نرم افزار دروازه اینترنت برای یک سازمان کوچک

هر تاجری برای کاهش هزینه ها تلاش می کند. همین امر در مورد زیرساخت های فناوری اطلاعات نیز صدق می کند.

وقتی یک دفتر جدید باز می شود، موهای کسی شروع به بلند شدن می کند. پس از همه، شما باید سازماندهی کنید:

• شبکه محلی؛
• دسترسی به اینترنت. با رزرو از طریق ارائه دهنده دوم حتی بهتر است.
• VPN به دفتر مرکزی (یا به تمام شعب)؛
• HotSpot برای مشتریان دارای مجوز از طریق پیامک.
• فیلتر کردن ترافیک به طوری که کارمندان وقت خود را در شبکه های اجتماعی صرف نکنند و در اسکایپ چت نکنند.
• محافظت از شبکه شما در برابر ویروس ها و حملات ارائه حفاظت از نفوذ (IDS/IPS)؛
• سرور ایمیل خود (اگر به هیچ pdd.yandex.ru اعتماد ندارید) دارای آنتی ویروس و آنتی اسپم است.
• روگرفت فایل;
• احتمالاً به تلفن نیاز دارید، یعنی. سازماندهی یک PBX، اتصال به یک ارائه دهنده SIP و سایر موارد...

اما یک متخصص Enikey نمی تواند یک شبکه سازمانی را با چنین الزاماتی ایجاد کند... یک مدیر سیستم گران قیمت استخدام کنید؟
یک رقم بسیار بزرگ روبل از نظر هزینه های آینده ظاهر می شود.

اما در صورت توجه می توان این هزینه ها را به میزان قابل توجهی کاهش داد راه حل های UTM، که اکنون تعداد زیادی از آنها وجود دارد. و از آنجایی که من در حل مشکلاتم به استراتژی "هرچه ساده تر، بهتر" پایبند هستم، چشمم به UTM افتاد. سرور کنترل اینترنت (ایکس).

من در زیر به شما خواهم گفت که چگونه این سیستم به صرفه جویی در بودجه شرکت کمک می کند و چرا برای نگهداری آن به یک مدیر سیستم گران قیمت نیاز ندارید.

اما با نگاهی به آینده، می گویم که این یک محصول خاص است و محدودیت هایی دارد. می توانید قابلیت های درگاه را با جزئیات بیشتری ارزیابی کنید پس از مطالعه اسناد در وب سایت رسمی.
من آن را برای مقاله "به زبان روسی" تنظیم کردم، یعنی بدون نگاه کردن به مانا، تا بفهمم همه چیز چقدر شهودی است.

نصب اولیه

ICS را می توان هم بر روی سخت افزار واقعی و هم در یک هایپروایزر نصب کرد. می توانید از کامپیوترهای بدون فن استفاده کنید.مثلا اینجوری

سیستم بر اساس FreeBSD 11.3 و در اکثر تجهیزات باید بدون مشکل بلند شود.

نصب بر روی یک دیسک خالی انجام می شود. به طور دقیق تر، اگر چیزی در آنجا وجود داشت، می توانید با خیال راحت با آن خداحافظی کنید.متأسفانه، نصب کننده فقط زبان انگلیسی را پشتیبانی می کند. اما پس از نصب، رابط اصلی ممکن است به زبان روسی باشد.




آنها همچنین تحمل خطا را فراموش نکردند.اگر چندین دیسک در سیستم وجود داشته باشد، می توان آنها را با استفاده از ZFS در یک Raid ترکیب کرد.

یک رابط شبکه را انتخاب کنید و یک IP از شبکه انتخاب شده اختصاص دهید.

اگر قصد راه‌اندازی، به عنوان مثال، یک سرور پست الکترونیکی را دارید، لطفاً یک نام دامنه واقعی را مشخص کنید. اگر در حال حاضر چنین نیازی وجود ندارد، می توانید از حالت آبی بنویسید. می توانید بعداً در رابط کاربری آن را برطرف کنید.

همه! می توانید با استفاده از IP مشخص شده در تنظیمات و پورت 81 وارد رابط وب شوید. DHCP هنوز در این مرحله فعال نیست، بنابراین باید یک IP از همان شبکه را به صورت دستی بر روی رایانه شخصی خود اختصاص دهید.

ما به اینترنت وصل می شویم و دفاتر را وصل می کنیم.

هنگامی که برای اولین بار وارد سیستم می شوید، یک جادوگر آن را شروع می کند می سازد رمز عبور قوی تعیین کردید.
کارشناسی ارشد




بعد وارد تنظیمات شبکه می شویم

و اتصال به ارائه دهنده ما و نقش های همه رابط های شبکه را پیکربندی کنید.



می توانید چندین ارائه دهنده را پیکربندی کنید و تعادل را سازماندهی کنید.

به هر حال، اگر با زبان رابط انگلیسی راحت نیستید، می توانید به راحتی آن را در اینجا تغییر دهید.


اگر شما نیاز به اتصال یک دفتر، به عنوان مثال، به دفتر مرکزی دارید. سپس یک اتصال جدید ایجاد می کنیم

و مسیرهای منابع موجود در شبکه راه دور را پیکربندی کنید.

