handbook:security:firewall
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
handbook:security:firewall [2017/06/07 15:10] tpor |
handbook:security:firewall [2017/06/14 13:14] (текущий) tpor |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| ====== Настройка Firewall в Askozia ====== | ====== Настройка Firewall в Askozia ====== | ||
| + | |||
| + | [[handbook:security|Обратно к перечню инструкций]] | ||
| Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | ||
| Строка 5: | Строка 7: | ||
| 1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | 1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | ||
| - | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить правила блокировки самостоятельно.\\ | + | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить их самостоятельно. Под **шаблоном** понимаются заранее определенные правила блокировки соединений. Если АТС находится в частной сети, то воспользуйтесь шаблоном **"на своей железке"**. Шаблон **"в облаке"** рекомендуется использовать для защиты АТС, расположенной на внешнем сервере.\\ |
| {{ :handbook:security:12.png |}}\\ | {{ :handbook:security:12.png |}}\\ | ||
| - | 3. Правила блокировки позволяют запретить доступ по определённым портам трём видам подсетей: | + | 3. Возможные параметры безопасности разделены на три зоны сети:\\ |
| - | - Подсеть, указанная в настройках Askozia на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ | + | - **Локальная** сеть. Эта подсеть определяется в **настройках Askozia** на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ |
| - | - Локальная подсеть, которая указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ | + | - Сеть **Intranet** - внутрикорпоративная локальная или территориально распределенная сеть. Она указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ |
| - | - сеть **Интернет**. | + | - Сеть **Internet** |
| + | |||
| + | 4. Напротив каждого блокируемого сервиса необходимо выбрать способ блокировки: | ||
| + | * Блокировка подсети - блокировка **локальной** подсети | ||
| + | * Блокировка локальных соединений - блокировка сети **Intranet** | ||
| + | * Блокировка Интернет соединения - блокировка сети **Internet** | ||
| + | |||
| + | ^ Объект блокировки ^ Описание ^ Диапазон портов ^ | ||
| + | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 80 | | ||
| + | | Web-интерфейс | Интерфейс настройки АТC | 23600 | | ||
| + | | SSH | SSH(Secure Shell) позволяет получить доступ к консоли AskoziaPBX | 22 | | ||
| + | | SIP | SIP(Session Initiation Protocol) используется для установки соединений между VoIP телефонами | 5060 | | ||
| + | | IAX | Страница авторизации для администратора и пользователя АТС | 4569 | | ||
| + | | RTP | RTP используется для передачи голоса и видео в VoIP соединениях | 10000:10200 | | ||
| + | | AMI | Asterisk Manager Interface (AMI) предоставляет доступ к Asterisk по TCP/IP протоколу | 5038 | | ||
| + | | AJAM | Asynchronous Javascript Asterisk Manager (AJAM) предоставляет доступ к Asterisk по http/https протоколу | 8088 | | ||
| + | | Автоматическая настройка телефонов | Автоматическая настройка VoIP телефонов с помощью AskoziaPBX | 56080 | | ||
| + | | Внутренний LDAP | LDAP Телефонная книга | 56090 | | ||
| + | |||
| + | Пример задания правил блокировок представлен на рисунке ниже:\\ {{ :handbook:security:15.png |}}\\ | ||
| + | |||
| + | <note important>Обязательно укажите **резервный IP-адрес**, для которого **всегда** будет доступно подключение к **web-интерфейсу**! Что делать, если заблокирован Ваш IP к web-интерфейсу? Подробности [[handbook:security:access|здесь]]. </note> | ||
| + | |||
| + | __Пример задания правил блокировок для AMI__\\ | ||
| + | Для интерфейса управления сервером Asterisk **AMI** установим **блокировку подсети 192.168.1.0/24**:\\ {{ :handbook:security:16.png |}}\\ | ||
| + | В настройках Firewall переходим на вкладку **Расширенные** и нажимаем кнопку **Show iptables**.\\ {{ :handbook:security:17.png |}}\\ | ||
| + | Для порта **5038** в колонке **target** видим запрет **DROP** на подсеть **192.168.1.0/24**:\\ {{ :handbook:security:18.png |}} | ||
| - | 4. Напротив каждой блокируемой группы портов необходимо выбрать способ блокировки: | + | 5. Если обращения с какого либо ip **не блокируются**, то возможно заблокировать адрес **вручную**, для этого в настройках Firewall следует добавить строку блокировки адреса в поле **"Расширенные правила"**. Пользовательские правила всегда имеют более **высокий приоритет**.\\ |
| - | * Блокировка подсети | + | {{ :handbook:security:19.png |}} |
| - | * Блокировка локальных соединений | + | |
| - | * Блокировка Интернет соединения | + | |
| - | ^ Объект блокировки ^ Описание ^ Диапазон портов | + | [[handbook:security|Обратно к перечню инструкций]] |
| - | | Стартовая страница | Страница авторизации для администратора и пользователя АТС | 23600 по умолчанию | | + | |
| | | ||
handbook/security/firewall.1496848209.txt.gz · Последние изменения: 2017/06/07 15:10 — tpor
Инструменты страницы
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: Public Domain
