Svaki posao nastoji smanjiti troškove. Isto važi i za IT infrastrukturu.
Prilikom otvaranja nove kancelarije, nečija kosa počinje da se miče. Na kraju krajeva, trebate organizirati:
- lokalna mreža;
- Pristup Internetu. Još bolje uz rezervaciju preko drugog provajdera;
- VPN do centralne kancelarije (ili do svih filijala);
- HotSpot za klijente sa SMS autorizacijom;
- filtriranje prometa tako da zaposleni ne sjede na društvenim mrežama i ne pucketaju na Skypeu;
- zaštitite svoju mrežu od virusa i napada. Obezbediti zaštitu od upada (IDS/IPS);
- vaš mail server (ako ne vjerujete nijednom pdd.yandex.ru) sa antivirusom i antispamom;
- fajl dump;
- Vjerovatno vam treba telefonija, tj. organizirati PBX, povezati se sa SIP provajderom i ostale dobrote...
Ali enikey radnik neće moći da podigne mrežu preduzeća sa takvim zahtevima... Unajmiti skupog administratora sistema?
Pojavljuje se veoma veliki, u smislu budućih troškova, broj rublja.
Ali ovi troškovi se mogu značajno smanjiti ako obratite pažnju UTM rješenja, kojih sada ima mnogo. A kako se u rješavanju problema pridržavam strategije „što jednostavnije to bolje“, pogled mi je pao na UTM (X).
Kako će ovaj sistem pomoći u uštedi budžeta kompanije i zašto za njegovo održavanje nije potreban skupi administrator sistema - reći ću u nastavku.
Ali gledajući unaprijed, reći ću da je ovo specifičan proizvod i da ima svoja ograničenja. Možete detaljnije procijeniti mogućnosti gatewaya .
Namjestio sam se za članak "na ruskom", odnosno ne gledajući u manu, kako bih shvatio koliko je sve intuitivno.
Inicijalna instalacija
ICS se može instalirati i na pravi hardver i na hipervizor. Možete koristiti bilo koji računar bez ventilatora.Na primjer ovako.
Sistem se zasniva na i na većini opreme bi trebalo da poleti bez problema.
Instalacija se vrši na prazan disk. Tačnije, ako je bilo nečega, onda se od toga možete bezbedno oprostiti.Nažalost, instalater podržava samo engleski. Ali nakon instalacije, glavni interfejs može biti na ruskom.
Ne zaboravite ni na otpornost.Ako u sistemu postoji nekoliko diskova, oni se mogu kombinovati u raid pomoću ZFS-a.
Odaberite mrežno sučelje i dodijelite ip sa odabrane mreže.
Navedite pravo ime domene ako planirate da podignete, na primjer, server za poštu. Ako sada nema takve potrebe, onda možete pisati iz buldožera. Dalje u interfejsu biće moguće ispraviti.
Sve! Web interfejsu možete pristupiti koristeći ip koji je naveden u podešavanjima i port 81. DHCP još uvek nije omogućen u ovoj fazi, tako da ćete morati ručno da dodelite IP sa iste mreže na svom računaru.
Povezujemo se na Internet i povezujemo kancelarije.
Kada se prvi put prijavite, pokreće se čarobnjak pravi da postavite jaku lozinku.
Učitelj
Zatim se penjemo u mrežne postavke
i konfigurirati vezu s našim provajderom i ulogu svih mrežnih sučelja.
Možete postaviti nekoliko provajdera i organizirati balansiranje.
Usput, ako vam engleski jezik interfejsa ne odgovara, možete ga lako promijeniti ovdje.
Ako želite da povežete kancelariju, na primer, sa centralom. Zatim kreiramo novu vezu
i postaviti rute do resursa na udaljenoj mreži.
Možete samo zaboraviti na dinamičko usmjeravanje - ovdje ga nema.
Možda biram dosta, ali IMHO ovo je veliki nedostatak...
Pristup internetu za zaposlene
Najčešće je glavni zadatak gateway-a kontrola pristupa zaposlenika Internetu.
Zaposleni se mogu identificirati i po ip/mac, i po login/lozinki preko agenta ili captive portala.
Takođe, ako vaša organizacija koristi Active Directory, tada se ICS može integrisati sa njim.
Postavke filtriranja (gdje zaposleni mogu, a gdje ne) su veoma opsežne.
Ogroman broj gotovih predložaka pravila:
Možete dozvoliti youtube, ali zabraniti postavljanje video zapisa tamo.
Ali ne možete to ograničiti, a IKS će svojim opsežnim izvještajima i dalje reći gdje je ko otišao i gdje:
Šta je sa Wi-Fi za goste?
A gostujući Wi-Fi se može organizirati u skladu sa zahtjevima zakona Ruske Federacije o obaveznoj identifikaciji korisnika.
ICS podržava slanje SMS-a putem SMPP protokola preko bilo kojeg SMS provajdera.
Telefonija.
Da da! Nema potrebe da instalirate poseban server sa Asterisk-om. Već je u ICS-u.
Uspješno sam spojio SIP sa Megafona (emocija, multifon).
Kako dobiti SIP od Megafona po mobilnim tarifama pojedinaca možete pronaći u članku .
Sigurnost.
ICS ima mnogo alata koji će vam omogućiti da prilagodite nivo sigurnosti prema vašim zahtjevima: od besplatnih antivirusnih programa ClamAV i na proizvode , konfigurisanje samo preko jasnog web interfejsa.
Čak se i isti neizostavni fail2Ban konfiguriše u nekoliko klikova
Takođe, ICS može pratiti saobraćaj preko netflow protokola sa mrežne opreme bez propuštanja saobraćaja kroz sebe.
Komunikacijske dobrote
Komunikacija zaposlenih se može organizovati ne samo telefonom i poštom
ali i kroz jabber. Istina, malo se ljudi sjeća takvog protokola.
web server:
IKS čak ima i web server sa podrškom za PHP. Možete instalirati vlastiti HTTPS certifikat ako ste ga kupili ili navesti da ICS dobije besplatnu Let's Encrypt.
Ovo je dovoljno za postavljanje vizit karte ili odredišne stranice za oglašavanje. Ali nećete moći izrezati težak portal sa prilagođenim modulima. A meni je to glupo. Ipak, gateway bi trebao ostati gateway.
Fleksibilna konfiguracija praćenja i obavijesti.
Alarmi se mogu slati čak i na Telegram. A u stvarnosti Ruske Federacije, čak je moguće slati poruke preko proxyja.
U zaključku
Internet gateway "X" sadrži gotovo sve komponente neophodne za funkcionisanje male kancelarije.
U ovom slučaju, sve ovo može konfigurirati početni administrator sistema.
Iako sistem nije izgrađen od strane FreeBSD-a, ne postoji ssh pristup njemu. To jest, bez štaka nećete moći da instalirate PHP module. Morat ćemo se zadovoljiti onim što imamo... Ili zamoliti podršku da to završi.
U bilo kom scenariju na početku i provjerite koliko vam ovaj gateway odgovara.
Licenca ne ističe, ali unatoč tome, cijena je prilično
Na testu sintetike sistem se pokazao kao adekvatan.
Ako kupac odobri i bićete zainteresovani kako se ovaj sistem ponaša u „bitci“, onda ću za 3-6 meseci napisati recenziju sa svim problemima i poteškoćama koje su se pojavile. Ako je moguće, provjerit ćemo kvalitet tehničke podrške.
U komentarima očekujem od vas pitanja koja će biti potrebno detaljno fokusirati u borbenoj upotrebi.
izvor: www.habr.com