فقط مسیریابی پویا را فراموش کنید - اینجا نیست.
شاید من خیلی حساس هستم، اما IMHO این یک عیب بزرگ است...

دسترسی به اینترنت برای کارکنان

اغلب، وظیفه اصلی یک دروازه کنترل دسترسی کارکنان به اینترنت است.
کارمندان را می توان با IP/mac یا با ورود به سیستم/رمز عبور از طریق یک نماینده یا پورتال اسیر شناسایی کرد.


همچنین، اگر سازمان شما از اکتیو دایرکتوری استفاده می کند، می توان ICS را با آن ادغام کرد.


تنظیمات فیلتر (جایی که کارمند می تواند و نمی تواند برود) بسیار گسترده است.


تعداد زیادی از الگوهای قانون آماده:
می‌توانید به یوتیوب اجازه دهید، اما آپلود ویدیوها را در آنجا ممنوع کنید.

اما لازم نیست خودتان را محدود کنید، و ICS با گزارش‌های گسترده‌اش همچنان به شما می‌گوید که همه کجا رفتند و کجا رفتند:

وای فای مهمان چطور؟

و Wi-Fi مهمان را می توان مطابق با الزامات قوانین روسیه در مورد شناسایی اجباری کاربر سازماندهی کرد.
ICS از ارسال SMS از طریق پروتکل SMPP از طریق هر ارائه دهنده پیام کوتاه پشتیبانی می کند.

تلفن.

بله بله! نیازی به نصب سرور جداگانه با استریسک نیست. در حال حاضر در ICS است.
من با موفقیت SIP را از Megafon (احساس، multifon) وصل کردم.

نحوه دریافت SIP از Megafon با تعرفه های تلفن همراه برای افراد را می توانید در مقاله بخوانید ” تعرفه SIP از مگافون در خانه ”.

امنیت

ICS دارای ابزارهای زیادی است که به شما امکان می دهد سطح امنیتی را مطابق با نیاز خود سفارشی کنید: از آنتی ویروس های رایگان ClamAV و سیستم های تشخیص نفوذ Suricata به محصولات اوگنی کسپرسکی، پیکربندی فقط از طریق یک رابط وب قابل فهم.

حتی همان fail2Ban غیر قابل تعویض را می توان با چند کلیک پیکربندی کرد


ICS همچنین می تواند ترافیک را از طریق پروتکل netflow از تجهیزات شبکه بدون عبور ترافیک از طریق خود نظارت کند.

وسایل ارتباطی

ارتباط کارکنان را می توان نه تنها از طریق تلفن و پست سازماندهی کرد


بلکه از طریق جابر. درست است، افراد کمی از چنین پروتکلی به یاد دارند.

وب سرور:
ICS حتی یک وب سرور با پشتیبانی PHP دارد. اگر گواهینامه HTTPS خود را خریداری کرده‌اید، می‌توانید نصب کنید یا مشخص کنید که ICS Let's Encrypt رایگان دریافت کند.


این برای میزبانی وب سایت کارت ویزیت یا صفحه فرود تبلیغاتی کافی است. اما نمی‌توانید با ماژول‌های سفارشی وارد یک پورتال سنگین شوید. و برای من، این احمقانه است. با این حال، دروازه باید یک دروازه باقی بماند.

پیکربندی انعطاف پذیر نظارت و اعلان ها.
حتی می توان هشدارها را به تلگرام ارسال کرد. و در واقعیت های فدراسیون روسیه، حتی امکان ارسال پیام از طریق یک پروکسی وجود دارد.

در نتیجه

دروازه اینترنت ICS تقریباً تمام اجزای لازم برای عملکرد یک دفتر کوچک را در خود دارد.
علاوه بر این، همه اینها می تواند توسط یک مدیر سیستم تازه کار پیکربندی شود.

با وجود این واقعیت که سیستم بر روی FreeBSD ساخته نشده است، هیچ دسترسی به آن از طریق ssh وجود ندارد. یعنی نمی توانید ماژول های PHP را بدون عصا نصب کنید. باید به چیزی که دارید راضی باشید... یا برای تکمیل آن از حمایت بخواهید.

در هر صورت در ابتدا دانلود آزمایشی به مدت 35 روز و بررسی کنید که این دروازه چقدر برای شما مناسب است.

مجوز مدت اعتبار ندارد، اما با وجود این هزینه کاملاً است دموکراتیک

این سیستم در تست های مصنوعی به اندازه کافی روی نیمکت عمل کرد.

اگر مشتری تأیید کند و شما علاقه مند به نحوه رفتار این سیستم در "نبرد" هستید، پس از 3-6 ماه یک بررسی با تمام مشکلات و مشکلات پیش آمده می نویسم. در صورت امکان، کیفیت پشتیبانی فنی را بررسی خواهیم کرد.

در نظرات، من از شما انتظار سوالاتی دارم که باید در استفاده رزمی به طور مفصل به آنها پرداخته شود.

منبع: www.habr.com