Chuyển tới nội dung chính

Tính năng bảo mật của SkyX PBX

Tổng quan

Việc quản lý hệ thống VoIP từ giai đoạn lập kế hoạch đến triển khai khiến việc bảo mật VoIP trở thành một trong những mối quan tâm chính của bạn. Tài liệu này trình bày các hướng dẫn đơn giản và rõ ràng cho SkyX PBX, nó có thể giúp bạn hiểu và khiến việc triển khai SkyX PBX trở nên kiên cường hơn trước các cuộc tấn công mạng.

Bảo mật cổng

SkyX PBX cung cấp nhiều dịch vụ sử dụng các giao thức khác nhau trên các cổng khác nhau. Để bảo mật PBX, hãy chặn các cổng không cần thiết trên tường lửa và chỉ cho phép các cổng dưới đây được truy cập từ xa:

Dịch vụCổngMô tả
Cổng Web (Web Portal)8887Cổng Web qua HTTPS
Cấp phép điện thoại IP (IP Phone Provisioning)8888Cấp phép điện thoại IP
Bảng điều khiển hàng đợi (Queue Wallboard)8889Để truy cập Bảng điều khiển hàng đợi
Rest API8887Rest API qua HTTPS
WebRTC10443Máy khách WebRTC qua HTTPS
Cổng Web SBC (SBC Web Portal)8883Cổng Web SBC qua HTTPS
Cấp phép điện thoại IP8882Cấp phép điện thoại IP qua SBC trên HTTP
WSI8885Giao diện WebSocket
RTP45000-64999Các cổng UDP cho các gói RTP trên PBX
RTP25000-34999Các cổng UDP cho các gói RTP trên SBC
SIP5066Cổng tín hiệu SIP trên SBC qua UDP
SIP5067Cổng tín hiệu SIP trên SBC qua TCP
SIP5060Cổng tín hiệu SIP trên PBX qua UDP
SIP5061Cổng tín hiệu SIP trên PBX qua TLS
SIP5063Cổng tín hiệu SIP trên PBX qua TCP
SIP5065Cổng tín hiệu SIP trên SBC qua WSS
SSH22Cổng SSH qua TCP

Ở chế độ mặc định, SkyX tạo truyền tải UDP trên cổng 5060 và truyền tải WSS trên cổng 5065. Bạn có thể xóa và tạo lại các truyền tải này với các cổng khác. Sau khi tạo các truyền tải trên cổng mới, đừng quên tạo quy tắc tường lửa bằng lệnh firewalld và tạo các quy tắc nhóm bảo mật nếu triển khai trên nền tảng đám mây.

Chúng tôi đặc biệt khuyến nghị thay đổi cổng SSH mặc định 22 sang một cổng khác, ví dụ 10210.

Ở chế độ mặc định, sau khi SkyX PBX được cài đặt, Firewalld được bật và tất cả các quy tắc tường lửa đã được cấu hình. Nếu PBX được cài đặt trên Debian/Ubuntu, tường lửa mặc định UFW sẽ bị vô hiệu hóa.

Các biện pháp tốt nhất cho AWS, Azure, GCE

  • Cài đặt SkyXPBX trong AWS/Azure/GCE. Hãy để PBX chạy trên một mạng riêng (gọi là VPC cho AWS/GCE, VNet cho Azure), sau đó PBX sẽ được cách ly với internet.
  • Để cho phép người dùng truy cập PBX từ internet, cần gán một địa chỉ IP công cộng tĩnh cho máy chủ PBX.
    • AWS: gán một IP đàn hồi cho PBX EC2 và tạo các quy tắc đến cần thiết trong nhóm bảo mật cho cổng dịch vụ.
    • Azure: liên kết một IP công cộng (Public IP) với NIC VM của PBX, sau đó thay đổi quá trình gán địa chỉ IP thành tĩnh, và tạo các quy tắc inbound cần thiết trong nhóm bảo mật cho cổng dịch vụ.
    • GCE: trong cài đặt "External IP", chọn địa chỉ IP ngoài tĩnh để gán cho phiên bản VM, và tạo các quy tắc tường lửa VPC cần thiết cho cổng dịch vụ.
  • Vô hiệu hóa dịch vụ firewalld trong máy chủ PBX bằng cách thực hiện lệnh:
 systemctl disable firewalld && systemctl stop firewalld

⚠️ Quan trọng: Không dừng và vô hiệu hóa firewalld nếu PBX được triển khai tại chỗ (on-premise).

