Gran pregunta.
El SBC está destinado a ser tanto un firewall como un proxy inverso. Sin embargo, en los días modernos, se trata esencialmente de un proxy inverso y un servidor de intermediarios para permitir que diferentes variedades de aplicaciones / códecs / dispositivos SIP funcionen juntos.
En los días anteriores, las direcciones IP públicas se asignaban a la mayoría de las máquinas, y el SBC obtendría una IP pública. Básicamente, actuaría como el servidor de seguridad para el sistema telefónico VoIP en su lugar, utilizando cualquier software integrado en el sistema operativo o la pila SBC para actuar como un servidor de seguridad y realizar una inspección básica de paquetes.
Sin embargo, en las arquitecturas modernas usualmente vemos un firewall ubicado en el perímetro de la red. Este firewall suele ser mucho mejor que el de SBC y recibe mucha más atención, actualizaciones, etc. Por lo tanto, sería una buena práctica usar su firewall principal. En este caso, el SBC debe estar detrás de este firewall y los puertos deben estar limitados a los necesarios para el reenvío.
El SBC también puede llevar inspección adicional de paquetes de nivel 7; como validar el tráfico de VoIP y deshacerse de los paquetes que podrían tener exploits conocidos u otros trucos como el identificador de llamadas falsificado. Sin embargo, el firewall de capa 2/3 con estado debe estar en otro lugar y el tráfico reenviado a SBC para que pueda realizar su validación e inspección de capa 7.
En la actualidad, no recomendaría exponer un SBC a redes que no sean de confianza sin un firewall delante; y si fuera necesario, lo haría dentro de una DMZ u otra VLAN aislada para el entorno VoIP.