网络安全
网络安全是多层安全策略的第二道防线,它的作用在于监控入站流量,并根据预定义的安全规则允许或阻止入站流量。你可以通过 隧道服务、全球黑客 IP 黑名单库、允许的国家 IP、静态防御、动态防御 增强网络安全。
避免通过端口映射的方式实现远程访问
如果企业允许员工远程办公或移动办公,那么员工往往需要远程访问电话系统。为本地部署电话系统的企业规划远程通信方案时,大部分提供商都会推荐使用端口映射。简单来讲,端口映射会将公网 IP 地址的某个端口映射到局域网中的 PBX,这样一来,你的电话系统会直接暴露在公网,很有可能带来安全问题,因为攻击者可以通过扫描端口找到你的电话系统并发起攻击。
Yeastar P 系列 IPPBX 提供隧道服务,可在不映射端口的情况下帮助企业实现电话系统的远程访问。使用隧道服务,你可以自定义 PBX 域名,还可以通过 Linkus UC 客户端实现远程协同办公和电话系统管理。此外,隧道服务支持通过访问权限控制来进一步增强安全性。你可以设置是否允许通过隧道服务进行远程 SIP 注册,或者远程访问网页、Linkus、LDAP 或 API,并通过分机、部门、IP 地址等限制规则实现更精细的访问控制。
基于 Yeastar 共享的 IP 黑名单限制访问 PBX
Yeastar 推出 全球黑客 IP 黑名单库计划,此黑名单库集中记录了被全球的 Yeastar PBX 拉黑的 IP 地址以及存在潜在威胁的 IP 地址。
此黑名单库共享给所有的 Yeastar PBX。加入此黑名单库计划后,当黑名单中的 IP 地址尝试访问 PBX 时,系统将自动拒绝请求,从而降低网络安全风险。
进入
,再次确认你已加入此黑名单库计划。基于国家 / 地区限制访问 PBX
根据地理位置限制特定国家或地区访问 PBX。PBX 将仅允许来自信任的地理位置的访问,并自动拒绝其他区域的访问。
要设置基于地理位置限制访问,执行以下操作:
- 进入 。
- 打开 启用国家地区IP访问防御 开关。重要: 如果出现弹窗,你必须确认授权你所在国家或地区的访问,否则你将无法访问你的电话系统。
- 在右上角的搜索框中,搜索你要允许访问的国家或地区,并在 操作 栏打开开关。
- 点击 应用。
基于静态防火墙规则限制访问 PBX
静态防火墙规则基于 IP 地址、域名或 MAC 地址监测和控制入站流量,可有效保护受信任设备的连接、防御已知威胁。Yeastar P 系列 IPPBX 内置多条默认规则,允许本地网络设备、自动配置设备、Yeastar 服务访问系统。你也可以自定义规则来 接受、忽略、拒绝 指定流量。
进入
,查看默认防御规则,并按需添加自定义规则。- 默认的静态防御规则
- 自定义静态防御规则示例
-
表 1. 示例一:允许信任的 IP 地址远程注册 场景 设置 添加静态防御规则,允许信任的 IP 地址远程注册 Yeastar PBX。
例如,信任的 IP 地址为
110.30.25.152
。
基于动态防火墙规则限制访问 PBX
动态防火墙规则通过监控指定时间内发送到特定端口的数据包数量,有效防止大规模连接尝试或暴力攻击。 Yeastar P 系列 IPPBX 内置默认的自动防御规则,用于保护 SSH 连接、SIP 注册、以及 Web 访问。 你也可以添加自定义规则,进一步增强安全。
- 默认的自动防御规则
- 自定义自动防御规则示例
-
表 3. 示例:禁止连接 Linkus 场景 设置 添加一条防御规则,如果某个 IP 地址在 60 秒内发送超过 120 个数据包,则禁止其连接 Linkus。