Cualquier negocio busca reducir costos. Lo mismo se aplica a la infraestructura de TI.
Al abrir una nueva oficina, el cabello de alguien comienza a moverse. Después de todo, necesitas organizar:
- red local;
- Acceso a Internet. Aún mejor con una reserva a través de un segundo proveedor;
- VPN a la oficina central (o a todas las sucursales);
- HotSpot para clientes con autorización SMS;
- filtrado de tráfico para que los empleados no se sienten en las redes sociales y no crepitan en Skype;
- Proteja su red de virus y ataques. Proporcionar protección contra intrusos (IDS/IPS);
- su servidor de correo (si no confía en ningún pdd.yandex.ru) con antivirus y antispam;
- volcado de archivos;
- Probablemente necesite telefonía, es decir. organizar una centralita, conectarse a un proveedor SIP y otras golosinas...
Pero un trabajador de enikey no podrá levantar una red empresarial con tales requisitos ... ¿Contratar a un administrador de sistemas costoso?
Surge un rublo muy grande en términos de costos futuros.
Pero estos costos pueden reducirse significativamente si presta atención a Soluciones UTM, de los cuales ahora hay muchos. Y como me adhiero a la estrategia "cuanto más simple, mejor" para resolver mis problemas, mis ojos se posaron en UTM (X).
Cómo este sistema ayudará a ahorrar el presupuesto de la empresa y por qué no se necesita un administrador de sistema costoso para su mantenimiento, lo explicaré a continuación.
Pero de cara al futuro, diré que este es un producto específico y tiene sus limitaciones. Puede evaluar las capacidades de la puerta de enlace con más detalle .
Preparé el artículo "en ruso", es decir, sin mirar el maná, para comprender cuán intuitivo es todo.
Instalación inicial
ICS se puede instalar tanto en hardware real como en un hipervisor. Puedes usar cualquier PC sin ventilador.Por ejemplo esto.
El sistema se basa en y en la mayoría de los equipos debería despegar sin problemas.
La instalación se realiza en un disco en blanco. Más precisamente, si había algo, entonces puedes despedirte de él con seguridad.Desafortunadamente, el instalador solo admite inglés. Pero después de la instalación, la interfaz principal puede estar en ruso.
Tampoco te olvides de la resiliencia.Si hay varios discos en el sistema, se pueden combinar en una redada usando ZFS.
Seleccione la interfaz de red y asigne ip de la red seleccionada.
Especifique un nombre de dominio real si planea levantar, por ejemplo, un servidor de correo. Si no existe tal necesidad ahora, puede escribir desde la excavadora. Más adelante en la interfaz será posible corregir.
¡Todo! Puede acceder a la interfaz web utilizando la ip especificada en la configuración y el puerto 81. DHCP aún no está habilitado en esta etapa, por lo que deberá asignar manualmente una ip de la misma red en su PC.
Nos conectamos a Internet y conectamos oficinas.
La primera vez que inicia sesión, se inicia un asistente que hace que establezca una contraseña segura.
Maestro
A continuación, subimos a la configuración de red.
y configurar la conexión a nuestro proveedor y el rol de todas las interfaces de red.
Puede configurar varios proveedores y organizar el equilibrio.
Por cierto, si el idioma de la interfaz en inglés no es conveniente para usted, puede cambiarlo fácilmente aquí.
Si desea conectar una oficina, por ejemplo, a la oficina central. Luego creamos una nueva conexión.
y configurar rutas a recursos en una red remota.
Solo puede olvidarse del enrutamiento dinámico: no está aquí.
Tal vez estoy eligiendo mucho, pero en mi humilde opinión, este es un gran inconveniente...
Acceso a Internet para empleados.
Muy a menudo, la tarea principal de la puerta de enlace es controlar el acceso de los empleados a Internet.
Los empleados pueden ser identificados tanto por ip/mac, como por login/contraseña a través de un agente o portal cautivo.
Además, si su organización usa Active Directory, ICS puede integrarse con él.
Las configuraciones de filtrado (donde un empleado puede y no puede) son muy extensas.
Una gran cantidad de plantillas de reglas listas para usar:
Puede permitir youtube, pero prohibir subir videos allí.
Pero no puede limitarlo, e ICS aún le dirá a dónde fue alguien y dónde con sus extensos informes:
¿Qué pasa con el Wi-Fi para invitados?
Y el Wi-Fi para invitados se puede organizar de acuerdo con los requisitos de las leyes de la Federación Rusa sobre la identificación obligatoria del usuario.
ICS admite el envío de SMS a través del protocolo SMPP a través de cualquier proveedor de SMS.
Telefonía.
¡Sí Sí! No es necesario instalar un servidor separado con Asterisk. Ya está en ICS.
Conecté con éxito SIP de Megafon (emoción, multiteléfono).
Cómo obtener SIP de Megafon a las tarifas de telefonía celular de las personas se puede encontrar en el artículo .
Seguridad.
ICS tiene muchas herramientas que te permitirán ajustar el nivel de seguridad de acuerdo a tus requerimientos: desde los antivirus gratuitos ClamAV y a los productos , configurando solo a través de una interfaz web clara.
Incluso el mismo fail2Ban indispensable se configura en unos pocos clics
Además, ICS puede monitorear el tráfico a través del protocolo netflow desde el equipo de la red sin pasar el tráfico por sí mismo.
Artículos de comunicación
La comunicación de los empleados se puede organizar no solo por teléfono y correo
pero también a través del jabber. Es cierto que pocas personas recuerdan tal protocolo.
Servidor web:
IKS incluso tiene un servidor web con soporte PHP. Puede instalar su propio certificado HTTPS si ha comprado uno, o especificar que ICS reciba un Let's Encrypt gratuito.
Esto es suficiente para colocar un sitio de tarjeta de presentación o una página de destino publicitaria. Pero no podrá cortar un portal pesado con módulos personalizados. Y para mí, es una estupidez. Aún así, la puerta de enlace debe seguir siendo una puerta de enlace.
Configuración flexible de seguimiento y notificaciones.
Incluso se pueden enviar alarmas a Telegram. Y en las realidades de la Federación Rusa, incluso es posible enviar mensajes a través de un proxy.
Bloqueado
El portal de Internet "X" contiene casi todos los componentes necesarios para el funcionamiento de una pequeña oficina.
En este caso, todo esto puede ser configurado por un administrador de sistemas novato.
Aunque el sistema no está construido por FreeBSD, no hay acceso ssh a él. Es decir, sin muletas, no podrá instalar módulos PHP. Tendremos que contentarnos con lo que tenemos... O pedirle al soporte que lo acabe.
En cualquier escenario al principio y compruebe qué tan bien le sienta esta puerta de enlace.
La licencia no caduca, pero a pesar de ello, el coste es bastante
En el stand de pruebas sintéticas, el sistema demostró ser adecuado.
Si el cliente lo aprueba y le interesará cómo se comporta este sistema en una "batalla", en 3-6 meses escribiré una revisión con todos los problemas y dificultades que surgieron. Si es posible, comprobaremos la calidad del soporte técnico.
En los comentarios, espero preguntas de usted que deberán enfocarse en detalle en el uso de combate.
Fuente: habr.com