近日，多名客户使用IPPBX和语音网关出现被盗打行为，损失不少。在这里再次提醒各位用户和经销商，拿到机器后需要做安全策略。

一般因为异地组网或者外网注册，导致设备必须连接互联网，此时SIP注册端口映射到互联网上。网上有专门的VoIP扫描盗打脚本，来扫描互联网上可能存在的SIP服务器，一旦扫描到目标，就尝试猜测注册，使用常见的分机号码和密码开始暴力破解，一旦注册成功，就开始盗打国际长途付费电话。

如果任何内网设备都不能访问外网，也不能被外网访问，纯内网使用，可以不设置安全策略。

有互联网暴露时，至少做到以下安全机制：

1.    修改WEB登录密码。

2.    修改SIP注册端口。

3.    设置SIP分机强注册密码，特殊字符+大小写字母+数字的混合使用。

4.    开启SIP自动防御。

5.    开启WEB自动防御。

有条件的情况下，还应该开启：

1.    SIP分机 用户代理注册认证。

2.    SIP分机 IP地址限制。

3.    取消 WAN口访问WEB（仅限LAN口管理的情况下）。

4.    取消 WAN口访问SSH（仅限LAN口管理的情况下）。

5.    设置设备防火墙（仅限精通网络防火墙的网管人员操作，以免无法上网）。

6.    上级路由器的网络防火墙（仅限精通网络防火墙的网管人员操作，以免无法上网）。

7.    启用TLS注册，需要SIP终端支持。

8.    开启SRTP语音加密，需要SIP终端支持。

如果机器已经在使用，请先备份后再操作：（避免误操作，设备无法访问WEB界面，导致需要初始化机器）

详情请下载查看《IPPBX和语音网关有关防盗打的安全配置》文档，点击文档名下载.