Elk bedriuw besiket kosten te ferminderjen. Itselde jildt foar IT-ynfrastruktuer.
By it iepenjen fan in nij kantoar begjint it hier fan immen te bewegen. Nei alles moatte jo organisearje:
- lokaal netwurk;
- Ynternet tagong. Noch better mei in reservearring fia in twadde provider;
- VPN nei it sintrale kantoar (of nei alle tûken);
- HotSpot foar kliïnten mei SMS-autorisaasje;
- ferkearsfiltering sadat meiwurkers net yn sosjale netwurken sitte en net knetterje op Skype;
- beskermje jo netwurk tsjin firussen en oanfallen. Soargje foar ynbraakbeskerming (IDS / IPS);
- jo e-posttsjinner (as jo gjin pdd.yandex.ru fertrouwe) mei antivirus en antispam;
- triem dump;
- Wierskynlik moatte jo telefoanysk, ie. organisearje in PBX, ferbine mei in SIP-provider en oare guod ...
Mar in enikey-arbeider sil net by steat wêze om in bedriuwsnetwurk te ferheegjen mei sokke easken ... In djoere systeembehearder hiere?
In heul grut, yn termen fan takomstige kosten, roebelnûmer ûntstiet.
Mar dizze kosten kinne gâns fermindere wurde as jo omtinken jaan oan UTM oplossings, dêr't der no in protte fan binne. En om't ik my folgje oan 'e strategy "hoe ienfâldiger hoe better" by it oplossen fan myn problemen, foelen myn eagen op UTM
Hoe't dit systeem sil helpe om it budzjet fan it bedriuw te besparjen en wêrom in djoere systeembehearder net nedich is foar syn ûnderhâld - ik sil hjirûnder fertelle.
Mar foarút sjen, sil ik sizze dat dit in spesifyk produkt is en syn beheiningen hat. Jo kinne de mooglikheden fan 'e poarte yn mear detail evaluearje
Ik sette op foar it artikel "yn it Russysk", dat is, sûnder yn 'e mana te sjen, om te begripen hoe yntuïtyf alles is.
Initial ynstallaasje
ICS kin wurde ynstalleare sawol op echte hardware as yn in hypervisor. Jo kinne elke fanless PC brûke.Bygelyks as dizze.
It systeem is basearre op
De ynstallaasje wurdt dien op in lege skiif. Mear krekter, as der wat wie, dan kinne jo der feilich ôfskied nimme.Spitigernôch stipet it ynstallearder allinich Ingelsk. Mar nei ynstallaasje kin de haadynterface yn it Russysk wêze.
Ferjit ek net oer resilience.As d'r ferskate skiven binne yn it systeem, dan kinne se wurde kombineare yn in oerfal mei ZFS.
Selektearje de netwurkynterface en tawize ip fan it selektearre netwurk.
Spesifisearje in echte domeinnamme as jo fan plan binne om bygelyks in e-posttsjinner te ferheegjen. As it no net nedich is, dan kinst skriuwe fanút de bulldozer. Fierder yn 'e ynterface sil it mooglik wêze om te korrigearjen.
Alle! Jo kinne tagong krije ta de webynterface mei de ip oantsjutte yn 'e ynstellings en poarte 81. DHCP is op dit stadium noch net ynskeakele, dus jo moatte manuell in ip fan itselde netwurk op jo PC tawize.
Wy ferbine mei it ynternet en ferbine kantoaren.
De earste kear dat jo ynlogge, wurdt in wizard lansearre dat makket jo om in sterk wachtwurd yn te stellen.
Master
Dêrnei klimme wy yn 'e netwurkynstellingen
en konfigurearje de ferbining mei ús provider en de rol fan alle netwurkynterfaces.
Jo kinne ferskate providers ynstelle en balânsjen organisearje.
Trouwens, as de Ingelske ynterfacetaal net handich is foar jo, kinne jo it hjir maklik feroarje.
As jo bygelyks in kantoar ferbine wolle mei it haadkantoar. Dan meitsje wy in nije ferbining
en set rûtes op nei boarnen op in netwurk op ôfstân.
Jo kinne allinich dynamyske routing ferjitte - it is hjir net.
