分机安全概述
本文介绍分机相关的安全选项,用于防止恶意的分机注册和盗打电话。
SIP 安全选项
Yeastar P 系列软件版 提供以下安全设置,防止恶意的分机注册。
- 允许远程注册
- 使用分机远程访问 PBX 时,PBX 会暴露在公网环境中,这增加了网络攻击的风险。
该选项默认禁用。注: 建议仅在需要远程配置分机时才开启此项。
- SIP 用户代理认证
-
默认情况下,话机注册分机时,无需校验用户代理身份。为增强分机安全性,你可以通过用户代理认证限制分机注册。
话机尝试注册分机时,会在注册请求数据包中的 user agent 字段携带终端的相关信息,如厂商、终端型号等。如果话机发送的 user agent 前缀信息与 PBX 上设置的 user agent 认证信息不一致,则 PBX 将拒绝该话机的注册请求。
更多信息,请参见 通过用户代理认证限制分机注册。
- SIP 注册 IP 地址限制
- 默认情况下,话机注册分机时,无需校验 IP 地址。
- Yeastar FQDN SIP 注册安全
- 若启用了 Yeastar FQDN 的 SIP 访问功能 (路径:,你可以通过以下两个层面控制远程 SIP 访问,从而增强远程注册的安全性。
- 基于分机账号限制:指定哪些分机账号可以 (或不可以) 通过 FQDN 远程注册。
- 基于注册来源限制:只允许来自指定 IP 地址或网段的设备进行远程注册。
通话限制
Yeastar P 系列软件版 提供下列安全选项,防止盗打电话。
注: 以下限制不会影响分机用户拨打紧急号码。如果你想配置紧急呼叫,请参见 紧急呼叫概述。
- 禁止外呼
- 限制用户拨打外线电话。
更多信息,请参见 限制分机用户拨打外线电话。
- 非办公时间禁止外呼
- 禁止用户在下班时间和节假日拨打外线电话。
- 禁止呼叫国际长途
- 禁止用户拨打国际长途电话。注: 该功能需配合 启用国家/地区号码呼叫防御 使用。更多信息,请参见 禁止拨打国际长途电话。
- 呼出频率限制
- 当在指定时间周期内,分机拨打外线电话的次数超出了呼出频率限制,系统会限制该分机拨打外线电话。
- 最大呼出通话时长(秒)
- 当用户的外线通话达到最大呼出通话时长时,系统会挂断通话。
呼出路由使用权限
选择允许此分机使用的呼出路由。
注: 如果一个呼出路由设置了允许某个分机组使用,而此分机是该分机组的成员,则无法在此处禁用该路由的使用权限。
登录安全
Yeastar P 系列软件版 提供以下安全选项以保护分机用户的账号。
- 双因素身份验证 (2FA)
- Yeastar P 系列软件版 支持分机用户设置双因素身份验证 (2FA),除了用户名和密码外,用户需要再提供一个验证码才可登录分机账号,从而保护其账号安全。
- 要强制所有分机使用双因素身份验证,可参考 为所有分机用户强制启用双因素身份验证。注: 你无法为单个分机启用双因素身份验证。但当分机用户设置了 2FA 但无法通过 2FA 登录时 (如无法通过邮件收到验证码),你可以单独为该分机禁用此功能 (路径:),使得用户可以直接使用用户名和密码登录。
- 关于用户如何在 Linkus 客户端上启用和设置双因素身份验证,请参见 在 Linkus 网页端上启用双因素身份验证 和 在 Linkus 桌面端上启用双因素身份验证。
- 要强制所有分机使用双因素身份验证,可参考 为所有分机用户强制启用双因素身份验证。
- 强制修改密码
- 超级管理员可以设置是否强制分机用户定期修改密码,以提高分机账号安全。
更多信息,请参见 设置分机用户定期修改密码。