- 软件下载
- MX8G v371
- HX4G V371
- MX120G V371
- MX60E V371
- OM500 V192 L1
- OM200G V192 M5
- OM80E V192 H5
- OM50G V192 N2
- OM20G V192 P2
- 全录录音代理软件V2.3.27(收费版)
- 常见问题
- 关于侬好和喂喂软件
- 关于多级IVR&值班表
- 关于IMS应用
- 关于双网口
- 关于穿透服务
- 如何抓录端口信号?
- 如何抓数据包?
- 为什么话机设置缩位拨号,按“*74+缩位号码+前缀+外线号码”的流程设置后,却无法拨通?
- 如何保存系统日志?
- 如何查询用户线号码?
- 如何上传或下载配置文件?
- 迅时设备如何升级固件?
- 咨询转与外转外有什么区别?
- 呼叫等待、呼叫保持和呼叫驻留三者有什么区别?
- 什么是DID专用和DID共享?两者有什么区别?
- 同振与群振有什么区别?
- 分机的权限不能拨打外线,万一出事要报警怎么办?
- 为什么总机咨询转分机后,分机无法再转回给总机呢?
- 迅时OM系列IPPBX是否可以用模拟分机上的R键做呼叫转接?
- 为什么通话中有噪音?
- 分机无法外呼怎么办?
- 如何调整通话音量?
- 模拟分机有串音(当使用话机时听到其他分机上的通话声)怎么办?
- 同一个IP地址配置在电脑上能ping通,配置在网关上无法ping通?
- 如何对线路进行批量配置
- 如何查看迅时网关的注册状态?
- 迅时设备无法访问,界面显示500
- 访问迅时设备Web界面使用哪些浏览器兼容性较好?
- 如何排查迅时网关注册不成功的原因
- 迅时设备如何恢复出厂?
- 如何使用话机更改迅时设备的IP地址
- 如何访问迅时设备的Web界面
- 迅时产品线有哪些?
- OM系列IP-PBX常见问题
- 400座机手机呼叫中心客服中心电话系统服务
- 来显检测常见问题
- NRP1000系列IP话机常见问题
- 常用配置
- 迅时设备路由表添加指南
- 云平台配置指南
- OM20G/50G UC软件许可安装指南
- 如何获取喂喂账号?
- 迅时OM20安装使用教程(含视频)
- FXO语音网关外网注册
- FXS语音网关外网注册
- 多台OM系列IP-PBX组网
- “喂喂”App从外网注册
- 全录使用指南
- 配置OM20/50的内置录音
- 配置来电显示检测模式
- 配置电话区位号
- 配置系统时间
- 修改语音编解码顺序
- 迅时融合语音录音专题(含视频)
- MX网关与OM IP-PBX穿透组网配置指南
- 多台OM IP-PBX穿透组网配置指南
- 迅时融合语音组网专题(含视频)
- 迅时融合语音安全专题(含视频)
- 制作个性化来电欢迎词
- 内网分机注册
- IP话机外网注册
- 设置来电接听组
- 设置直线电话(DID)
- 将网关注册到SIP服务器
- 方案设计
- “一号双机”中座机与喂喂无法同时使用穿透服务
- 企业跨区域电话组网的五大场景
- MX系列语音网关安全检查
- OM系列IP-PBX安全检查
- SX3000企业级SBC安全检查
- OM20/50典型部署场景
- 迅时行业解决方案(含视频)
- 迅时年度新品专题
- 迅时MX100G-S高性能数字中继网关实测分享
- 迅时IP-PBX五大特色应用
- FXO口的典型应用
- FXS网关作为IP-PBX的扩展分机
- FXO网关作为IP-PBX的落地网关
- FXS网关与FXO网关点对点对接
- 两台FXS网关点对点对接
- 新手上路
- 迅时视频会议软件——Newlync
- 迅时移动加密通话平台Newlync
- 迅时集团电话交换机全系列产品介绍
- 迅时IP-PBX接入的4种电话线路及拨号规则说明
- 侬好商务电话管家快速入门
- 更换呼叫保持背景音乐
- 配置分机彩铃
- OM系列IP-PBX安装设计“三考虑”
- OM系列IP-PBX安装前“三了解”
- FXO口信令
- 获取设备IP地址
- 访问设备Web界面
SX3000企业级SBC安全检查
更新时间:2018-05-04 17:40:31 浏览次数:5193 下载次数:1
1、确认Console接口配置了登录密码
Console接口不设置登录密码,任何人都可以通过Console接口登录设备,存在隐患配置说明:
- 进入Console视图(每次进入提示输入用户名和密码)
- Console密码与Telnet或SSH密码相同
- 修改密码可通过Web页面或后台修改
Web修改方式:“高级 > 安全管理 > Telnet/SSH 服务密码”
