borderrule (borderrule)
Описание
Статическое правило фильтрации входящих SIP-запросов. Применяется в целях защиты от атак SIP-ролями, находящимися на границе развернутой системы «Era».
Остальные SIP-роли принудительно фильтруют по адресу отправителя, допуская лишь пакеты от других внутренних серверов.
Система применяет самое приоритетное из подходящих по условиям правил.
В качестве значения IP-адреса может выступать IP-адрес (напр. 192.168.0.10), маска подсети (напр. 192.168.0.0/24), диапазон IP-адресов (напр. 172.25.0.50+10).
Входящие сообщения проходят двойной цикл проверки. Сначала среди правил выбираются те, где задан только фильтр по IP-адресу/маске удаленной стороны. Эта проверка не требует больших ресурсов. Правила, в которых заданы другие фильтры автоматически пропускают сообщения с первого этапа на второй. Если сообщение не отфильтровано на первом этапе, то оно допускается в систему, и после парсера к разобранному сообщению применяются все правила с их фильтрами, включая те, где заданы фильтры на домен заголовка From, имя пользователя заголовка From, юзерагента (заголовок User-Agent) и т.д. Это необходимо учитывать при формировании белых списков, где последнее по приоритету правило - отказать всем.
Правила, где задан только фильтр по IP-адресу/маске, влекут запрет на размещение адресов в динамическом бан-листе (превышение количества попыток авторизации с разными учетными данными в течение короткого интервала времени).
Поля
{
"id": uuid,
"priority": str,
"site": str,
"domain": str,
"username": str,
"useragent": str,
"remoteipmask": str,
"action": str,
"opts": {
"title": str,
"comment": str
},
"ext": {
"ct": date,
"lwt": date
}
}| Спецификация | Описание |
|---|---|
Поле: |
Идентификатор. Может быть задан при создании, иначе генерируется системой. |
Поле: |
Выключатель правила |
Поле: |
Приоритет. Меньшее значение означает более высокий приоритет. |
Поле: |
Сайт, на котором применяется правило. |
Поле: |
Сервис, на котором применяется правило. |
Поле: |
Домен отправителя или регулярное выражение. |
Поле: |
Имя пользователя или регулярное выражение. |
Поле: |
Значение поля UserAgent в SIP запросе или регулярное выражение. |
Поле: |
Маска IP-адреса отправителя.
|
Поле: |
|
Поле: |
|
Поле: |
Произвольный заголовок |
Поле: |
Произвольный комментарий |
Поле: |
Позволяет расширять состав произвольными ключами и значениями |
Поле: |
Время создания объекта |
Поле: |
Время последней модификации объекта |
Действия при получении входящих запросов
| Значение | Описание |
|---|---|
|
Разрешено |
|
Запрещено. Игнорирование запроса без отправки ответа. |
|
Запрещено. Возврат ответа с отказом. |
Виды сервисов
| Значение | Описание |
|---|---|
|
Применяется только на веб-сервере для HTTP(S) и WS(S) запросов к API. |
|
Применяется только на sg (TCP, UDP, TLS, WS, WSS). |
|
Применяется только на esg (TCP, UDP, TLS). |
|
Применяется только на autoprovision (TFTP). |
|
Применяется на всех пограничных SIP-сервисах: sg, esg, ap. |
|
Применяется на всех вышеперечисленных сервисах. |