SBC имеет несколько механизмов, обеспечивающих безопасность вызовов:
-
- Встроенный firewall, который обеспечивает следующие функции (подробнее в разделе 3.1.8.5 Статический брандмауэр):
-
-
- Фильтрация по IP-адресам, портам и протоколам;
- Фильтрация пользователей по географическому признаку (GeoIP);
- Фильтрация по строкам, содержащимся в сообщениях.
-
-
- Ограничения вызовов в правилах Rule Set (подробнее в разделе 3.1.6.5):
-
-
Действие "reject" - позволяет запретить прохождение вызовов по условиям, подпадающим под правило. Например, можно использовать правило для запрета прохождения международных вызовов "Имя из заголовка To" с маской имени "^+*[78]10.+";
Действие "send to..." с использованием фильтров. Например, можно установить ограничение вызовов только по России, используя правило "Имя из заголовка To" в виде маски "^7[3489].{9}$";
- Ограничение по времени действия правила. Таким образом можно ограничить время действия услуги связи или запретов связи, комбинируя ограничение по времени действия и правила "reject" и "send to...".
-
-
- Защита от DoS-атак (подробнее в разделе 3.1.8.7):
-
-
- Защита от ICMP-флуда. В этом режиме SBC не будет откликаться на запросы ICMP type 8 и type 13;
- Обнаружение port scan. SBC будет анализировать попытки доступа и при обнаружении сканирования портов заблокирует нарушителя;
-
- Список запрещённых клиентских приложений. SBC будет блокировать SIP-запросы по обнаружению в User-Agent заданных шаблонов, которые соответствуют популярным SIP- сканерам и утилитам для совершения различных атак;
- Защита от SIP-флуда. SBC анализирует активность как сетевых хостов, так и отдельных абонентов на предмет действий, рассматриваемых как флуд или попытки подбора паролей. Также SBC начинает заменять ответы 404 на 403 для затруднения сканирования распределения номеров.