Bảo mật mạng

Đối với một số ISP VoIP, hãy tách Lưu lượng Thoại và Lưu lượng Dữ liệu và cung cấp các SIP trunk chuyên dụng hỗ trợ cổng NGN (Next Generation Network). NGN có thể tách mạng dữ liệu, thoại và video hoặc sự kết hợp bất kỳ của ba loại này để hình thành một mạng hội tụ.

Đối với việc triển khai tại chỗ (on-premise), biện pháp tốt nhất là đề xuất thiết lập VLAN (Virtual Local Networks) trên PBX. VLAN có thể cải thiện chất lượng cuộc gọi và bảo mật PBX. Lưu lượng thoại và dữ liệu có thể được phân tách một cách logic bằng bộ chuyển mạch VLAN. Nếu một VLAN bị xâm nhập, VLAN kia sẽ vẫn an toàn. Ngoài ra, việc giới hạn tốc độ lưu lượng truy cập vào VLAN điện thoại IP có thể làm chậm một cuộc tấn công từ bên ngoài.

Bảo mật Truyền tải

TLS và WSS cho tín hiệu SIP

Transport Layer Security (TLS) là một cơ chế để bảo mật các kết nối SIP. Khuyến nghị sử dụng TLS làm truyền tải SIP của SkyX PBX để ngăn chặn dữ liệu được truyền giữa các điểm cuối SIP khác và SkyX PBX.

Đối với máy khách WebRTC, SkyX cung cấp truyền tải WSS (WebSockets over SSL/TLS). WSS được mã hóa, giống như HTTPS, và do đó bảo vệ chống lại các cuộc tấn công trung gian. Nếu truyền tải được bảo mật, một loạt các cuộc tấn công chống lại WebSockets trở nên không khả thi.

SRTP và DTLS-SRTP cho Âm thanh và Video

SkyX PBX và SkyX Apps hỗ trợ SRTP (Secure Real-time Transport Protocol) và DTLS-SRTP (Datagram Transport Layer Security-SRTP). SRTP mở rộng RTP để bao gồm mã hóa và xác thực, đảm bảo tất cả các cuộc hội thoại SIP và WebRTC được bảo mật tối đa. Dữ liệu media âm thanh và video được truyền tải và bảo vệ bởi SRTP/DTLS-SRTP với mã hóa AES-256.

Bảo mật truy cập web

SkyX PBX cung cấp quyền truy cập HTTPS và HTTP trên cổng 8887 và 8888. Sau đây là các biện pháp được khuyến nghị để bảo mật các giao dịch cổng thông tin web và ngăn chặn truy cập không mong muốn.

  • Tạo quy tắc bảo mật/quy tắc tường lửa để vô hiệu hóa quyền truy cập HTTP trên cổng TCP 8888
  • Vô hiệu hóa chuyển hướng từ cổng 80
  • Vô hiệu hóa chuyển hướng từ cổng 443
  • Tải lên các chứng chỉ SSL đáng tin cậy, ví dụ, mua chứng chỉ SSL từ DigiCert, GeoTrust

Bảo mật Mật khẩu và Đăng nhập

Mật khẩu cổng thông tin web cho quản trị viên PBX

Tên người dùng và mật khẩu mặc định của quản trị viên SkyX PBX cho Web Portal Access đều là admin . Chúng tôi khuyên bạn nên thay đổi mật khẩu sau khi đăng nhập lần đầu vào Web Portal.

  • Nhấp vào ảnh đại diện ở góc trên bên phải, chọn menu Đổi mật khẩu , sau đó nhập mật khẩu hiện tại và mật khẩu mới, mật khẩu mới phải đáp ứng tất cả các yêu cầu sau
    • Ít nhất một chữ cái (ký tự Latin)
    • Ít nhất một số (0-9)
    • Một chữ cái viết hoa hoặc ký tự đặc biệt (ví dụ !, @, $, #)
    • Không có ký tự tuần tự (ví dụ "1234", "7890", "Abcd")
    • Không có ký tự lặp lại (ví dụ "222", "Aaa", "###")
    • Không có thông tin tài khoản (ví dụ: tên/họ, số điện thoại)
    • Độ dài mật khẩu khoảng 8-32 ký tự

Mật khẩu cho Quản trị viên

Sau khi tạo người dùng với vai trò " Quản trị viên ", một quản trị viên khách hàng được tạo và cũng là một máy nhánh, do đó có hai mật khẩu cho người này:

  • Mật khẩu SIP: Được sử dụng cho Điện thoại IP, Softphone và máy khách WebRTC để đăng ký với SkyX PBX.
  • Mật khẩu người dùng: Được sử dụng cho người dùng để đăng nhập Cổng Web PBX để kiểm tra hộp thư thoại, bản ghi, CDR.

