Коралл-РА 2000-SBC
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Андрей Ушкаров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Андрей Ушкаров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Ограничение доступа к управлению по протоколам WEB/Telnet/SSH/SNMP.

Для ограничения доступа к управлению следует воспользоваться настройками в разделах 3.1.5.3 Сетевые интерфейсы -> Сервисы и 3.1.8.6 Сетевые интерфейсы и Список разрешённых IP-адресов. Сначала на сетевых интерфейсах, куда необходимо разрешить доступ, выставляются флаги протоколов, по которым необходимо разрешить доступ. Таким образом будет выставлено ограничение по адресу назначения. После этого настраивается список разрешённых IP адресов, который дополнительно выставит ограничение по адресу источника по адресам из списка.


Ограничение доступа к интерфейсам SIP определёнными адресами и/ли географическими локациями.

По-умолчанию для SIP destination правила защиты создаются автоматически. Однако, если выставлена опция "Разрешить перенаправление", то правила созданы не будут. Также не создаются автоматически правила для SIP trunk. Для их защиты требуется настроить статический брандмауэр (раздел 3.1.8. 5). На примере настройки доступа с такими ограничениями:

...

  1. Правило для входящего трафика с типом "GeoIP" и страной "Russian Federation (RU)". Действие - Accept;
  2. Правило для входящего трафика с типом "Обычное" и IP-адресом и маской источника "34.92.128.128/255.255.255.240". Действие - Accept;
  3. Правило для входящего трафика с типом "Обычное", источник пакета "Любой". Действие - Drop; После этого выбрать в списке интерфейсов нужные сетевые интерфейсы и сохранить настройки.


Полное ограничение доступа к SMG с определённого адреса или подсети.

Такое ограничение можно реализовать, активировав динамический брэндмауэр (раздел 3.1.6.2) брандмауэр и внести адрес или подсеть в чёрный список. Обратите внимание - если адресов слишком много, то лучше пойти от обратного и создать правила статического брандмауэра (раздел 3.1.8.5)   по принципу "сначала разрешить соединение доверенным узлам, затем отбросить всё" и настройками ограничения доступа через список разрешённых IP-адресов (раздел 3.1.8.6);


Автоматическая блокировка неудачных запросов/авторизаций.

Выполняется динамическим брэндмауэром (раздел 3.1.6.2)брандмауэром. Следует активировать динамический брандмауэр и настроить условия срабатывания. Также рекомендуется внести в белый список те адреса и подсети, к которым не должны применяться правила автоматической блокировки.