Ottima domanda.
In realtà, l'SBC intende essere sia un firewall che un proxy inverso. Nei giorni moderni, tuttavia, è essenzialmente un proxy inverso e un server middleman per consentire a diverse varietà di applicazioni / codec / dispositivi SIP di lavorare insieme.
Ai vecchi tempi, gli indirizzi IP pubblici venivano assegnati alla maggior parte delle macchine e l'SBC otteneva un IP pubblico. Funzionerebbe quindi come firewall per il sistema telefonico VoIP in uso, utilizzando qualsiasi software incorporato nel sistema operativo o lo stack SBC per fungere da firewall e eseguire un'ispezione di base dei pacchetti.
Tuttavia, nelle architetture moderne di solito vediamo un firewall posizionato sul perimetro della rete. Questo firewall di solito è molto meglio di quello su SBC e riceve molta più attenzione, aggiornamenti, ecc; quindi sarebbe una buona pratica usare il tuo firewall principale. In questo caso, l'SBC dovrebbe essere dietro questo firewall e le porte limitate a quelle necessarie per inoltrare.
L'SBC può anche effettuare un'ulteriore ispezione di pacchetto di livello 7; come convalidare il traffico VoIP e sbarazzarsi di pacchetti che potrebbero portare exploit noti o altri trucchi come l'ID del chiamante falsificato. Tuttavia, il firewall statico di livello 2/3 dovrebbe trovarsi altrove e il traffico viene inoltrato all'SBC in modo che possa eseguire la convalida e l'ispezione di livello 7.
Al giorno d'oggi non raccomanderei di esporre un SBC a reti non fidate senza un firewall di fronte ad esso; e se necessario lo farei all'interno di una DMZ o altra VLAN isolata per l'ambiente VoIP.