Calquera empresario esfórzase en reducir custos. O mesmo aplícase á infraestrutura de TI.
Cando abre unha nova oficina, o pelo de alguén comeza a subir. Despois de todo, cómpre organizar:
- rede local;
- Acceso a Internet. Aínda é mellor con reserva a través dun segundo provedor;
- VPN á oficina central (ou a todas as sucursais);
- HotSpot para clientes con autorización por SMS;
- filtrar o tráfico para que os empregados non pasen tempo nas redes sociais e chateen en Skype;
- protexendo a súa rede de virus e ataques. Proporcionar protección contra intrusións (IDS/IPS);
- o teu propio servidor de correo (se non confías en ningún pdd.yandex.ru) con antivirus e antispam;
- descarga de ficheiros;
- Probablemente necesites telefonía, é dicir. organizar un PBX, conectarse a un provedor SIP e outras golosinas...
Pero un especialista de Enikey non poderá crear unha rede empresarial con tales requisitos... Contratar un administrador de sistemas caro?
Xorde unha cifra de rublo moi grande en termos de custos futuros.
Pero estes custos pódense reducir significativamente se prestas atención Solucións UTM, dos que agora hai un gran número. E como me adhiro á estratexia "canto máis sinxelo mellor" para resolver os meus problemas, os meus ollos puxéronse en UTM (X).
Vouche dicir a continuación como este sistema axudará a aforrar o orzamento da empresa e por que non necesitas un administrador de sistemas caro para mantelo.
Pero mirando cara adiante, direi que este é un produto específico e ten as súas limitacións. Pode avaliar as capacidades da pasarela con máis detalle .
Eu configureino para o artigo "en ruso", é dicir, sen mirar o mana, para entender o intuitivo que era todo.
Instalación inicial
ICS pódese instalar tanto en hardware real como nun hipervisor. Podes usar algún PC sen ventilador.Por exemplo este.
O sistema baséase en e na maioría dos equipos debería despegar sen problemas.
A instalación realízase nun disco en branco. Máis precisamente, se había algo alí, entón podes dicir adeus con seguridade.Desafortunadamente, o instalador só admite inglés. Pero despois da instalación, a interface principal pode estar en ruso.
Tampouco se esqueceron da tolerancia ás fallas.Se hai varios discos no sistema, pódense combinar nunha incursión usando ZFS.
Seleccione unha interface de rede e asigne unha ip da rede seleccionada.
Indique un nome de dominio real se planea configurar, por exemplo, un servidor de correo. Se non hai esa necesidade agora, podes escribir sen dúbida. Podes solucionalo máis tarde na interface.
Todo! Podes iniciar sesión na interface web usando a IP especificada na configuración e no porto 81. DHCP aínda non está activado neste momento, polo que terás que asignar unha IP da mesma rede manualmente no teu PC.
Conectámonos a Internet e conectamos oficinas.
Cando inicias sesión por primeira vez, un asistente inicia isto fai Definiches un contrasinal seguro.
Mestre
A continuación imos á configuración da rede
e configurar a conexión co noso provedor e os roles de todas as interfaces de rede.
Pode configurar varios provedores e organizar o equilibrio.
Por certo, se non estás cómodo co idioma da interface en inglés, podes cambialo facilmente aquí.
Se precisa conectar unha oficina, por exemplo, coa sede central. Despois creamos unha nova conexión
e configurar rutas a recursos na rede remota.
Esquece o enrutamento dinámico: non está aquí.
Quizais estou sendo demasiado esixente, pero en mi humilde opinión, isto é un gran inconveniente...
Acceso a Internet para os empregados
Na maioría das veces, a tarefa principal dunha pasarela é controlar o acceso dos empregados a Internet.
Os empregados pódense identificar mediante IP/mac ou mediante inicio de sesión/contrasinal a través dun axente ou portal cativo.
Ademais, se a súa organización usa Active Directory, entón ICS pódese integrar con el.
As opcións de filtrado (onde un empregado pode e non pode ir) son moi amplas.
Un gran número de modelos de regras preparados:
Podes permitir youtube, pero prohibir cargar vídeos alí.
Pero non tes que limitarte, e o ICS aínda che dirá onde foron todos e onde foron cos seus extensos informes:
Que pasa coa wifi para hóspedes?
E a wifi para hóspedes pódese organizar de acordo cos requisitos das leis rusas sobre a identificación obrigatoria do usuario.
ICS admite o envío de SMS a través do protocolo SMPP a través de calquera provedor de SMS.
Telefonía.
Si Si! Non é necesario instalar un servidor separado con Asterisk. Xa está no ICS.
Conectei con éxito SIP desde Megafon (emoción, multifon).
Como obter SIP de Megafon a tarifas móbiles para particulares pódese ler no artigo .
Seguridade.
ICS conta con moitas ferramentas que che permitirán personalizar o nivel de seguridade segundo as túas necesidades: desde os antivirus gratuítos ClamAV e aos produtos , configurando só a través dunha interface web comprensible.
Incluso o mesmo insubstituíble fail2Ban pódese configurar en poucos clics
O ICS tamén pode supervisar o tráfico a través do protocolo netflow desde equipos de rede sen pasar o tráfico por si mesmo.
Golosinas da comunicación
A comunicación dos empregados pódese organizar non só por teléfono e correo
pero tamén a través de Jabber. É certo que poucas persoas lembran un protocolo deste tipo.
Servidor web:
ICS incluso ten un servidor web con soporte PHP. Podes instalar o teu propio certificado HTTPS se compraches un ou especificar que o ICS reciba Let's Encrypt gratuíto.
Isto é suficiente para aloxar un sitio web de tarxetas de visita ou unha páxina de destino publicitaria. Pero non poderás cortar un portal pesado con módulos personalizados. E para min, isto é estúpido. Aínda así, a pasarela debe seguir sendo unha porta de entrada.
Configuración flexible de seguimento e notificacións.
Incluso pódense enviar alarmas a Telegram. E nas realidades da Federación Rusa, incluso é posible enviar mensaxes a través dun proxy.
En conclusión
A pasarela de Internet ICS contén case todos os compoñentes necesarios para o funcionamento dunha pequena oficina.
Ademais, todo isto pode ser configurado por un administrador do sistema novato.
A pesar de que o sistema non está construído en FreeBSD, non hai acceso a el a través de ssh. É dicir, non poderá instalar módulos PHP sen muletas. Terás que conformarte co que tes... Ou pedir apoio para rematalo.
En todo caso ao principio e comproba o axeitado para ti esta pasarela.
A licenza non ten un período de validez, pero a pesar diso o custo é bastante
O sistema funcionou adecuadamente no banco en probas sintéticas.
Se o cliente aproba e estás interesado en como se comportará este sistema na "batalla", en 3-6 meses escribirei unha revisión con todos os problemas e dificultades que xurdiron. Se é posible, comprobaremos a calidade do soporte técnico.
Nos comentarios, espero preguntas de ti que terás que abordar en detalle no uso do combate.
Fonte: www.habr.com