Οποιαδήποτε επιχείρηση επιδιώκει να μειώσει το κόστος. Το ίδιο ισχύει και για τις υποδομές πληροφορικής.
Όταν ανοίγετε ένα νέο γραφείο, τα μαλλιά κάποιου αρχίζουν να κινούνται. Μετά από όλα, πρέπει να οργανώσετε:
- τοπικό δίκτυο;
- Πρόσβαση στο διαδίκτυο. Ακόμα καλύτερα με κράτηση μέσω δεύτερου παρόχου?
- VPN στο κεντρικό γραφείο (ή σε όλα τα υποκαταστήματα).
- HotSpot για πελάτες με εξουσιοδότηση SMS.
- φιλτράρισμα της κυκλοφορίας έτσι ώστε οι εργαζόμενοι να μην κάθονται στα κοινωνικά δίκτυα και να μην χτυπούν στο Skype.
- προστατέψτε το δίκτυό σας από ιούς και επιθέσεις. Παροχή προστασίας από εισβολή (IDS/IPS).
- τον διακομιστή αλληλογραφίας σας (αν δεν εμπιστεύεστε κανένα pdd.yandex.ru) με antivirus και antispam.
- χωματερή αρχείου?
- Μάλλον χρειάζεσαι τηλεφωνία, δηλ. οργανώστε ένα PBX, συνδεθείτε με έναν πάροχο SIP και άλλα καλούδια ...
Αλλά ένας εργαζόμενος στο enikey δεν θα είναι σε θέση να δημιουργήσει ένα εταιρικό δίκτυο με τέτοιες απαιτήσεις ... Να προσλάβει έναν ακριβό διαχειριστή συστήματος;
Ένας πολύ μεγάλος αριθμός ρούβλι, όσον αφορά το μελλοντικό κόστος, προκύπτει.
Αλλά αυτά τα κόστη μπορούν να μειωθούν σημαντικά αν προσέξετε Λύσεις UTM, από τα οποία είναι πλέον πολλά. Και επειδή τηρώ τη στρατηγική "όσο πιο απλό τόσο το καλύτερο" στην επίλυση των προβλημάτων μου, τα μάτια μου έπεσαν στο UTM (Χ).
Πώς αυτό το σύστημα θα βοηθήσει στην εξοικονόμηση του προϋπολογισμού της εταιρείας και γιατί δεν χρειάζεται ένας ακριβός διαχειριστής συστήματος για τη συντήρησή του - θα πω παρακάτω.
Αλλά κοιτάζοντας μπροστά, θα πω ότι αυτό είναι ένα συγκεκριμένο προϊόν και έχει τους περιορισμούς του. Μπορείτε να αξιολογήσετε τις δυνατότητες της πύλης με περισσότερες λεπτομέρειες .
Ξεκίνησα για το άρθρο "στα ρωσικά", δηλαδή, χωρίς να κοιτάξω το μάνα, για να καταλάβω πόσο διαισθητικά είναι όλα.
Αρχική εγκατάσταση
Το ICS μπορεί να εγκατασταθεί τόσο σε πραγματικό υλικό όσο και σε hypervisor. Μπορείτε να χρησιμοποιήσετε οποιοδήποτε υπολογιστή χωρίς ανεμιστήρα.Για παράδειγμα όπως αυτό.
Το σύστημα βασίζεται σε και στον περισσότερο εξοπλισμό θα πρέπει να απογειώνεται χωρίς προβλήματα.
Η εγκατάσταση γίνεται σε κενό δίσκο. Πιο συγκεκριμένα, αν υπήρχε κάτι, τότε μπορείτε να το αποχαιρετήσετε με ασφάλεια.Δυστυχώς, το πρόγραμμα εγκατάστασης υποστηρίζει μόνο αγγλικά. Αλλά μετά την εγκατάσταση, η κύρια διεπαφή μπορεί να είναι στα ρωσικά.
Μην ξεχνάτε και την ανθεκτικότητα.Εάν υπάρχουν αρκετοί δίσκοι στο σύστημα, τότε μπορούν να συνδυαστούν σε μια επιδρομή χρησιμοποιώντας το ZFS.
Επιλέξτε τη διεπαφή δικτύου και αντιστοιχίστε ip από το επιλεγμένο δίκτυο.
