Jedes Unternehmen ist bestrebt, Kosten zu senken. Gleiches gilt für die IT-Infrastruktur.
Bei der Eröffnung eines neuen Büros beginnen sich die Haare zu bewegen. Schließlich müssen Sie Folgendes organisieren:
- lokales Netzwerk;
- Internet Zugang. Noch besser mit einer Reservierung über einen zweiten Anbieter;
- VPN zur Zentrale (oder zu allen Filialen);
- HotSpot für Kunden mit SMS-Autorisierung;
- Filtern des Datenverkehrs, damit Mitarbeiter nicht in sozialen Netzwerken sitzen und nicht auf Skype knistern;
- Schützen Sie Ihr Netzwerk vor Viren und Angriffen. Bereitstellung von Einbruchschutz (IDS/IPS);
- Ihr Mailserver (wenn Sie pdd.yandex.ru nicht vertrauen) mit Antiviren- und Antispam-Schutz;
- Datei-Dump;
- Wahrscheinlich benötigen Sie Telefonie, d.h. Organisieren Sie eine Telefonanlage, stellen Sie eine Verbindung zu einem SIP-Anbieter her und andere Extras ...
Aber ein Enikey-Mitarbeiter wird mit solchen Anforderungen nicht in der Lage sein, ein Unternehmensnetzwerk aufzubauen ... Einen teuren Systemadministrator einstellen?
Es ergibt sich eine im Hinblick auf die künftigen Kosten sehr große Rubelzahl.
Doch diese Kosten lassen sich deutlich reduzieren, wenn man darauf achtet UTM-Lösungen, von denen es mittlerweile viele gibt. Und da ich bei der Lösung meiner Probleme der Strategie „Je einfacher, desto besser“ folge, fiel mein Blick auf UTM (X).
Wie dieses System dazu beiträgt, das Budget des Unternehmens zu schonen und warum für seine Wartung kein teurer Systemadministrator erforderlich ist, erzähle ich weiter unten.
Aber mit Blick auf die Zukunft werde ich sagen, dass es sich hierbei um ein spezifisches Produkt handelt, das seine Grenzen hat. Sie können die Fähigkeiten des Gateways detaillierter bewerten .
Ich habe den Artikel „auf Russisch“ vorbereitet, also ohne ins Mana zu schauen, um zu verstehen, wie intuitiv alles ist.
Erstinstallation
ICS kann sowohl auf realer Hardware als auch in einem Hypervisor installiert werden. Sie können jeden lüfterlosen PC verwenden.Zum Beispiel das.
Das System basiert auf und sollte bei den meisten Geräten ohne Probleme starten.
Die Installation erfolgt auf einer leeren Festplatte. Genauer gesagt, wenn da etwas war, dann können Sie sich getrost davon verabschieden.Leider unterstützt das Installationsprogramm nur Englisch. Aber nach der Installation kann die Hauptschnittstelle auf Russisch sein.
Vergessen Sie auch nicht die Belastbarkeit.Befinden sich mehrere Festplatten im System, so können diese mittels ZFS zu einem Raid zusammengefasst werden.
Wählen Sie die Netzwerkschnittstelle aus und weisen Sie die IP des ausgewählten Netzwerks zu.
Geben Sie einen echten Domänennamen an, wenn Sie beispielsweise einen Mailserver einrichten möchten. Wenn dies jetzt nicht erforderlich ist, können Sie vom Bulldozer aus schreiben. Weiter in der Benutzeroberfläche ist eine Korrektur möglich.
Alle! Sie können über die in den Einstellungen angegebene IP-Adresse und den Port 81 auf die Weboberfläche zugreifen. Da DHCP zu diesem Zeitpunkt noch nicht aktiviert ist, müssen Sie Ihrem PC manuell eine IP-Adresse aus demselben Netzwerk zuweisen.
Wir verbinden uns mit dem Internet und verbinden Büros.
Bei der ersten Anmeldung wird ein Assistent gestartet macht Sie werden aufgefordert, ein sicheres Passwort festzulegen.
Master
Als nächstes klettern wir in die Netzwerkeinstellungen
und konfigurieren Sie die Verbindung zu unserem Provider und die Rolle aller Netzwerkschnittstellen.
Sie können mehrere Anbieter einrichten und den Ausgleich organisieren.
Übrigens, wenn Ihnen die englische Oberflächensprache nicht gefällt, können Sie sie hier ganz einfach ändern.
Wenn Sie beispielsweise ein Büro an die Zentrale anbinden möchten. Dann erstellen wir eine neue Verbindung
und Routen zu Ressourcen in einem Remote-Netzwerk einrichten.
