Любы бізнэсмэн імкнецца да скарачэння выдаткаў. Тое ж самае тычыцца і IT-інфраструктуры.
Пры адкрыцці новага офіса ў кагосьці пачынаюць варушыцца валасы. Бо трэба арганізаваць:
- лакальную сетку;
- выхад у інтэрнэт. Лепш яшчэ з рэзерваваннем праз другога правайдэра;
- VPN да цэнтральнага офіса (ці да ўсіх філіялаў);
- HotSpot для кліентаў з аўтарызацыяй па sms;
- фільтраванне трафік так, каб супрацоўнікі не сядзелі ў сацсетках і не трашчалі ў скайпе;
- абарону сетку ад вірусаў і нападаў. Забяспечыць абарону ад уварванняў (IDS/IPS);
- свой паштовы сервер (калі не давяраеце ўсякім pdd.yandex.ru) з антывірусам і антыспамам;
- файлавую памыйніцу;
- Верагодна Вам патрэбна тэлефанія, г.зн. арганізаваць АТС, падключыць да SIP правайдэра і іншыя плюшкі…
Але падняць сетку прадпрыемства з такімі патрабаваннямі энікейшчык не зможа… Наймаць дарагога сісадміна?
Вымалёўваецца вельмі буйны, па будучых выдатках, рублёвы лік.
Але гэтыя выдаткі можна істотна скараціць, калі звярнуць увагу на UTM-рашэнні, якіх зараз велізарная колькасць. А так як я прытрымліваюся стратэгіі «чым прасцей – тым лепш» у рашэннях сваіх задач, то мой погляд упаў на UTM (ІКС).
Чым гэтая сістэма дапаможа захаваць бюджэт кампаніі і чаму для яе абслугоўвання не патрэбен дарагі сісадмін – раскажу ніжэй.
Але забягаючы наперад скажу - гэта спецыфічны прадукт і мае свае абмежаванні. Больш дэталёва ацаніць магчымасці шлюза можна .
Я ж настройваў для артыкула "па-руску", гэта значыць не зазіраючы ў маны, каб зразумець на колькі ўсё інтуітыўна зразумела.
Пачатковая ўстаноўка
ІКС можна ўсталяваць як на рэальнае жалеза, так у гіпервізор. Можна задзейнічаць які-небудзь безвентылятарны ПК.Напрыклад такі.
Сістэма грунтуецца на і на большасці абсталявання павінна ўзляцець без праблем.
Устаноўка вырабляецца на чыстую кружэлку. Дакладней, калі там нешта было, то можаце смела развітацца з гэтым.Нажаль, усталёўнік падтрымлівае толькі ангельскую мову. Але пасля ўстаноўкі асноўны інтэрфейс можа быць на рускай.
Пра адмоваўстойлівасць таксама не забыліся.Калі ў сістэме некалькі дыскаў, то яны могуць быць аб'яднаны ў рэйд сродкамі ZFS.
Выбіраемы сеткавы інтэрфейс і прызначаем ip з абранай сеткі.
Даменнае імя ўказвайце рэальнае, калі Вы плануеце падняць, напрыклад, паштовы сервер. Калі такой патрэбнасці няма зараз, то можна напісаць ад балды. Далей у інтэрфейсе можна будзе паправіць.
Усё! Можна заходзіць у вэб-інтэрфес па ip, які паказалі ў наладах, і порце 81. DHCP на гэтым этапе пакуль не ўключаны, таму на сваім ПК давядзецца прызначыць ip з гэтай жа сеткі ўручную.
Падлучаем да інтэрнэту і злучаем офісы.
Пры першым уваходзе запускаецца майстар, які прымушае Вас усталяваць надзейны пароль.
майстар
Далей лезем у наладкі сеткі
і наладжваем падлучэнне да нашага правайдэра і ролі ўсіх сеткавых інтэрфейсаў.
Правайдэраў можна наладзіць некалькі і арганізаваць балансаванне.
Дарэчы, калі Вам не зручная ангельская мова інтэрфейсу, тое яго лёгка можна памяняць тут.
Калі патрабуецца падлучыць офіс, напрыклад, да галаўнога офіса. Тое ствараем новае падлучэнне
і наладжваем маршруты да рэсурсаў у выдаленай сетцы.
Толькі аб дынамічнай маршрутызацыі можаце забыцца - яе тут няма.