后台修改方式:输入passwd,依次输入新密码和确认密码即可生效
- 拔掉Console线之前必须先输入exit命令进行注销,防止后续Console的使用不经过密码认证
2、确认远程登录密码已更改
Web和后台访问的用户名和密码都尽量设置复杂一些,否则容易被窃取配置说明:
- Web管理员和操作员密码设置方式:“系统工具 > 修改密码”--配置新的管理员密码及操作员密码
- Telnet/SSH管理密码设置方式:“高级 > 安全管理 > Telnet/SSH 服务密码”
3、确认Web访问端口
默认Web访问端口为80,是已知的公开端口,存在隐患配置说明:
Web端口修改方式:“高级 > 安全管理 > Web服务”
4、添加有限个白名单IP允许远程管理
当不得不需要Web或Telnet管理时,需要开启白名单,允许白名单的终端可以访问设备配置说明:
- 开启Web管理白名单:“高级 > 安全管理 > 白名单”--勾选Web管理“开启白名单”--点击“添加”--输入IP地址
- Telnet开启白名单方式相同
5、拦截或允许指定IP或IP段对设备的访问
设备部署在公网容易受到网络攻击,启用访问控制规则,可拦截非法数据包,增加安全性配置说明:
“高级 > 安全管理 > 访问控制”--在文本框添加访问规则,举例如下:
允许10.128.23.23这个终端SSH访问
/var/run/iptables -A INPUT -s 10.128.23.23 -p tcp --dport 22 -j ACCEPT
/var/run/iptables -A INPUT -p tcp --dport 22 -j DROP
允许10.128.0.0这个网段可以访问Web
/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 80 -j ACCEPT
/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 443 -j ACCEPT
/var/run/iptables -A INPUT -p tcp --dport 80 -j DROP
/var/run/iptables -A INPUT -p tcp --dport 443 -j DROP
允许10.128.0.0这个网段可以Telnet访问
/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 23 -j ACCEPT
/var/run/iptables -A INPUT -p tcp --dport 23 -j DROP
拒绝220.248.118.88这个IP对5060SIP服务端口进行访问
/var/run/iptables -A INPUT -s 220.248.118.88 -p udp --dport 5060 -j DROP
/var/run/iptables -A INPUT -p udp --dport 5060 -j ACCEPT
6、SIP服务端口配置为非5060端口
5060端口为已知公开的SIP端口,作为服务端口很容易被攻击配置说明:
“服务端口”--配置对应网口的服务端口
7、确认启用TLS对信令及媒体流加密
开启TLS加密方式能有效保护信令和媒体流在网络上的传输配置说明:
终端设备都支持TLS加密方式的情况下建议SX3000启用TLS,提高安全性
“服务端口”--选择需要加密的网口--选择需要加密的端口,在加密方式下选择TLS
“高级 > SSL证书管理”--进行证书相关配置,并上传“SIP TLS 加密证书”
8、确认Web访问基于https方式
https方式可增加管理员在对Web页面进行配置时,数据在网络上传输的安全性配置说明:
设备出厂已默认为https方式
9、确认设备后台只支持sftp上传或下载
sftp方式可增加管理员在后台进行数据传输时的可靠性配置说明:
设备出厂已默认为sftp方式
10、确认TR069管理基于https方式
https方式可增加数据在网络传输的安全性配置说明:
“高级 > 系统 > TR069 > 服务器URL”--配置支持https交互的TR069服务器地址
11、确认设备已关闭ping功能
设备开启ping功能,容易被网络攻击配置说明:
设备出厂已关闭ping功能,设备能ping外部,但不能被外部ping
12、关闭不使用的服务
开放不需要的服务,容易被攻击配置说明:
当不需要进行后台操作时,建议关闭Telnet或SSH服务。“高级 > 安全管理 > Telnet服务/SSH服务”--关闭