对于非重要客户使用的IAD及SIP软、硬终端等设备，由于设备数量多、分布广，将通过各种接入方式快速收敛于BAC设备，通过BAC设备实现与专用网络中其他设备的互通，此时BAC提供信令及媒体的代理功能及安全检测及隔离功能。由于IAD及SIP终端分布于用户侧，对软交换核心设备的安全存在极大的威胁，因此在本方案中，运营商对于IAD或SIP终端应采用用户零配置方案，运营商应负责所有网络及用户数据的配置及后续的更新及修改，用户无法自行修改数据。在用户侧只写入需访问的软交换设备或各类管理及应用服务器（如IAD网管系统、文件服务器等）的域名而非IP地址，避免SS暴露IP地址易受到非法攻击。

　　在信令协议中启动加密和鉴权机制，SS定期检测用户身份合法性，保证SS对网关及用户的控制权，防止非法用户对业务的盗用或干扰。

　　通过域名解析机制及BAC设备的信令及媒体的全代理功能，对基于公共Internet接入的用户屏蔽软交换、中继媒体网关、综合接入媒体网关、媒体服务器等设备的地址，保护重要的软交换网络设备。

　BAC支持访问控制列表（ACL）功能，能够根据源、目的IP地址和端口号设置访问控制规则进行报文过滤；能够针对特定控制协议进行包过滤，阻挡非法设备及未经允许的协议对软交换设备的访问；能进行简单的应用层攻击防护，实现部分代理服务型防火墙功能，具体包括：根据用户注册状态进行消息的处理，对未注册用户发送的非注册消息进行丢弃处理；对注册鉴权失败的用户终端建立监视列表，当失败的注册尝试达到一定的频率则采取相应措施；设置IP地址/端口允许的正常信令消息流量值，当1分钟内收到同一源IP和端口的消息超过该值时，将该地址/端口列入黑名单并采取相应措施。

　　具备根据业务需要、用户安全需求和运营需求屏蔽通信对方地址的能力。

　　为配合安全的软交换网络的实施，各设备需要进行相应的改进，如支持多个网段，可以通过提供多个分离的物理端口或在一个物理端口上支持多个VLAN的方式实现；对媒体端口进行动态开闭管理；能进行最小化端口设置；面向用户的服务可采取由