Gewusst wie: konfigurieren Sie die "Sip-Trunk" App-ID
Resolution
Hinweis: Kunden sind nicht verpflichtet, Firewall-Richtlinien zu ändern, es sei denn, die unten beschriebenen Bedingungen sind in Gebrauch.
Problem: Firewalls sind in der Regel als ALG erforderlich, um lochLÖCHER für SIP-Sessions zu erstellen und Adress Übersetzungsmöglichkeiten zu bieten. "Sip" App-ID erstellt solche Nadelstiche, die es das Protokoll funktioniert nahtlos, ermöglichen stößt es die Firewall. Wenn ein SIP-Server kommuniziert mithilfe von statischen NAT in einer Zone (Quelle) emittiert Datenverkehr, der an einen SIP-Server in einer anderen Zone (Ziel) bestimmt ist, die Firewall schafft eine Lochkamera, die folglich einen Host mit SIP in Zielzone um zu kommunizieren ermöglicht die SIP-Server in der Zone der Quelle. Zum Beispiel ein SIP-Server P.Q.R.S in der Quelle Zone statischen NAT-Ed, D.E.F.G:5060, Sendungen ein SIP REGISTER Nachricht an einen externen SIP-Server A.B.C.D:5060 in die Zielzone. Dies führt in der Firewall Erstellen einer Lochkamera, die akzeptiert eingehende Verbindungen von Hosts in die Zielzone an D.E.F.G:5060 gerichtet.
Auflösung: die "SIP-Trunk"-App-ID deaktiviert die Erstellung eines solchen pinlochs, wenn Sie in Verbindung mit einer Applikations Überschreitung verwendet wird. Diese App-ID soll zwischen bekannten SIP-Servern verwendet werden. Die Quell- und Zieladressen dieser Server müssen angegeben werden, mit ihren SIP-Verkehr auf die neue "Sip-Trunk" App-ID überschrieben Darüber hinaus sind angesichts des Fehlens von einer Lochkamera, Administratoren erforderlich, in der Regel Sicherheitsrichtlinie konfigurieren, die Datenverkehr zwischen diesen Servern in umgekehrter Richtung zulässt. Dies ermöglicht die SIP-Server miteinander kommunizieren, und das Fehlen von der Lochblende wird verhindert, dass die Firewall akzeptieren eingehende Verbindungen von anderen Rechnern innerhalb der Zielzone.
Anforderungen:
- SIP-Registrar oder Proxy ist statisch koordinierten durch die firewall
- SIP-Trunking ist in der Umgebung verwendet werden
- Content-Datenbankversion 518 oder höher
Beachten Sie, dass die Umstellung auf SIP-Trunk erfordert alle aktiven SIP-Datenverkehr, löschen, so wird der Prozess störend auf Benutzer. Es wird empfohlen, planen eine Ausfall oder Wartung Fenster nach Stunden, um diese Änderungen zu implementieren. Alle Ports als Udp/5060, die von Ihren SIP-Server verwendet werden müssen auch die neuen Richtlinien entsprechend hinzugefügt werden.
Gewusst wie: implementieren:
(1) erstellen Sie eine Anwendung überschreiben Politik mit einer Regel, die Sip-Trunk Datenverkehr auf Udp/5060 sowie alle anderen Ports, die von dieser Anwendung in Ihrer Umgebung verwendet werden. Die Politik kann entsprechend nur die gewünschten SIP-Datenverkehr durch die Angabe von Quelle und Ziel-IP-Adressen sowie Zonen eingeschränkt werden.
(2) erstellen Sie eine Sicherheitsrichtlinie, die die "sip" Anwendung blockiert.
(3) erstellen Sie eine Serviceobjekt, das Udp/5060 sowie andere von Ihren SIP-Server benötigten Ports enthält.
(4) erstellen Sie Sicherheitsrichtlinien unter die Regel erstellt, die im vorherigen Schritt die "Sip-Trunk" Anwendung ermöglicht. Diese Richtlinie sollte entsprechend nur die gewünschten SIP-Datenverkehr durch die Angabe von Quelle und Ziel-IP-Adressen sowie Zonen eingeschränkt werden.
(5) erstellen Sie eine statische Bi-direktionale Source NAT Politik.
(6) Politik zu begehen.
7) löschen Sie alle aktuellen SIP-Sessions aus dem CLI (Hinweis: Dieser Befehl stört alle aktiven SIP-Traffic):
> Deaktivieren Sie alle Anwendung Sip Filter Session
(8) löschen Sie die Anwendungs-Cache von der CLI:
> appinfo2ip klar