Đặc biệt khuyến nghị thay đổi mật khẩu sau khi quản trị viên người thuê đăng nhập vào Cổng Web lần đầu tiên. Mật khẩu mới phải đáp ứng chính sách mật khẩu của khách hàng.

Mật khẩu cho máy nhánh

Sau khi tạo người dùng với vai trò "Standard User" hoặc "Standard International User", một người dùng máy nhánh thông thường được tạo, có hai mật khẩu cho một người dùng.

  • Mật khẩu SIP: Được sử dụng cho Điện thoại IP, Softphone và máy khách WebRTC để đăng ký với SkyX PBX.
  • Mật khẩu người dùng: Được sử dụng cho người dùng để đăng nhập Cổng Web PBX để kiểm tra hộp thư thoại, bản ghi, CDR.
  • Cả Mật khẩu SIP và Mật khẩu người dùng đều phải đáp ứng chính sách mật khẩu của người thuê.

Bảo mật đăng nhập

Sau khi quản trị viên SkyX PBX đăng nhập vào Cổng Web, có một số cài đặt cho phép bảo mật đăng nhập cho người quản lý khách hàng, khách hàng và máy nhánh:

  • Chọn Advanced > Security ở thanh menu trái. Đặt số lần thử đăng nhập tối đa trên trang Web Login; IP của người dùng sẽ bị chặn nếu số lần đăng nhập thất bại vượt quá số lần cho phép.
  • Đặt thời gian chặn IP; một IP bị chặn sẽ được gỡ bỏ sau thời gian này.
  • Bạn có thể yêu cầu người dùng mới thay đổi mật khẩu mặc định khi đăng nhập lần đầu.
  • Bạn có thể bật Xác thực hai yếu tố (2FA) cho người dùng máy nhánh.

Bảo mật SIP và TCP/IP

SkyX PBX cung cấp các tính năng bảo mật với mục đích chính là ngăn chặn mọi cuộc tấn công độc hại nhắm vào SkyX PBX trong trường hợp quản trị viên chưa thực hiện các biện pháp phòng ngừa cần thiết ở cấp độ tường lửa. Hệ thống hoạt động bằng cách phát hiện và chặn các cuộc tấn công làm tràn gói tin/DoS hoặc tấn công vét cạn từ điển nhằm xác định và bẻ khóa số máy nhánh và mật khẩu.

Để cấu hình, hãy nhấp vào menu bên trái Advanced > Security. Trang Anti Hacking sẽ hiển thị giao diện chính của các cấu hình chống tấn công của SkyX PBX.

Thời gian phát hiện

Đây là khoảng thời gian tính bằng giây khi việc đếm bắt đầu, nhưng không có hành động nào được thực thi. Để vô hiệu hóa bảo mật, hãy đặt giá trị này cao hơn.

Bảo vệ xác thực thất bại

Đây là biện pháp bảo vệ trong trường hợp kẻ tấn công cố gắng sử dụng cuộc tấn công từ điển (dictionary attack) để đoán mật khẩu được đặt cho một máy nhánh cụ thể.

Để làm điều này, kẻ tấn công phải gửi nhiều yêu cầu và sau khi máy chủ gửi tin nhắn "Proxy Authentication Required", kẻ tấn công sẽ gửi yêu cầu có xác thực. Với tính năng này, kẻ tấn công chỉ có thể gửi 50 yêu cầu nhằm bẻ khóa mật khẩu. Nếu một địa chỉ IP gửi quá 50 lần xác thực sai đến SkyX trong Thời gian phát hiện (Detection Period), địa chỉ IP đó sẽ bị chặn và đưa vào danh sách đen (blacklist) trong khoảng thời gian được chỉ định trong tham số Khoảng thời gian danh sách đen, mặc định là 1 giờ.

Yêu cầu Thử thách thất bại (407)

Các cuộc tấn công D.O.S. có thể gửi các yêu cầu REGISTER/INVITE nhưng không trả lời Thử thách (407). Cấu hình số lượng yêu cầu giả mạo mà SkyX PBX sẽ chấp nhận trên mỗi địa chỉ IP. Nếu giá trị này bị vượt quá trong khoảng thời gian Phát hiện, địa chỉ IP nguồn sẽ được đưa vào Danh sách đen. IP sẽ vẫn bị liệt vào danh sách đen cho đến khi Khoảng thời gian danh sách đen hết hạn, mặc định là 1 giờ.