Καθορίστε ένα πραγματικό όνομα τομέα εάν σκοπεύετε να δημιουργήσετε, για παράδειγμα, έναν διακομιστή αλληλογραφίας. Αν δεν υπάρχει αυτή η ανάγκη τώρα, τότε μπορείτε να γράψετε από την μπουλντόζα. Περαιτέρω στη διεπαφή θα είναι δυνατή η διόρθωση.
Ολα! Μπορείτε να αποκτήσετε πρόσβαση στη διεπαφή Ιστού χρησιμοποιώντας την IP που καθορίζεται στις ρυθμίσεις και τη θύρα 81. Το DHCP δεν είναι ακόμη ενεργοποιημένο σε αυτό το στάδιο, επομένως θα πρέπει να εκχωρήσετε μη αυτόματα μια ip από το ίδιο δίκτυο στον υπολογιστή σας.
Συνδεόμαστε στο Διαδίκτυο και συνδέουμε γραφεία.
Την πρώτη φορά που συνδέεστε, εκκινείται ένας οδηγός κάνει να ορίσετε έναν ισχυρό κωδικό πρόσβασης.
Κύριε
Στη συνέχεια, ανεβαίνουμε στις ρυθμίσεις δικτύου
και να διαμορφώσετε τη σύνδεση με τον πάροχο μας και τον ρόλο όλων των διεπαφών δικτύου.
Μπορείτε να δημιουργήσετε πολλούς παρόχους και να οργανώσετε την εξισορρόπηση.
Παρεμπιπτόντως, εάν η αγγλική γλώσσα διεπαφής δεν είναι βολική για εσάς, μπορείτε εύκολα να την αλλάξετε εδώ.
Εάν θέλετε να συνδέσετε ένα γραφείο, για παράδειγμα, με τα κεντρικά γραφεία. Στη συνέχεια δημιουργούμε μια νέα σύνδεση
και ορίστε διαδρομές προς πόρους σε ένα απομακρυσμένο δίκτυο.
Μπορείτε μόνο να ξεχάσετε τη δυναμική δρομολόγηση - δεν είναι εδώ.
Ίσως διαλέγω πολλά, αλλά το IMHO είναι ένα μεγάλο μειονέκτημα ...
Πρόσβαση στο Διαδίκτυο για τους εργαζόμενους
Τις περισσότερες φορές, το κύριο καθήκον της πύλης είναι να ελέγχει την πρόσβαση των εργαζομένων στο Διαδίκτυο.
Οι εργαζόμενοι μπορούν να αναγνωριστούν τόσο μέσω ip/mac όσο και μέσω σύνδεσης/κωδικού πρόσβασης μέσω μιας πύλης αντιπροσώπου ή αποκλειστικής πύλης.
Επίσης, εάν ο οργανισμός σας χρησιμοποιεί Active Directory, τότε το ICS μπορεί να ενσωματωθεί σε αυτό.
Οι ρυθμίσεις φιλτραρίσματος (όπου ένας υπάλληλος μπορεί και δεν μπορεί) είναι πολύ εκτενείς.
Ένας τεράστιος αριθμός έτοιμων προτύπων κανόνων:
Μπορείτε να επιτρέψετε το youtube, αλλά να απαγορεύσετε τη μεταφόρτωση βίντεο εκεί.
Αλλά δεν μπορείτε να το περιορίσετε και το ICS θα εξακολουθήσει να λέει πού πήγε και πού κάποιος με τις εκτενείς αναφορές του:
Τι γίνεται με το Wi-Fi επισκεπτών;
Και το Wi-Fi επισκεπτών μπορεί να οργανωθεί σύμφωνα με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας σχετικά με την υποχρεωτική αναγνώριση χρήστη.
Το ICS υποστηρίζει την αποστολή SMS μέσω πρωτοκόλλου SMPP μέσω οποιουδήποτε παρόχου SMS.
Τηλεφωνία.
Ναι ναι! Δεν χρειάζεται να εγκαταστήσετε ξεχωριστό διακομιστή με το Asterisk. Είναι ήδη στο ICS.
Συνέδεσα με επιτυχία το SIP από το Megafon (συναίσθημα, πολυφωνικό).
