网络安全

避免通过端口映射的方式实现远程访问

如果企业允许员工远程办公或移动办公，那么员工往往需要远程访问电话系统。为本地部署电话系统的企业规划远程通信方案时，大部分提供商都会推荐使用端口映射。简单来讲，端口映射会将公网 IP 地址的某个端口映射到局域网中的 PBX，这样一来，你的电话系统会直接暴露在公网，很有可能带来安全问题，因为攻击者可以通过扫描端口找到你的电话系统并发起攻击。

Yeastar P 系列 IPPBX 提供隧道服务，可在不映射端口的情况下帮助企业实现电话系统的远程访问。使用隧道服务，你可以自定义 PBX 域名，还可以通过 Linkus UC 客户端实现远程协同办公和电话系统管理。此外，隧道服务支持通过访问权限控制来进一步增强安全性。你可以设置是否允许通过隧道服务进行远程 SIP 注册，或者远程访问网页、Linkus、LDAP 或 API，并通过分机、部门、IP 地址等限制规则实现更精细的访问控制。

基于 Yeastar 共享的 IP 黑名单限制访问 PBX

Yeastar 推出 全球黑客 IP 黑名单库计划，此黑名单库集中记录了被全球的 Yeastar PBX 拉黑的 IP 地址以及存在潜在威胁的 IP 地址。

此黑名单库共享给所有的 Yeastar PBX。加入此黑名单库计划后，当黑名单中的 IP 地址尝试访问 PBX 时，系统将自动拒绝请求，从而降低网络安全风险。

进入 安全 > 安全设置 > 防御选项 > 加入全球黑客IP黑名单库计划，再次确认你已加入此黑名单库计划。

基于国家 / 地区限制访问 PBX

根据地理位置限制特定国家或地区访问 PBX。PBX 将仅允许来自信任的地理位置的访问，并自动拒绝其他区域的访问。

要设置基于地理位置限制访问，执行以下操作：

基于静态防火墙规则限制访问 PBX

静态防火墙规则基于 IP 地址、域名或 MAC 地址监测和控制入站流量，可有效保护受信任设备的连接、防御已知威胁。Yeastar P 系列 IPPBX 内置多条默认规则，允许本地网络设备、自动配置设备、Yeastar 服务访问系统。你也可以自定义规则来 接受、忽略、拒绝 指定流量。

进入 安全 > 安全规则 > 静态防御，查看默认防御规则，并按需添加自定义规则。

基于动态防火墙规则限制访问 PBX

动态防火墙规则通过监控指定时间内发送到特定端口的数据包数量，有效防止大规模连接尝试或暴力攻击。 Yeastar P 系列 IPPBX 内置默认的自动防御规则，用于保护 SSH 连接、SIP 注册、以及 Web 访问。 你也可以添加自定义规则，进一步增强安全。