Bảo mật cấp độ 2 (Level 2 security)

Đây là lớp bảo vệ thứ 2. Tại đây, bạn có thể chỉ định số lượng gói tin có thể được gửi từ một địa chỉ IP nguồn duy nhất. Giá trị mặc định là 2000 gói mỗi giây. Nếu một địa chỉ IP gửi nhiều hơn 200 gói mỗi giây, điều đó có nghĩa là có điều gì đó không ổn. Tại thời điểm này, IP của kẻ tấn công sẽ bị chặn cho đến khi Khoảng thời gian danh sách đen Cấp độ 2 hết hạn.

Bảo mật cấp độ 1 (Level 1 security)

Đây là lớp thứ nhất về số gói tin mỗi giây. Nếu một IP gửi nhiều gói tin hơn số lượng được chỉ định mỗi giây, nó sẽ bị liệt vào danh sách đen trong khoảng thời gian danh sách đen Cấp độ 1. Giá trị mặc định là 500 gói mỗi giây.

Ở cấp độ này, một khi tốc độ gói tin đó vượt quá định mức, danh sách đen sẽ được thực thi và IP của người dùng sẽ bị liệt vào danh sách đen trong hoảng thời gian danh sách đen Cấp độ 1.

Một khi địa chỉ IP bị chặn do các quy tắc L1/L2 trên, nó sẽ hiển thị trong menu Blacklist and Codes > IP Blacklist, từ đó bạn có thể thêm nó vào Danh sách trắng (Whitelist) theo cách thủ công.

Danh sách đen ser-Agent

Để bảo vệ chống lại các hoạt động độc hại như SPIT (SPam qua Điện thoại Internet), TDoS (Tấn công từ chối dịch vụ điện thoại), fuzzing, và Quét số điện thoại hàng loạt (War dialing), SkyX PBX cung cấp tính năng chặn các User-Agent cụ thể được tìm thấy trong tin nhắn SIP. Tính năng này đóng vai trò quan trọng trong việc tăng cường bảo mật cho các dịch vụ viễn thông của bạn.

Bạn có thể chỉnh sửa danh sách đen user-agents trên trang Blocked User Agents bằng cách nhấp vào menu bên trái Advanced > Security (Nâng cao > Bảo mật).

Blocked User Agents

Bảo mật Máy nhánh (Extension Security)

Bạn có thể gán loại vai trò cho một người dùng khi tạo và thay đổi nó sau này. Mặc định, có ba vai trò: Admin (Quản trị viên), Standard User (Người dùng tiêu chuẩn)Standard International User (Người dùng quốc tế tiêu chuẩn). Người dùng Quản trị viên có tất cả các quyền trong phạm vi khách hàng và có thể quản lý toàn bộ khách hàng. Người dùng quốc tế tiêu chuẩn có quyền thực hiện cuộc gọi đến các số nội hạt, quốc gia và quốc tế. Người dùng tiêu chuẩn chỉ có quyền thực hiện cuộc gọi giữa các người dùng.

Bảo mật Điện thoại IP

Trong SkyX PBX, tệp cấu hình điện thoại IP của mỗi máy nhánh được lưu trữ trong một thư mục riêng biệt với tên ngẫu nhiên để ngăn chặn việc đoán URL tải xuống tệp cấu hình ngay cả khi địa chỉ MAC của điện thoại bị lộ.

Danh sách trắng/Danh sách đen

SkyX PBX cho phép bạn lập danh sách trắng (whitelist) và danh sách đen (blacklist) các địa chỉ IP. Tất cả lưu lượng truy cập bắt nguồn từ các địa chỉ IP trong danh sách trắng sẽ được cho phép mà không bị kiểm tra bởi các tính năng chống hack. Tất cả lưu lượng truy cập bắt nguồn từ các địa chỉ IP trong danh sách đen sẽ bị hủy ngay lập tức và âm thầm.

Thêm một mục vào Danh sách trắng

Giả sử một văn phòng từ xa được kết nối với SkyX PBX. Địa chỉ IP công cộng của văn phòng từ xa là 103.224.182.210. Lưu lượng truy cập của địa chỉ IP này là an toàn để tin cậy. Hãy làm theo các cài đặt dưới đây để thêm địa chỉ IP này vào danh sách trắng.

