Každý podnikatel se snaží snížit náklady. Totéž platí pro IT infrastrukturu.
Když se otevře nová kancelář, někomu začnou vstávat vlasy. Koneckonců, musíte zorganizovat:
- lokální síť;
- Přístup na internet. Ještě lepší je to s rezervací přes druhého poskytovatele;
- VPN do centrály (nebo do všech poboček);
- HotSpot pro klienty s autorizací pomocí SMS;
- filtrování návštěvnosti, aby zaměstnanci netrávili čas na sociálních sítích a nekecali na Skype;
- chrání vaši síť před viry a útoky. Zajistěte ochranu proti vniknutí (IDS/IPS);
- váš vlastní poštovní server (pokud nedůvěřujete žádnému pdd.yandex.ru) s antivirem a antispamem;
- výpis souborů;
- Asi potřebujete telefonování, tzn. organizovat PBX, připojit se k poskytovateli SIP a další vychytávky...
Ale specialista Enikey nebude schopen pozvednout podnikovou síť s takovými požadavky... Najmout drahého správce systému?
Z hlediska budoucích nákladů se objevuje velmi velké číslo v rublech.
Ale tyto náklady lze výrazně snížit, pokud budete věnovat pozornost UTM řešení, kterých je nyní obrovské množství. A jelikož se při řešení svých problémů držím strategie „čím jednodušší, tím lépe“, můj zrak padl na UTM
Níže vám řeknu, jak tento systém pomůže ušetřit rozpočet společnosti a proč k jeho údržbě nepotřebujete drahého správce systému.
Ale při pohledu dopředu řeknu, že se jedná o specifický produkt a má svá omezení. Schopnosti brány můžete vyhodnotit podrobněji
Nastavil jsem to pro článek „v ruštině“, to znamená, aniž bych se díval do many, abych pochopil, jak intuitivní všechno bylo.
Počáteční instalace
ICS lze nainstalovat jak na skutečný hardware, tak do hypervizoru. Můžete použít počítač bez ventilátoru.Například takto.
Systém je založen na
Instalace se provádí na prázdný disk. Přesněji, kdyby tam něco bylo, tak se s tím můžete klidně rozloučit.Instalátor bohužel podporuje pouze angličtinu. Ale po instalaci může být hlavní rozhraní v ruštině.
Nezapomněli ani na odolnost proti chybám.Pokud je v systému více disků, lze je spojit do raidu pomocí ZFS.
Vyberte síťové rozhraní a přiřaďte IP z vybrané sítě.
Pokud plánujete zřídit například poštovní server, uveďte prosím skutečný název domény. Pokud teď taková potřeba není, můžete napsat z ničeho nic. Můžete to opravit později v rozhraní.
Všechno! Do webového rozhraní se můžete přihlásit pomocí IP uvedené v nastavení a portu 81. DHCP v této fázi ještě není povoleno, takže budete muset IP ze stejné sítě přidělit ručně na vašem PC.
Připojujeme se k internetu a propojujeme kanceláře.
Když se přihlásíte poprvé, spustí se průvodce dělá Nastavili jste silné heslo.
Mistr
Dále přejdeme do nastavení sítě
a nakonfigurovat připojení k našemu poskytovateli a role všech síťových rozhraní.
Můžete nakonfigurovat několik poskytovatelů a organizovat vyvažování.
Mimochodem, pokud vám nevyhovuje anglický jazyk rozhraní, můžete jej snadno změnit zde.
Pokud potřebujete propojit kancelář např. s centrálou. Poté vytvoříme nové připojení
a konfigurovat trasy ke zdrojům ve vzdálené síti.
Zapomeňte na dynamické směrování – není zde.
Možná jsem moc vybíravý, ale IMHO je to velká nevýhoda...
Přístup k internetu pro zaměstnance
Nejčastěji je hlavním úkolem brány řídit přístup zaměstnanců k internetu.
Zaměstnanci lze identifikovat buď pomocí IP/mac, nebo pomocí přihlašovacího jména/hesla prostřednictvím agenta nebo captive portálu.
Pokud vaše organizace používá službu Active Directory, lze s ní integrovat ICS.
Nastavení filtrování (kam může a nemůže zaměstnanec jít) je velmi rozsáhlé.
Obrovské množství hotových šablon pravidel:
Můžete povolit youtube, ale zakázat tam nahrávání videí.
Nemusíte se však omezovat a ICS vám svými rozsáhlými zprávami i tak řekne, kam kdo šel a kam šel:
A co Wi-Fi pro hosty?
A hostující Wi-Fi může být organizováno v souladu s požadavky ruských zákonů o povinné identifikaci uživatele.
ICS podporuje odesílání SMS přes protokol SMPP prostřednictvím libovolného poskytovatele SMS.
Telefonie.
Ano ano! Není potřeba instalovat samostatný server s Asterisk. Už je v ICS.
Úspěšně jsem připojil SIP od Megafonu (emotion, multifon).
Jak získat SIP od Megafonu za mobilní tarify pro jednotlivce si můžete přečíst v článku
Security.
ICS má mnoho nástrojů, které vám umožní upravit úroveň zabezpečení podle vašich požadavků: od bezplatných antivirů ClamAV a
Dokonce i stejný nenahraditelný fail2Ban lze nakonfigurovat několika kliknutími
ICS může také monitorovat provoz prostřednictvím protokolu netflow ze síťového zařízení, aniž by procházel provozem přes sebe.
Komunikační vychytávky
Komunikaci zaměstnanců lze organizovat nejen telefonicky a poštou
ale také přes Jabber. Je pravda, že na takový protokol si málokdo pamatuje.
Webový server:
ICS má dokonce webový server s podporou PHP. Můžete si nainstalovat svůj vlastní HTTPS certifikát, pokud jste si jej zakoupili, nebo určit, že ICS obdrží zdarma Let's Encrypt.
To stačí k hostování webové stránky vizitky nebo reklamní vstupní stránky. S vlastními moduly se ale nebudete moci zařezat do těžkého portálu. A pro mě je to hloupost. Brána však musí zůstat bránou.
Flexibilní konfigurace monitorování a upozornění.
Alarmy lze dokonce odesílat do telegramu. A v realitě Ruské federace je dokonce možné posílat zprávy přes proxy.
Na závěr
Internetová brána ICS obsahuje téměř všechny komponenty potřebné pro fungování malé kanceláře.
To vše může navíc konfigurovat začínající správce systému.
Navzdory skutečnosti, že systém není postaven na FreeBSD, není k němu přístup přes ssh. To znamená, že nebudete moci nainstalovat moduly PHP bez berliček. Budete se muset spokojit s tím, co máte... Nebo požádejte podporu, abyste to dokončili.
V každém případě na začátku
Licence nemá dobu platnosti, ale přesto jsou náklady poměrně vysoké
Systém si v syntetických testech vedl na zkušební stolici adekvátně.
Pokud to zákazník schválí a zajímá vás, jak se tento systém bude chovat v „bitvě“, pak za 3-6 měsíců napíšu recenzi se všemi problémy a potížemi, které se objevily. Pokud je to možné, prověříme kvalitu technické podpory.
V komentářích od vás očekávám otázky, které bude potřeba podrobně řešit v bojovém použití.
Zdroj: www.habr.com