管理器、代理服务器、语音邮件和邮件系统不但能适应大型企业的需要，还能提供分层安全性。所有服务都安装了HIDS代理，服务器模块中的所有流量都接受第3层交换机IDS的检查，呼叫处理网段受到状态防火墙保护。
　　
　　服务分离能大大提高可扩展性和安全性。并减少出现配置错误的机会。任何其他流量都将遭到拒绝并记录在案，如果NIDS探测到异常情况，系统将借助原理章节中列出的说明发出警报。HIDS能够探测到邮件、语音邮件或呼叫处理设备中的异常情况。代理服务器与呼叫处理管理器处于同一个VLAN上，但专用VLAN用于防止本地信任关系利用攻击。
　　
　　限制扩展能力的是呼叫处理管理器和语音邮件系统支持的IP电话设备的数量。在这种设计中，性能不是问题，因为所有必要的服务都在本地的快速以太网交换网上提供，只有通过WAN使用本地服务的某些远程站点例外。
　　
　　这个模块也提供第2层和第3层弹性配置。添加语音服务后实现了高可用性。两个状态防火墙将受保护的呼叫处理管理器网段与服务器模块中的两台第3层交换机连接在一起。内部网段的第2层弹性不但表现在防火墙的内部接口与两台第2层交换机之间，还表现在双接口呼叫处理器上。在这种配置中，每个呼叫处理管理器都使用两块网络接口卡，这两块接口卡处在同一个网络中，各与一台交换机相连。
　　
　　对于IP电话，所有语音服务器都应该支持多个接口。语音服务是网络的关键组件，限制对语音服务的访问是预防攻击的关键。这种设计使用了第3层和第4层过滤，以便限制已知管理系统对语音服务器的管理。应用级安全性用于为管理流量提供保密和用户认证。
　　
　　还有一种选择是将其他DMA网段的语音邮件系统放置在状态防火墙上。这种设置能够在电话设备和语音邮件系统之间执行状态检查和过滤，而不是使用目前的无状态过滤。这种方法还能为语音邮件系统提供DoS预防，并在它与数据网中的邮件服务器之间提供状态检查。这种方法的唯一缺点是增加了配置的复杂性。