Thêm vào danh sách trắng

  • Nhấp vào menu "IP Blacklist (Danh sách đen IP)".
  • Nhấp vào "Add (Thêm)" để tạo một mục nhập mới.
  • Nhập địa chỉ IP bạn muốn cho phép – ví dụ, 103.224.182.210. (Bạn cũng có thể nhập 103.224.182.210.0 và chọn Subnet Mask phù hợp để cho phép cả một dải IP).
  • Chọn "Allow (Cho phép)" từ menu thả xuống "Action (Hành động)".
  • Thêm mô tả cho địa chỉ IP, chẳng hạn như "Văn phòng từ xa của tôi".
  • Nhấp vào "Apply (Áp dụng)", và mục cho phép sẽ được tạo ra trong trang Danh sách đen IP cho địa chỉ IP đã được loại trừ. Tất cả lưu lượng truy cập xuất phát từ địa chỉ IP này sẽ không bị kiểm tra và các thuật toán chống xâm nhập sẽ không có hiệu lực.

Chặn một địa chỉ IP hoặc một dải địa chỉ IP

Hãy xem xét một tình huống khác. Giả sử có một cuộc tấn công phân tán đến từ các địa chỉ IP – 41.202.160.241.202.191.5. Hai địa chỉ IP này đã bị các cơ chế tự động phát hiện chống xâm nhập của SkyX PBX đưa vào danh sách đen (blacklisted). Tuy nhiên, bạn muốn đưa toàn bộ dải IP vào danh sách đen vì bạn chắc chắn sẽ không bao giờ nhận được bất kỳ lưu lượng truy cập nào từ các địa chỉ IP này. Trong trường hợp này, chúng ta sẽ đưa toàn bộ dải từ 41.202.0.0 đến 41.202.255.255 vào danh sách đen, tức là tất cả các địa chỉ IP bắt đầu bằng 41.202.1.

Chặn dải IP

  • Nhấp vào menu "IP Blacklist" (Danh sách đen IP).
  • Nhấp "Add" (Thêm) để tạo một mục nhập mới.
  • Trong trường IP address (Địa chỉ IP), nhập địa chỉ đầu tiên của dải mạng bạn muốn chặn. Ví dụ, nhập 41.202.0.0.
  • Vì bạn muốn chặn tất cả các địa chỉ IP bắt đầu bằng 41.202, bạn sẽ chọn Subnet Mask (Mặt nạ mạng con) là 255.255.0.0. Dải địa chỉ IP nằm trong mặt nạ này sẽ được hiển thị bên dưới.
  • Đặt Action (Hành động) là Block (Chặn).
  • Nhập Description (Mô tả) cho mục nhập này để giúp bạn ghi nhớ lý do bạn thêm nó, ví dụ: “Anti D.O.S attack coming from 41.202.x.x”.
  • Nhấp "Apply" (Áp dụng). Một mục bị chặn sẽ được tạo ra trên trang Danh sách đen IP. Tất cả lưu lượng truy cập đến từ dải địa chỉ IP này sẽ được kiểm tra, các thuật toán chống tấn công sẽ được áp dụng và tất cả các gói dữ liệu từ dải địa chỉ IP này sẽ bị loại bỏ hoàn toàn và bị bỏ qua.
  • Cơ chế Danh sách đen/Danh sách trắng của SkyXkhông thay thế cho tường lửa. Nó chỉ cung cấp một cơ chế phòng thủ để giúp phân biệt lưu lượng truy cập tin cậy và lưu lượng truy cập không tin cậy. Nếu, ví dụ, bạn muốn chặn tất cả lưu lượng truy cập vào mạng của bạn và chỉ cho phép địa chỉ IP của nhà cung cấp VoIP của bạn, bạn cần thiết lập điều này trên tường lửa của bạn.

🚨 Cảnh báo: Khi cấu hình một dải IP trong danh sách chặn (Blacklist), bạn cần đảm bảo rằng dải IP này không bao gồm địa chỉ IP của máy chủ PBX đang cài đặt.

Bảo mật Trunk

SIP Trunking thường là một kết nối ngang hàng (Peer-to-peer connection) với mục đích chính là cung cấp kết nối PSTN (Public Switched Telephone Network) qua VoIP (Voice over Internet Protocol). SIP Trunking được cung cấp thông qua một số phương pháp khác nhau: các Nhà cung cấp dịch vụ điện thoại Internet (ITSP - Internet Telephony Service Providers) cung cấp SIP Trunking qua Internet, và các Nhà cung cấp dịch vụ quản lý (Managed Service Providers) cung cấp SIP Trunking qua các kết nối WAN (Wide Area Network) chuyên dụng của nhà mạng. Việc triển khai các giải pháp bảo mật liên quan đến việc cung cấp một Tường lửa (Firewall) kết hợp với một IP-PBX được sử dụng để định nghĩa mối quan hệ ngang hàng ở các lớp mạng và ứng dụng VoIP khác nhau, đồng thời cũng đảm bảo tín hiệu và media được bảo mật.