Miskien kies ik in protte, mar IMHO is dit in grut nadeel ...
Ynternet tagong foar meiwurkers
Meastentiids is de wichtichste taak fan 'e poarte om de tagong fan meiwurkers ta it ynternet te kontrolearjen.
Meiwurkers kinne wurde identifisearre sawol troch ip / mac, en troch oanmelding / wachtwurd fia in agent of captive portal.
Ek as jo organisaasje Active Directory brûkt, dan kin ICS dêrmei wurde yntegrearre.
Filterynstellingen (wêr't in meiwurker kin en kin net) binne heul wiidweidich.
In grut oantal klearmakke regelsjabloanen:
Jo kinne youtube tastean, mar ferbiede it uploaden fan fideo's dêr.
Mar jo kinne it net beheine, en ICS sil noch fertelle wêr't immen gie en wêr mei har wiidweidige rapporten:
Hoe sit it mei Wi-Fi foar gasten?
En gast Wi-Fi kin wurde organisearre yn oerienstimming mei de easken fan 'e wetten fan' e Russyske Federaasje op ferplichte brûker identifikaasje.
ICS stipet it ferstjoeren fan SMS fia SMPP-protokol fia elke SMS-provider.
Tillefoany.
Ja Ja! Gjin needsaak om in aparte server te ynstallearjen mei Asterisk. It is al op ICS.
Ik mei súkses ferbûn SIP út Megafon (emoasje, multiphone).
Hoe kinne jo SIP fan Megafon krije op 'e sellulêre tariven fan yndividuen kinne fûn wurde yn it artikel
Feiligens.
ICS hat in protte ark wêrmei jo it nivo fan feiligens kinne oanpasse neffens jo easken: fan fergese antyvirussen ClamAV en
Sels deselde ûnmisbere fail2Ban is konfigureare yn in pear mûsklikken
Ek kin ICS ferkear kontrolearje fia it netflowprotokol fan netwurkapparatuer sûnder ferkear troch himsels te gean.
Kommunikaasje goodies
Kommunikaasje fan meiwurkers kin organisearre wurde net allinich fia tillefoan en post
mar ek troch jabber. Wier, in pear minsken ûnthâlde sa'n protokol.
webserver:
IKS hat sels in webserver mei PHP-stipe. Jo kinne jo eigen HTTPS-sertifikaat ynstallearje as jo ien hawwe kocht, of opjaan dat ICS in fergese Let's Encrypt ûntfange.
Dit is genôch om in side foar visitekaarten as in lâningsside foar advertinsjes te pleatsen. Mar jo sille gjin swiere portal kinne snije mei oanpaste modules. En foar my is it dom. Dochs moat de poarte in poarte bliuwe.
Fleksibele konfiguraasje fan tafersjoch en notifikaasjes.
Alarms kinne sels wurde stjoerd nei Telegram. En yn 'e realiteit fan' e Russyske Federaasje is it sels mooglik om berjochten te ferstjoeren fia in proxy.
Yn ôfsluting
Ynternetpoarte "X" befettet hast alle komponinten dy't nedich binne foar it funksjonearjen fan in lyts kantoar.
Yn dit gefal kin dit alles wurde konfigureare troch in begjinnende systeembehearder.
Hoewol it systeem net is boud troch FreeBSD, is d'r gjin ssh-tagong ta. Dat is, sûnder krukken, kinne jo gjin PHP-modules ynstallearje. Wy sille tefreden wêze moatte mei wat wy hawwe... Of de stipe freegje om it ôf te meitsjen.
Yn elk senario oan it begjin
De lisinsje ferrint net, mar nettsjinsteande dit binne de kosten frijwat
Op de tribune yn syntetyske tests bliek it systeem adekwaat te wêzen.
As de klant goedkart en jo sille ynteressearre wêze yn hoe't dit systeem gedraacht yn in "slach", dan sil ik yn 3-6 moannen in resinsje skriuwe mei alle problemen en swierrichheden dy't ûntstien binne. As it mooglik is, sille wy de kwaliteit fan technyske stipe kontrolearje.
Yn 'e opmerkingen ferwachtsje ik fragen fan jo dy't yn detail moatte wurde rjochte yn bestriding.
Boarne: www.habr.com