Внимание! Документация к новой MikoPBX доступна по ссылке

Инструменты пользователя

Инструменты сайта


handbook:security:firewall

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
handbook:security:firewall [2017/06/07 14:51]
tpor
handbook:security:firewall [2017/06/14 13:14] (текущий)
tpor
Строка 1: Строка 1:
 ====== Настройка Firewall в Askozia ====== ====== Настройка Firewall в Askozia ======
 +
 +[[handbook:​security|Обратно к перечню инструкций]]
  
 Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой,​ что значительно снижает угрозу атаки на АТС.\\ ​ Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой,​ что значительно снижает угрозу атаки на АТС.\\ ​
  
-Перейдите на вкладку Соединения -> Firewall и активируйте брандмауэр.\\ {{ :​handbook:​security:​1yava1.png |}}\\ +1. Перейдите на вкладку ​**Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :​handbook:​security:​1yava1.png |}}\\ 
  
-Можете выбрать один из существующих шаблонов по установке правил блокировок,​ либо установить правила блокировки самостоятельно.\\ ​+2. Можете выбрать один из существующих ​**шаблонов** по установке ​**правил блокировок**, либо установить ​их самостоятельно. Под **шаблоном** понимаются заранее определенные ​правила блокировки соединений. Если АТС находится в частной сети, то воспользуйтесь шаблоном **"​на своей железке"​**. ​ Шаблон **"в облаке"​** рекомендуется использовать для защиты АТС, расположенной на внешнем сервере.\\ 
 {{ :​handbook:​security:​12.png |}}\\  {{ :​handbook:​security:​12.png |}}\\ 
  
-Правила блокировки позволяют запретить доступ ​по определённым портам трём видам подсетей:  +3. Возможные параметры безопасности разделены на три зоны сети:​\\ ​   
-  Подсеть, ​указанная в настройках ​Askozia ​на вкладке ​Соединения -> Сеть\\ {{ :​handbook:​security:​14.png |}} \\  +  - **Локальная** сеть. Эта подсеть определяется ​в **настройках Askozia** на вкладке **Соединения** -> **Сеть**\\ {{ :​handbook:​security:​14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :​handbook:​security:​13.png |}} \\  
-  - Локальная ​подсеть ​+  - Сеть **Intranet** - внутрикорпоративная ​локальная или территориально распределенная сеть. Она указывается в настройках сети самого Firewall. \\ {{ :​handbook:​security:​13.1.png |}}\\  
 +  - Сеть **Internet** 
 + 
 +4. Напротив каждого ​блокируемого сервиса необходимо выбрать способ блокировки:​ 
 +  * Блокировка ​подсети ​             - блокировка **локальной** подсети 
 +  * Блокировка локальных соединений - блокировка сети **Intranet** 
 +  * Блокировка Интернет соединения  - блокировка сети **Internet** 
 + 
 +^ Объект блокировки ​     ^ Описание ​                 ^ Диапазон портов ^  
 +| Стартовая страница ​  | Страница авторизации для администратора и пользователя АТС ​  | 80                 |  
 +| Web-интерфейс        | Интерфейс настройки АТC                                      | 23600  | 
 +| SSH   | SSH(Secure Shell) позволяет получить доступ ​к консоли AskoziaPBX ​  | 22 | 
 +| SIP   | SIP(Session Initiation Protocol) используется ​для установки соединений между VoIP телефонами ​ | 5060 | 
 +| IAX   | Страница авторизации для администратора и пользователя АТС ​  | 4569 | 
 +| RTP   | RTP используется для передачи голоса и видео в VoIP соединениях ​  | 10000:10200 | 
 +| AMI   | Asterisk Manager Interface (AMI) предоставляет доступ к Asterisk по TCP/IP протоколу | 5038 | 
 +| AJAM  | Asynchronous Javascript Asterisk Manager (AJAM) предоставляет доступ к Asterisk по http/https протоколу ​ | 8088 | 
 +| Автоматическая настройка телефонов ​  | Автоматическая настройка VoIP телефонов с помощью AskoziaPBX ​ | 56080 | 
 +| Внутренний LDAP   | LDAP Телефонная книга ​  | 56090 | 
 + 
 +Пример задания ​правил блокировок представлен на рисунке ниже:\\ {{ :​handbook:​security:​15.png |}}\\  
 + 
 +<note important>​Обязательно укажите **резервный IP-адрес**,​ для которого **всегда** будет доступно подключение к **web-интерфейсу**! Что делать, если заблокирован Ваш IP к web-интерфейсу?​ Подробности [[handbook:​security:​access|здесь]]. </​note>​ 
 + 
 +__Пример задания правил блокировок для AMI__\\  
 +Для интерфейса управления сервером Asterisk **AMI** установим **блокировку подсети 192.168.1.0/​24**:​\\ {{ :​handbook:​security:​16.png |}}\\  
 +В настройках ​Firewall переходим ​на вкладку **Расширенные** и нажимаем кнопку **Show iptables**.\\ {{ :​handbook:​security:​17.png |}}\\  
 +Для порта **5038** в колонке **target** видим запрет **DROP** на подсеть ​**192.168.1.0/​24**:​\\ {{ :​handbook:​security:​18.png |}} 
 + 
 +5. Если ​обращения с какого ​либо ip **не блокируются**,​ то возможно заблокировать адрес **вручную**,​ для этого в настройках Firewall следует добавить ​строку блокировки адреса в поле **"​Расширенные правила"​**. Пользовательские правила всегда имеют более **высокий приоритет**.\\  
 +{{ :​handbook:​security:​19.png |}} 
 + 
 +[[handbook:​security|Обратно к перечню инструкций]] 
 +  ​
  
  
handbook/security/firewall.1496847114.txt.gz · Последние изменения: 2017/06/07 14:51 — tpor