Xác thực SIP Trunk

Xác thực dựa trên đăng ký: Nhiều Nhà cung cấp dịch vụ SIP Trunk sẽ yêu cầu một mức độ Xác thực trong SIP Trunk. Nhà cung cấp dịch vụ yêu cầu Xác thực Đăng ký và Xác thực Khởi tạo Cuộc gọi từ PBX. Khi PBX khởi tạo một cuộc gọi đến Nhà cung cấp dịch vụ, PBX phải cung cấp Xác thực trong Giao thức SIP để Nhà cung cấp dịch vụ chấp nhận và xử lý cuộc gọi.

Xác thực dựa trên IP: Vìmột số Nhà cung cấp dịch vụ SIP Trunk không hỗ trợ phương thức SIP REGISTER, bạn sẽ cần thiết lập Trunk là IP Based và thêm địa chỉ IP Trunk làm peer đáng tin cậy trong PBX, sau đó PBX để chấp nhận lưu lượng SIP từ IP trunk không yêu cầu thông tin xác thực.

SkyX PBX hỗ trợ cả Trunks xác thực dựa trên Đăng kýTrunk xác thực dựa trên IP, nhưng runk xác thực dựa trên IP được khuyến nghị hơnt vìnó an toàn hơn.

SkyX PBX cũng hỗ trợ chấp nhận đăng ký Trunk/E1/T1 gateway. Ví dụ, nếu một E1/T1 gateway được đặt trong một mạng LAN cục bộ nhưng PBX nằm trên đám mây, chúng ta có thể tạo một Trunk "Accept Register" trong SkyX PBX, đặt tên người dùng và mật khẩu, và E1/T1 gateway sẽ có thể sử dụng tên người dùng và mật khẩu đó để đăng ký với SkyX PBX, PBX chỉ cho phép thực hiện và chấp nhận cuộc gọi với E1/T1 gateway sau khi được ủy quyền thành công.

Giới hạn cuộc gọi đồng thời tối đa

SkyX PBX cung cấp một tính năng cho phép bạn đặt giới hạn về số lượng cuộc gọi đồng thời tối đa ở cả cấp độ toàn cầu và cấp độ khách hàng cho một trunk. Nếu một trunk đã đạt đến giới hạn cuộc gọi đồng thời tối đa của nó, bất kỳ cuộc gọi mới nào sẽ không được xử lý. Tính năng này đảm bảo quản lý cuộc gọi hiệu quả và ngăn chặn hệ thống bị quá tải.

Quyền định tuyến đi

Khi tạo quy tắc đi (outbound rule) trong SkyX PBX, bạn sẽ cần xem xét quyền của quy tắc đi cho những người dùng khác nhau.

Bạn có thể tạo quy tắc đi bằng cách sử dụng tiền tố số được gọi, độ dài số được gọi (called number length), và các nhóm người dùng thuộc về người gọi (caller belonged user groups).

Ví dụ, bạn có thể thiết lập các quy tắc đi như sau:

  • Quy tắc đi cho cuộc gọi nội hạt, cuộc gọi đường dài, và cuộc gọi quốc tế.
    • Tạo một quy tắc đi và chọn trunk có chi phí thấp nhất cho các cuộc gọi nội hạt, và đặt vai trò người dùng là Người dùng Quốc tế tiêu chuẩn, sauđó người dùng đó sẽ có quyền thực hiện cuộc gọi đến trunk.
  • Trong menu Blacklist and Codes > Codes and E164, bạn có thể tìm thấy các tùy chọn Allowed Country Code (Mã quốc gia được phép)Disallowed Codes (Mã không được phép) cho phép bạn chặn các cuộc gọi dựa trên mã quốc gia.
  • Giờ làm việc cho quy tắc đi

SkyX PBX cho phép chỉ định giờ làm việc cho một quy tắc đi, một khi được cài đặt, quy tắc đi sẽ không khả dụng và không ai có thể thực hiện cuộc gọi trên đó nếu ngoài những giờ đó.