Можа я моцна прыдзіраюся, але ИМХО гэта вялікім недахопам…
Доступ у інтэрнэт супрацоўнікаў
Часцей за ўсё асноўная задача шлюза - кантроль доступу супрацоўнікаў у інтэрнэт.
Ідэнтыфікаваць супрацоўнікаў можна як па ip/mac, так і па лагіне/паролі праз агента або captive portal.
Таксама калі ў Вашай арганізацыі выкарыстоўваецца Active Directory, то ІКС можна інтэграваць і з ім.
Налады фільтрацыі (куды супрацоўніку можна і куды нельга) вельмі шырокія.
Вялікая колькасць гатовых шаблонаў правілаў:
Можна дазволіць youtube, але забараніць загружаць туды відэа.
Але можна не абмяжоўваць і ІКС усё роўна раскажа куды хто і куды хадзіў сваімі шырокімі справаздачамі:
А як жа гасцёўні Wi-Fi?
І гасцявы вай-фай можна арганізаваць з захаваннем патрабавання законаў РФ аб абавязковай ідэнтыфікацыі карыстальнікаў.
ІКС падтрымлівае адпраўку смс па пратаколе SMPP праз любога SMS-правайдэра.
Тэлефонія.
Так так! Ня трэба ставіць асобны сервер з Asterisk. Ён ужо ёсць у ІКС.
Я паспяхова падлучыў SIP ад Мегафона (emotion, мультыфон).
Як атрымаць SIP ад Мегафона па сотавых тарыфах фізічных асоб можна пачытаць у артыкуле .
Бяспеку.
У ІКС ёсць шмат прылад, якія дазволяць наладзіць узровень бяспекі па Вашых патрабаваннях: ад бясплатных антывірусаў ClamAV і да прадуктаў , наладжваючы толькі праз зразумелыя вэб-інтэрфейс.
Нават той жа незаменны fail2Ban наладжваецца ў некалькі клікаў
Гэтак жа ІКС можа маніторыць трафік па netflow пратаколе з сеткавага абсталявання, не прапускаючы праз сябе трафік.
Камунікацыйныя плюшкі
Камунікацыю супрацоўнікаў можна арганізаваць не толькі тэлефаніяй і поштай
але і праз jabber. Праўда мала ўжо хто памятае аб такім пратаколе.
Web-server:
На ІКС ёсць нават web-server з падтрымкай PHP. HTTPS сертыфікат можна ўсталяваць свой, калі ёсць набыты, ці паказаць, каб ІКС атрымаў бясплатны Let’s Encrypt.
Гэтага дастаткова для размяшчэння сайта-візітоўкі або рэкламнага лендынгу. Але ўпілаваць цяжкі партал з кастамнымі модулямі ў Вас не атрымаецца. І па мне - гэта глупства. Усё ж такі шлюз павінен заставацца шлюзам.
Гнуткая настройка маніторынгу і апавяшчэнняў.
Алярмы можна слаць нават у Тэлеграм. А ў рэаліях РФ ёсць нават магчымасць слаць паведамленні праз проксі.
У зняволенні
Інтэрнэт-шлюз "ІКС" змяшчае ў сабе практычна ўсе кампаненты, неабходныя для функцыянавання невялікага офіса.
Пры гэтым усё гэта можа наладзіць пачатковец сістэмны адміністратар.
Нягледзячы на тое, што сістэма пабудавана ні FreeBSD, доступу па ssh да яго няма. Гэта значыць без мыліц даўсталяваць модулі PHP у Вас не атрымаецца. Прыйдзецца здавольвацца тым, што ёсць… Або прасіць сапарт дапілаваць.
Пры любым раскладзе ў пачатку і праверце на колькі гэты шлюз Вам падыходзіць.
Ліцэнзія не мае тэрміна дзеяння, але нягледзячы на гэта кошт зяўляецца цалкам
На стэндзе ў сінтэтычных тэстах сістэма паказала сябе адэкватна.
Калі замовец ухваліць і Вам будзе цікава як дадзеная сістэма павядзе сябе ў «баі», то месяцаў праз 3-6 напішу водгук са ўсімі ўзніклымі задачамі і складанасцямі. Калі атрымаецца, то праверым якасць тэхнічнай падтрымкі.
У каментары чакаю ад Вас пытанні, на якія трэба будзе дэталёва завастрыць увагу ў баявым ужыванні.
Крыніца: habr.com