Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Следующая версия Следующая версия справа и слева | ||
handbook:security:firewall [2017/06/07 15:24] tpor |
handbook:security:firewall [2017/06/08 14:21] tpor |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Настройка Firewall в Askozia ====== | ====== Настройка Firewall в Askozia ====== | ||
+ | |||
+ | [[handbook:security|Обратно к перечню инструкций]] | ||
Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | ||
Строка 5: | Строка 7: | ||
1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | 1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | ||
- | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить правила блокировки самостоятельно.\\ | + | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить их самостоятельно. Под **шаблоном** понимаются заранее определенные правила блокировки соединений. Если АТС находится в частной сети, то воспользуйтесь шаблоном **"на своей железке"**. Шаблон **"в облаке"** рекомендуется использовать для защиты АТС, расположенной на внешнем сервере.\\ |
{{ :handbook:security:12.png |}}\\ | {{ :handbook:security:12.png |}}\\ | ||
- | 3. Правила блокировки позволяют запретить доступ по определённым портам трём видам подсетей: | + | 3. Возможные параметры безопасности разделены на три зоны сети:\\ |
- | - Подсеть, указанная в настройках Askozia на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ | + | - **Локальная** сеть. Эта подсеть определяется в **настройках Askozia** на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ |
- | - Локальная подсеть, которая указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ | + | - Сеть **Intranet** - внутрикорпоративная локальная или территориально распределенная сеть. Она указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ |
- | - сеть **Интернет**. | + | - Сеть **Internet** |
- | 4. Напротив каждой блокируемой группы портов необходимо выбрать способ блокировки: | + | 4. Напротив каждого блокируемого сервиса необходимо выбрать способ блокировки: |
- | * Блокировка подсети | + | * Блокировка подсети - блокировка **локальной** подсети |
- | * Блокировка локальных соединений | + | * Блокировка локальных соединений - блокировка сети **Intranet** |
- | * Блокировка Интернет соединения | + | * Блокировка Интернет соединения - блокировка сети **Internet** |
^ Объект блокировки ^ Описание ^ Диапазон портов ^ | ^ Объект блокировки ^ Описание ^ Диапазон портов ^ | ||
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 80 | |
- | | Web-интерфейс | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | Web-интерфейс | Интерфейс настройки АТC | 23600 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | SSH | SSH(Secure Shell) позволяет получить доступ к консоли AskoziaPBX | 22 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | SIP | SIP(Session Initiation Protocol) используется для установки соединений между VoIP телефонами | 5060 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | IAX | Страница авторизации для администратора и пользователя АТС | 4569 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | RTP | RTP используется для передачи голоса и видео в VoIP соединениях | 10000:10200 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | AMI | Asterisk Manager Interface (AMI) предоставляет доступ к Asterisk по TCP/IP протоколу | 5038 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | AJAM | Asynchronous Javascript Asterisk Manager (AJAM) предоставляет доступ к Asterisk по http/https протоколу | 8088 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | Автоматическая настройка телефонов | Автоматическая настройка VoIP телефонов с помощью AskoziaPBX | 56080 | |
- | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | | Внутренний LDAP | LDAP Телефонная книга | 56090 | |
+ | |||
+ | Пример задания правил блокировок представлен на рисунке ниже:\\ {{ :handbook:security:15.png |}}\\ | ||
+ | |||
+ | |||
+ | __Пример задания правил блокировок для AMI__\\ | ||
+ | Для интерфейса управления сервером Asterisk **AMI** установим **блокировку подсети 192.168.1.0/24**:\\ {{ :handbook:security:16.png |}}\\ | ||
+ | В настройках Firewall переходим на вкладку **Расширенные** и нажимаем кнопку **Show iptables**.\\ {{ :handbook:security:17.png |}}\\ | ||
+ | Для порта **5038** в колонке **target** видим запрет **DROP** на подсеть **192.168.1.0/24**:\\ {{ :handbook:security:18.png |}} | ||
+ | |||
+ | 5. Если обращения с какого либо ip **не блокируются**, то возможно заблокировать адрес **вручную**, для этого в настройках Firewall следует добавить строку блокировки адреса в поле **"Расширенные правила"**. Пользовательские правила всегда имеют более **высокий приоритет**.\\ | ||
+ | {{ :handbook:security:19.png |}} | ||
+ | |||
+ | [[handbook:security|Обратно к перечню инструкций]] | ||
| | ||