تنظیم فایروال برای CME

از مهمترین مواردی که برای ویپ باید در نظر گرفت امنیت آن است. برای امنیت مرکز تلفن سیسکو در این مقاله تنظیم فایروال برای CME را آموزش می دهیم. توجه داشته باشید بحث امنیت در مبحث ویپ بر روی پورت های ورودی به سازمان و جاهای دیگر نیز باید انجام شود تا اجازه ورود افراد گرفته شود.

در ادامه با تیما شبکه مبحث امنیت در CME را با هم می بینیم.

تنظیم فایروال سیسکو برای مرکز تلفن CME

در صورتی که از اکانت SIP در مرکز تلفن CME استفاده می شود یا ترانک SIP دارید ابتدا فقط اجازه برای IP های مجاز را صادر می کنیم.

Router#configure terminal 
Router(config)# voice service voip
Router(conf-voi-serv)#ip address trusted list
Router(cfg-iptrust-list)# ipv4 192.168.10.0 255.255.255.0 

با این دستور فقط رنج 255.255.255.0 192.168.10.0 می توانند به روتر متصل شوند. میتوانیم فقط یک تک IP را نیز قرار دهیم. برای مثال ipv4 192.168.10.10

حالا یک فایروال برای روتر تعریف می کنیم. در این فایروال فقط IP ها و پورت های مجاز را اجازه عبور داده و بقیه را می بندیم.

ip access-list extended 100
 permit tcp 192.168.10.0 0.0.0.255 any eq 5060 
 permit tcp 192.168.10.0 0.0.0.255 any eq 5061
 permit udp 192.168.10.0 0.0.0.255 any eq 5060 
 permit udp 192.168.10.0 0.0.0.255 any range 10000 20000
 permit tcp 192.168.10.0 0.0.0.255 any eq 1718 1720
 permit tcp 192.168.10.0 0.0.0.255 any eq 22 
 permit tcp 192.168.10.0 0.0.0.255 any eq telnet 
 permit udp 192.168.10.0 0.0.0.255 any eq tftp 
 permit tcp 192.168.10.0 0.0.0.255 any eq 2000 
 permit icmp 192.168.10.0 0.0.0.255 any echo-reply
 permit icmp 192.168.10.0 0.0.0.255 any echo
 deny   ip any any
 exit

پورت 5060/5061 مربوط به SIP است. پورت 2000 مربوط به SCCP است. پورت 1718 تا 1720 مربوط به H.323 است میتوانید بر حسب نیاز پورت های بیشتری را باز کنید. برای اینکه همه IP ها بتوانند وصل شوند به جای رنج آی پی شبکه 0.0.0.0 را وارد کنید. اکنون در پورت های ورودی روتر این فایروال را اعمال می کنیم.

Router# configure terminal
Router(config)# interface FastEthernet0/0
Router(config-if)# ip access-group 100 in

بیشتر بخوانید: آموزش راه اندازی مرکز تلفن سیسکو CME