Πώς να λάβετε SIP από τη Megafon στις τιμές κινητής τηλεφωνίας για άτομα μπορείτε να βρείτε στο άρθρο .
Ασφάλεια.
Το ICS διαθέτει πολλά εργαλεία που θα σας επιτρέψουν να προσαρμόσετε το επίπεδο ασφάλειας σύμφωνα με τις απαιτήσεις σας: από δωρεάν προγράμματα προστασίας από ιούς ClamAV και σε προϊόντα , ρύθμιση παραμέτρων μόνο μέσω μιας καθαρής διεπαφής ιστού.
Ακόμη και το ίδιο απαραίτητο fail2Ban διαμορφώνεται με μερικά κλικ
Επίσης, το ICS μπορεί να παρακολουθεί την κυκλοφορία μέσω του πρωτοκόλλου netflow από τον εξοπλισμό δικτύου χωρίς να διέρχεται κίνηση μέσω του ίδιου του.
Καλούδια επικοινωνίας
Η επικοινωνία των εργαζομένων μπορεί να οργανωθεί όχι μόνο μέσω τηλεφώνου και ταχυδρομείου
αλλά και μέσω τζάμπερ. Είναι αλήθεια ότι λίγοι άνθρωποι θυμούνται ένα τέτοιο πρωτόκολλο.
διακομιστής ιστού:
Το IKS διαθέτει ακόμη και διακομιστή web με υποστήριξη PHP. Μπορείτε να εγκαταστήσετε το δικό σας πιστοποιητικό HTTPS εάν έχετε αγοράσει ένα ή να καθορίσετε ότι το ICS θα λάβει δωρεάν Let's Encrypt.
Αυτό είναι αρκετό για να τοποθετήσετε έναν ιστότοπο επαγγελματικής κάρτας ή μια σελίδα προορισμού διαφήμισης. Αλλά δεν θα μπορείτε να κόψετε μια βαριά πύλη με προσαρμοσμένες μονάδες. Και για μένα, είναι ανόητο. Ωστόσο, η πύλη πρέπει να παραμείνει πύλη.
Ευέλικτη διαμόρφωση παρακολούθησης και ειδοποιήσεων.
Οι συναγερμοί μπορούν να σταλούν ακόμη και στο Telegram. Και στην πραγματικότητα της Ρωσικής Ομοσπονδίας, είναι ακόμη δυνατή η αποστολή μηνυμάτων μέσω πληρεξουσίου.
Συμπερασματικά
Η πύλη Διαδικτύου "X" περιέχει σχεδόν όλα τα εξαρτήματα που είναι απαραίτητα για τη λειτουργία ενός μικρού γραφείου.
Σε αυτήν την περίπτωση, όλα αυτά μπορούν να ρυθμιστούν από έναν αρχάριο διαχειριστή συστήματος.
Αν και το σύστημα δεν έχει κατασκευαστεί από το FreeBSD, δεν υπάρχει πρόσβαση ssh σε αυτό. Δηλαδή, χωρίς πατερίτσες, δεν θα μπορείτε να εγκαταστήσετε μονάδες PHP. Θα πρέπει να είμαστε ικανοποιημένοι με αυτά που έχουμε... Ή να ζητήσουμε από την υποστήριξη να το τελειώσει.
Σε οποιοδήποτε σενάριο στην αρχή και ελέγξτε πόσο σας ταιριάζει αυτή η πύλη.
Η άδεια δεν λήγει, αλλά παρόλα αυτά, το κόστος είναι αρκετά
Στη βάση σε συνθετικές δοκιμές, το σύστημα αποδείχθηκε επαρκές.
Εάν ο πελάτης εγκρίνει και θα σας ενδιαφέρει πώς συμπεριφέρεται αυτό το σύστημα σε μια «μάχη», τότε σε 3-6 μήνες θα γράψω μια κριτική με όλα τα προβλήματα και τις δυσκολίες που έχουν προκύψει. Εάν είναι δυνατόν, θα ελέγξουμε την ποιότητα της τεχνικής υποστήριξης.
Στα σχόλια, περιμένω ερωτήσεις από εσάς που θα πρέπει να επικεντρωθούν λεπτομερώς στη χρήση μάχης.
Πηγή: www.habr.com