Qualsevol empresa busca reduir costos. El mateix s'aplica a la infraestructura informàtica.
Quan obre una oficina nova, els cabells d'algú es comencen a moure. Després de tot, cal organitzar:
- xarxa local;
- Accés a Internet. Encara millor amb una reserva a través d'un segon proveïdor;
- VPN a l'oficina central (o a totes les sucursals);
- HotSpot per a clients amb autorització per SMS;
- filtrat de trànsit perquè els empleats no s'asseuen a les xarxes socials i no crepitgin a Skype;
- protegir la vostra xarxa de virus i atacs. Proporcionar protecció contra intrusions (IDS/IPS);
- el vostre servidor de correu (si no confieu en cap pdd.yandex.ru) amb antivirus i antispam;
- abocament de fitxers;
- Probablement necessiteu telefonia, és a dir. organitzar una PBX, connectar-se a un proveïdor SIP i altres llaminadures...
Però un treballador d'enikey no podrà crear una xarxa empresarial amb aquests requisits... Contractar un administrador de sistemes car?
Emergeix un nombre de rubles molt gran, en termes de costos futurs.
Però aquests costos es poden reduir significativament si es presta atenció Solucions UTM, dels quals ara n'hi ha molts. I com que m'adhereixo a l'estratègia "com més senzill millor" per resoldre els meus problemes, els meus ulls van caure en UTM
Com aquest sistema ajudarà a estalviar el pressupost de l'empresa i per què no es necessita un administrador del sistema car per al seu manteniment, ho explicaré a continuació.
Però mirant endavant, diré que aquest és un producte específic i té les seves limitacions. Podeu avaluar les capacitats de la passarel·la amb més detall
Vaig crear l'article "en rus", és a dir, sense mirar el mana, per entendre com d'intuïtiu és tot.
Instal·lació inicial
L'ICS es pot instal·lar tant en maquinari real com en un hipervisor. Podeu utilitzar qualsevol ordinador sense ventilador.Per exemple així.
El sistema es basa en
La instal·lació es fa en un disc en blanc. Més precisament, si hi ha alguna cosa, podeu dir-hi adéu amb seguretat.Malauradament, l'instal·lador només admet l'anglès. Però després de la instal·lació, la interfície principal pot estar en rus.
Tampoc us oblideu de la resiliència.Si hi ha diversos discs al sistema, es poden combinar en una incursió mitjançant ZFS.
Seleccioneu la interfície de xarxa i assigneu una IP de la xarxa seleccionada.
Especifiqueu un nom de domini real si teniu previst crear, per exemple, un servidor de correu. Si ara no hi ha aquesta necessitat, podeu escriure des de la excavadora. Més endavant a la interfície es podrà corregir.
Tot! Podeu accedir a la interfície web mitjançant la ip especificada a la configuració i el port 81. El DHCP encara no està habilitat en aquesta fase, per la qual cosa haureu d'assignar manualment una ip des de la mateixa xarxa al vostre ordinador.
Ens connectem a Internet i connectem oficines.
La primera vegada que inicieu sessió, s'iniciarà un assistent fa per establir una contrasenya segura.
Mestre
A continuació, ens enfilem a la configuració de la xarxa
i configurar la connexió amb el nostre proveïdor i el paper de totes les interfícies de xarxa.
Podeu configurar diversos proveïdors i organitzar l'equilibri.
Per cert, si l'idioma de la interfície en anglès no us és convenient, podeu canviar-lo fàcilment aquí.
Si voleu connectar una oficina, per exemple, a la seu central. Aleshores creem una nova connexió
i configurar rutes als recursos en una xarxa remota.
Només us podeu oblidar de l'encaminament dinàmic: no és aquí.
Potser estic escollint moltes coses, però IMHO, això és un gran inconvenient...
Accés a Internet per als empleats
Molt sovint, la tasca principal de la passarel·la és controlar l'accés dels empleats a Internet.
Els empleats es poden identificar tant per ip / mac, com per inici de sessió / contrasenya a través d'un agent o portal captiu.
A més, si la vostra organització utilitza Active Directory, ICS es pot integrar amb ell.
La configuració de filtratge (on un empleat pot i no) és molt àmplia.
Un gran nombre de plantilles de regles ja fetes:
Pots permetre youtube, però prohibir-hi penjar vídeos.
Però no podeu limitar-ho, i l'ICS encara dirà on va anar algú i on amb els seus amplis informes:
Què passa amb la Wi-Fi dels hostes?
I la connexió Wi-Fi per a convidats es pot organitzar d'acord amb els requisits de les lleis de la Federació de Rússia sobre la identificació obligatòria dels usuaris.
ICS admet l'enviament de SMS mitjançant el protocol SMPP a través de qualsevol proveïdor d'SMS.
Telefonia.
Sí sí! No cal instal·lar un servidor separat amb Asterisk. Ja està a l'ICS.
He connectat correctament SIP des de Megafon (emoció, multitelèfon).
Com obtenir SIP de Megafon a les tarifes mòbils de les persones es pot trobar a l'article
Seguretat.
ICS disposa de moltes eines que et permetran ajustar el nivell de seguretat segons les teves necessitats: des dels antivirus gratuïts ClamAV i
Fins i tot el mateix indispensable fail2Ban es configura amb uns quants clics
A més, l'ICS pot controlar el trànsit mitjançant el protocol netflow des d'equips de xarxa sense passar trànsit per si mateix.
Bones de comunicació
La comunicació dels empleats es pot organitzar no només per telèfon i correu
però també a través del jabber. És cert que poca gent recorda aquest protocol.
servidor web:
IKS fins i tot té un servidor web amb suport PHP. Podeu instal·lar el vostre propi certificat HTTPS si n'heu comprat un o especificar que ICS rebi un Let's Encrypt gratuït.
Això és suficient per col·locar un lloc de targetes de visita o una pàgina de destinació publicitària. Però no podreu tallar un portal pesat amb mòduls personalitzats. I per a mi, és estúpid. Tot i així, la porta d'entrada hauria de seguir sent una porta d'entrada.
Configuració flexible de monitorització i notificacions.
Les alarmes es poden enviar fins i tot a Telegram. I a les realitats de la Federació Russa, fins i tot és possible enviar missatges a través d'un proxy.
En conclusió
La passarel·la d'Internet "X" conté gairebé tots els components necessaris per al funcionament d'una petita oficina.
En aquest cas, tot això pot ser configurat per un administrador del sistema novell.
Tot i que el sistema no està construït per FreeBSD, no hi ha accés ssh. És a dir, sense crosses, no podreu instal·lar mòduls PHP. Ens haurem d'acontentar amb el que tenim... O demanar el suport per acabar-ho.
En qualsevol escenari al principi
La llicència no caduca, però malgrat això, el cost és bastant
A l'estand en proves sintètiques, el sistema va demostrar ser adequat.
Si el client aprova i us interessarà com es comporta aquest sistema en una "batalla", d'aquí a 3-6 mesos escriuré una ressenya amb tots els problemes i dificultats que han sorgit. Si és possible, comprovarem la qualitat del suport tècnic.
En els comentaris, espero preguntes de vosaltres que haureu de centrar-vos en detall en l'ús de combat.
Font: www.habr.com