Cómo hacer filtrado de capa de aplicaciones para red de voz

Pubilicado 2019-1-21 05:35:09 20 0 0 0

¿Alquila servicios de voz a sus clientes y quiere asegurarse de que su red no es vulnerable de ninguna manera a los ataques?

Esta es la única manera de asegurar la disponibilidad del 100% así que en lo siguiente le diré cómo usar su firewall de Huawei para implementar este tipo de escenario. Para esta prueba usaré un USG2110-A-GW-W. Consulte la versión de visualización de abajo:

 

Software de la plataforma de enrutamiento versátil de Huawei                                     

Versión de software: Software USG2110 V300R001C00SPC900 (VRP (R), versión 5.30)  

Copyright (C) 2008-2013 Huawei Technologies co., Ltd.                          

El tiempo de actividad de Secospace USG2110-A-GW-W es de 0 semana, 0 día, 6 horas, 47 minutos

 

El primer pensamiento cuando se discute la implementación de filtrado de paquetes de estado es usando ASPF ASPF es simple de configurar como sólo necesita configurar un comando (detectar [protocolo) .El problema con ASPF is que para el tráfico de voz, principalmente tráfico SIP, sólo puede detectar la dirección de destino y el número de puerto (5080), agregar una entrada en la tabla de sesiones de firewall y permitir todo el tráfico a ese destino específico con el puerto de destino 5080. Debido a este comportamiento, su red se vuelve vulnerable a los ataques UDP de DDOS en el puerto de destino 5080.

Para arreglar esto, es necesario implementar DPI (Deep Packet Inspection) DPI es una característica de seguridad que filtra paquetes basados en los datos de la capa de aplicación y proporcionará protección contra ataques UDP DDOS.

Configuré DPI usando la interfaz web y recomiendo hacer lo mismo que la configuración de CLI es realmente compleja. Siga los siguientes pasos para configurar DPI:

 

Paso 1: Llegó a http://sec.huawei.com y descarga el paquete DPI más reciente, por favor, consulte las siguientes imágenes:


052809tep4ijdoj4klj1d3.png?image.png




Elija la versión de software que está ejecutando en su Eudemon



053136ppol4bbefaezlb4w.png?image.png


Seleccione el último paquete DPI y descargadlo.

 

Paso 2: Carga el paquete en tu Eudemon via FTP/TFTP

 

Paso 3: Después de subir el paquete a su firewall, sugiero configurar DPI desde la interfaz web, ya que la configuración de CLI es realmente compleja. Una vez conectado a la interfaz web, vaya a UTMPolicy


053156y75yoj03w0f3m77z.png?image.png


Paso 4: Agregar una nueva política introduciendo el nombre y Aplicar



053216rkqgbuw66uukl3zl.png?image.png


Paso 5: Una vez creada la política, debe configurarla para permitir sólo el tráfico VOIP y denegar cualquier otro tráfico, para esto pulse el botón de configuración:


053247lopa1a04jjk31***.png?image.png


Paso 6: Cambie el permiso implícito de todas las políticas a bloquear el bloque y luego añada una nueva regla:



053306ldqaeg9lsfsqle6f.png?image.png


Paso 7: Configure la regla como sólo para permitir el tráfico VOIP (también tiene la opción de seleccionar los protocolos específicos del traje VOIP para permitir)



053327c77wwiiriqzs78ri.png?image.png


Paso 8: Después de que esta política se haya creado con éxito, vaya a FirewallSecurity PolicyForward Policyy agregue una nueva regla de reenvío entre zonas para las zonas afectadas:



053416e9ivmjkdxvnirhu1.png?image.png


Paso 9: Agregue las zonas entre las que se reenviará el tráfico SIP, verifique el cuadro de control de la aplicación, seleccione la Política de control que ha creado (en este caso, nombra a test como) y aplique.



053444rghg1rbgo893tr33.png?image.png


¡Felicidades! Ahora tiene una red de voz totalmente protegida.



  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba