VoIPトラフィックのインスペクション

はじめに

VoIP(Voice over Internet Protocol)は、音声通信やマルチメディア セッションを、インターネットのようなインターネット プロトコル(IP)ネットワークで配信する技術です。主要配信メソッドは2つあります。プライベート/オンプレミス ソリューション、またはサードパーティ プロバイダによる外部ホストのソリューションです。

VoIPトラフィックのインスペクションは、すべてのQuantum Sparkアプライアンスでサポートされています。

WebUIでVoIPインスペクションを設定するには

  1. [アクセス ポリシー]>[VoIP]へ移動します。

  2. オンをクリックします。

    VoIPがすでに設定されている場合、設定を編集することができます。

  3. 次のセクションへ行くには、下矢印をクリックしてください。

  4. オフプレミスSIPプロバイダサービスの見出しをクリックしてセクションを表示します。

    必要な設定を行います。

    1. SIPプロバイダを使用するチェックボックスをクリック - 利用可能なネットワーク オブジェクトがグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。名と共にテーブルに表示されます。単一IPまたは外部IPアドレスを持つサーバの範囲を選択できます。

    2. 新規をクリックして新しいIPアドレスを追加します。IPアドレスを削除するには、そのIPアドレスを選択して[削除]をクリックします。

    3. [このプロバイダからのトラフィックをログ記録する]オプションをオンまたはオフにします。

    4. [SIPトラフィックインスペクションを無効にする]オプションをオンまたはオフにします。

      このオプションをオンにした場合、SIPトラフィックについてアプリケーションレベルのインスペクションとNATを許可します。

      このオプションをオフにした場合:

      • RTPポートは手動で設定する必要があります。

      • UDP SIP接続(「SIP_UDP」サービス)のタイムアウトは、TCP SIP接続(「SIP_TCP」サービス)のデフォルトのタイムアウトと同じです。

        - R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

    5. SIPプロバイダが定義されている場合は双方向トラフィックを有効にするように選択します。これにより、SIPサービスプロバイダでの双方向のトラフィックが許可されます。

      サービスで返答を受け取らない場合は、双方向トラフィックは確立しません。ポップアップウィンドウが開いて、続行するかどうか確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。メッセージが表示されます。

  5. オンプレミスデバイスの見出しをクリックしてセクションを表示します。

    ネットワークオブジェクト閉じた コンピュータ、IPアドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者は、これらのオブジェクトをセキュリティポリシーで使用します。がグループ名と共にテーブルに表示されます。

    新規をクリックしてアイテム追加します。

    アイテムを選択し、削除をクリックして削除します。

    必要な設定を行います。

    • SIPサーバ(PBX)なしのオンプレミスの電話を使用

      SIPサーバプロバイダが未定義の場合、オンプレミスの電話のIPアドレスの定義は不要です。

    • インターネットからPBX管理ポータルへのアクセスを許可

  6. オフプレミスの電話をクリックしてセクションを表示します。

    - 各選択に該当するトポロジが自動的に表示されます。

    次の1つ以上のオプションを選択します。

    • 電話はサイト間VPNで接続

    • 電話はVPNリモートアクセスで接続

    • 電話はパブリックIPで設定

      ネットワークオブジェクトがグループ名と共にテーブルに表示されます。

      新規をクリックしてアイテム追加します。

      アイテムを選択し、削除をクリックして削除します。

  7. SIPサービスの見出しをクリックしてセクションを表示します。

    SIP UDP/TCPポートを選択します(デフォルト値は5060)。

    すべての電話で設定したポートを使用する設定にしてください。

    新規をクリックして新しいSIPサービスを追加します。

    削除をクリックしてサービスを削除します。

これらの設定を適用すると、インターネットへの外部アクセス着信、内部およびVPNトラフィックルール閉じた ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。が自動的にファイアウォール アクセス ポリシーページに作成されます。

-

  • PBXなしのオンプレミス設定の場合、宛先はIP_Phonesオブジェクトになります。

  • PBXポータルへのアクセスを許可する場合は別のルールが作成されます:

    ソース

    宛先

    アプリケーション/サービス

    アクション

    ログ

    コメント

    任意

    PBX-Server

    HTTP/S

    許可

    なし

    生成ルールSIP VOIP

転送ルールは自動的に[アクセス ポリシー]>[NATルール]ページに作成されます。

- リモート アクセスする外部の電話の場合、オフィス オブジェクトが自動的にネットワーク オブジェクトセクションに作成され、"set back connection"設定が"true"に設定されます。

この設定手順を実行することで、次の場合にSIPトラフィックがゲートウェイを通過できるようになります。

  • SIPサーバが外部ネットワークにある場合トポロジの詳細については、sk113573を参照してください。

  • ゲートウェイのNAT設定がデフォルトに設定されている (内部ネットワークがその外部IPアドレスに隠れている) 場合

設定

SIPサーバがインターネットから内部電話にアクセスできるようにするには

  1. [アクセス ポリシー]>[ポリシー]ページへ移動します。

  2. [着信、内部およびVPNトラフィック]ルール ベースに、SIPトラフィックを許可するルールを追加します。

    ソース

    宛先

    アプリケーション/サービス

    アクション

    ログ

    SIPサーバのIPアドレスを持つネットワーク オブジェクト

    ゲートウェイ背後の電話のIPアドレスを持つネットワーク オブジェクト

    SIP

    許可

    該当するオプションを選択

    詳細については、ファイアウォール アクセス ポリシーを参照してください。