Sie können das dynamische Routing nur vergessen – es gibt es nicht hier.
Vielleicht wähle ich viel aus, aber meiner Meinung nach ist das ein großer Nachteil ...
Internetzugang für Mitarbeiter
In den meisten Fällen besteht die Hauptaufgabe des Gateways darin, den Zugriff von Mitarbeitern auf das Internet zu kontrollieren.
Mitarbeiter können sowohl per IP/Mac als auch per Login/Passwort über einen Agenten oder ein Captive-Portal identifiziert werden.
Wenn Ihre Organisation außerdem Active Directory verwendet, kann ICS darin integriert werden.
Die Filtereinstellungen (wo ein Mitarbeiter kann und was nicht) sind sehr umfangreich.
Eine große Anzahl vorgefertigter Regelvorlagen:
Sie können YouTube zulassen, aber das Hochladen von Videos dort verbieten.
Aber Sie können es nicht einschränken, und ICS wird Ihnen mit seinen umfangreichen Berichten trotzdem sagen, wohin jemand gegangen ist und wohin:
Wie sieht es mit Gäste-WLAN aus?
Und Gast-WLAN kann in Übereinstimmung mit den Anforderungen der Gesetze der Russischen Föderation zur obligatorischen Benutzeridentifizierung organisiert werden.
ICS unterstützt das Senden von SMS über das SMPP-Protokoll über jeden SMS-Anbieter.
Telefonie.
Ja Ja! Mit Asterisk muss kein separater Server installiert werden. Es ist bereits auf ICS.
Ich habe SIP von Megafon (Emotion, Multiphone) erfolgreich verbunden.
Wie Sie SIP von Megafon zu den Mobilfunktarifen von Privatpersonen erhalten, erfahren Sie im Artikel .
Sicherheit.
ICS verfügt über zahlreiche Tools, mit denen Sie das Sicherheitsniveau an Ihre Anforderungen anpassen können: von den kostenlosen Antivirenprogrammen ClamAV und zu Produkten , Konfiguration nur über eine übersichtliche Weboberfläche.
Sogar das gleiche unverzichtbare fail2Ban ist mit wenigen Klicks konfiguriert
Außerdem kann ICS den Datenverkehr über das Netflow-Protokoll von Netzwerkgeräten überwachen, ohne den Datenverkehr über sich selbst weiterzuleiten.
Kommunikations-Goodies
Die Kommunikation der Mitarbeiter kann nicht nur per Telefon und Post organisiert werden
sondern auch durch Geschwätz. Es stimmt, nur wenige Menschen erinnern sich an ein solches Protokoll.
Webserver:
IKS verfügt sogar über einen Webserver mit PHP-Unterstützung. Sie können Ihr eigenes HTTPS-Zertifikat installieren, wenn Sie eines erworben haben, oder festlegen, dass ICS ein kostenloses Let's Encrypt erhält.
Dies reicht aus, um eine Visitenkartenseite oder eine Werbe-Landingpage zu platzieren. Mit benutzerdefinierten Modulen können Sie jedoch kein schweres Portal erstellen. Und für mich ist es dumm. Dennoch sollte das Gateway ein Gateway bleiben.
Flexible Konfiguration von Überwachung und Benachrichtigungen.
Alarme können sogar per Telegram gesendet werden. Und in der Realität der Russischen Föderation ist es sogar möglich, Nachrichten über einen Proxy zu senden.
Abschließend
Das Internet-Gateway „X“ enthält fast alle Komponenten, die für das Funktionieren eines kleinen Büros notwendig sind.
In diesem Fall kann dies alles von einem unerfahrenen Systemadministrator konfiguriert werden.
Obwohl das System nicht von FreeBSD erstellt wurde, gibt es keinen SSH-Zugriff darauf. Das heißt, ohne Krücken können Sie keine PHP-Module installieren. Wir müssen mit dem zufrieden sein, was wir haben... Oder wir bitten den Support, es zu Ende zu bringen.
In jedem Szenario am Anfang und prüfen Sie, wie gut dieses Gateway zu Ihnen passt.
Die Lizenz läuft nicht ab, aber trotzdem sind die Kosten recht hoch
In synthetischen Tests am Stand erwies sich das System als ausreichend.
Wenn der Kunde zustimmt und Sie daran interessiert sind, wie sich dieses System im „Kampf“ verhält, schreibe ich in 3-6 Monaten eine Rezension mit allen aufgetretenen Problemen und Schwierigkeiten. Wenn möglich, prüfen wir die Qualität des technischen Supports.
In den Kommentaren erwarte ich von Ihnen Fragen, auf die im Kampfeinsatz näher eingegangen werden muss.
Source: habr.com