Enhver forretningsmand stræber efter at reducere omkostningerne. Det samme gælder IT-infrastruktur.
Når et nyt kontor åbner, begynder nogens hår at rejse sig. Når alt kommer til alt skal du organisere:
- lokalt netværk;
- Internetadgang. Det er endnu bedre med reservation gennem en anden udbyder;
- VPN til hovedkontoret (eller til alle filialer);
- HotSpot for klienter med autorisation via SMS;
- filtrering af trafik, så medarbejderne ikke bruger tid på sociale netværk og chatter på Skype;
- beskytte dit netværk mod vira og angreb. Give indtrængningsbeskyttelse (IDS/IPS);
- din egen mailserver (hvis du ikke har tillid til nogen pdd.yandex.ru) med antivirus og antispam;
- fil dump;
- Du har sikkert brug for telefoni, dvs. organiser en PBX, opret forbindelse til en SIP-udbyder og andre godbidder...
Men en Enikey-specialist vil ikke være i stand til at rejse et virksomhedsnetværk med sådanne krav... Leje en dyr systemadministrator?
Et meget stort rubeltal viser sig med hensyn til fremtidige omkostninger.
Men disse omkostninger kan reduceres betydeligt, hvis du er opmærksom på UTM løsninger, som der nu er et stort antal af. Og da jeg overholder strategien "jo enklere jo bedre" til at løse mine problemer, faldt mine øjne på UTM (X).
Jeg vil fortælle dig nedenfor, hvordan dette system vil hjælpe med at spare virksomhedens budget, og hvorfor du ikke behøver en dyr systemadministrator til at vedligeholde det.
Men ser jeg fremad, vil jeg sige, at dette er et specifikt produkt og har sine begrænsninger. Du kan evaluere gatewayens muligheder mere detaljeret .
Jeg satte den op til artiklen "på russisk", det vil sige uden at se på manaen, for at forstå, hvor intuitivt alt var.
Indledende installation
ICS kan installeres både på rigtig hardware og i en hypervisor. Du kan bruge en blæserløs pc.For eksempel denne.
Systemet er baseret på og på det meste udstyr skulle det lette uden problemer.
Installationen udføres på en tom disk. Mere præcist, hvis der var noget der, så kan du roligt sige farvel til det.Desværre understøtter installationsprogrammet kun engelsk. Men efter installationen kan hovedgrænsefladen være på russisk.
De glemte heller ikke fejltolerance.Hvis der er flere diske i systemet, kan de kombineres til et raid ved hjælp af ZFS.
Vælg en netværksgrænseflade, og tildel en ip fra det valgte netværk.
Angiv venligst et rigtigt domænenavn, hvis du planlægger at opsætte for eksempel en mailserver. Hvis der ikke er et sådant behov nu, så kan du skrive ud af det blå. Du kan rette det senere i grænsefladen.
Alle! Du kan logge ind på webgrænsefladen ved hjælp af den IP, der er angivet i indstillingerne og port 81. DHCP er ikke aktiveret på dette stadium endnu, så du bliver nødt til at tildele en IP fra det samme netværk manuelt på din pc.
Vi forbinder til internettet og forbinder kontorer.
Når du logger på første gang, starter en guide gør Du angiver en stærk adgangskode.
mester
Dernæst går vi ind i netværksindstillingerne
og konfigurere forbindelsen til vores udbyder og rollerne for alle netværksgrænseflader.
Du kan konfigurere flere udbydere og organisere balancering.
Forresten, hvis du ikke er tryg ved det engelske grænsefladesprog, kan du nemt ændre det her.
Hvis du skal koble et kontor fx til hovedkontoret. Så skaber vi en ny forbindelse
og konfigurere ruter til ressourcer på fjernnetværket.
Bare glem alt om dynamisk routing - det er ikke her.
Måske er jeg for kræsen, men IMHO dette er en stor ulempe...
Internetadgang for medarbejdere
Oftest er hovedopgaven for en gateway at kontrollere medarbejdernes adgang til internettet.
Medarbejdere kan identificeres enten ved IP/mac eller ved login/adgangskode gennem en agent eller captive portal.
Hvis din organisation bruger Active Directory, kan ICS også integreres med det.
Filtreringsindstillingerne (hvor en medarbejder kan og ikke kan gå) er meget omfattende.
Et stort antal færdige regelskabeloner:
Du kan tillade youtube, men forbyd upload af videoer der.
Men du behøver ikke at begrænse dig selv, og ICS vil stadig fortælle dig, hvor alle gik, og hvor de gik med sine omfattende rapporter:
Hvad med gæste-Wi-Fi?
Og gæste-Wi-Fi kan organiseres i overensstemmelse med kravene i russiske love om obligatorisk brugeridentifikation.
ICS understøtter afsendelse af SMS via SMPP-protokol gennem enhver SMS-udbyder.
Telefoni.
Ja Ja! Der er ingen grund til at installere en separat server med Asterisk. Det er allerede i ICS.
Jeg tilsluttede med succes SIP fra Megafon (emotion, multifon).
Sådan får du SIP fra Megafon til mobiltakster for enkeltpersoner kan læses i artiklen .
Sikkerhed.
ICS har mange værktøjer, der giver dig mulighed for at tilpasse sikkerhedsniveauet efter dine krav: fra gratis antivirus ClamAV og til produkter , der kun konfigureres via en forståelig webgrænseflade.
Selv den samme uerstattelige fail2Ban kan konfigureres med få klik
ICS kan også overvåge trafik via netflow-protokollen fra netværksudstyr uden at passere trafik gennem sig selv.
Kommunikationsgodter
Medarbejderkommunikation kan organiseres ikke kun via telefon og mail
men også via Jabber. Det er rigtigt, at få mennesker husker en sådan protokol.
Webserver:
ICS har endda en web-server med PHP-understøttelse. Du kan installere dit eget HTTPS-certifikat, hvis du har købt et, eller angive, at ICS'en modtager gratis Let's Encrypt.
Dette er nok til at være vært for et visitkortwebsted eller en reklamelandingsside. Men du vil ikke være i stand til at skære ind i en tung portal med brugerdefinerede moduler. Og for mig er det her dumt. Alligevel skal gatewayen forblive en gateway.
Fleksibel konfiguration af overvågning og meddelelser.
Alarmer kan endda sendes til Telegram. Og i den Russiske Føderations realiteter er det endda muligt at sende beskeder via en proxy.
Afslutningsvis
ICS Internet-gatewayen indeholder næsten alle de komponenter, der er nødvendige for, at et lille kontor kan fungere.
Desuden kan alt dette konfigureres af en nybegynder systemadministrator.
På trods af at systemet ikke er bygget på FreeBSD, er der ikke adgang til det via ssh. Det vil sige, at du ikke vil være i stand til at installere PHP-moduler uden krykker. Du bliver nødt til at være tilfreds med det, du har... Eller spørg support for at afslutte det.
I hvert fald i begyndelsen og se, hvor velegnet denne gateway er til dig.
Licensen har ikke en gyldighedsperiode, men på trods af dette er omkostningerne ganske
Systemet fungerede tilstrækkeligt på bænken i syntetiske tests.
Hvis kunden godkender det, og du er interesseret i, hvordan dette system vil opføre sig i "kamp", så vil jeg om 3-6 måneder skrive en anmeldelse med alle de problemer og vanskeligheder, der er opstået. Hvis det er muligt, kontrollerer vi kvaliteten af teknisk support.
I kommentarerne forventer jeg spørgsmål fra dig, som skal behandles i detaljer i kampbrug.
Kilde: www.habr.com