Svaki poduzetnik nastoji smanjiti troškove. Isto vrijedi i za IT infrastrukturu.
Kad se otvori novi ured, nekome se diže kosa na glavi. Uostalom, morate organizirati:
- lokalna mreža;
- Pristup internetu. Još je bolje s rezervacijom preko drugog pružatelja;
- VPN prema centrali (ili prema svim poslovnicama);
- HotSpot za klijente uz autorizaciju putem SMS-a;
- filtriranje prometa tako da zaposlenici ne provode vrijeme na društvenim mrežama i brbljaju na Skypeu;
- štiteći vašu mrežu od virusa i napada. Osigurati zaštitu od upada (IDS/IPS);
- vlastiti poslužitelj pošte (ako ne vjerujete nijednom pdd.yandex.ru) s antivirusom i antispamom;
- ispis datoteke;
- Vjerojatno vam treba telefonija, t.j. organizirati PBX, spojiti se na SIP providera i druge stvari...
Ali stručnjak za Enikey neće moći podići mrežu poduzeća s takvim zahtjevima... Angažirati skupog administratora sustava?
Pojavljuje se vrlo velika brojka u rubljama u smislu budućih troškova.
Ali ti se troškovi mogu značajno smanjiti ako obratite pozornost UTM rješenja, kojih sada ima ogroman broj. A budući da se pridržavam strategije “što jednostavnije to bolje” u rješavanju svojih problema, pogled mi je pao na UTM (X).
U nastavku ću vam reći kako će ovaj sustav pomoći uštedjeti proračun tvrtke i zašto ne trebate skupog administratora sustava za njegovo održavanje.
Ali gledajući unaprijed, reći ću da je ovo specifičan proizvod i da ima svoja ograničenja. Možete detaljnije procijeniti mogućnosti pristupnika .
Postavio sam ga za članak "na ruskom", to jest, bez gledanja u manu, da shvatim koliko je sve intuitivno.
Početna instalacija
ICS se može instalirati i na pravi hardver i u hipervizor. Možete koristiti računalo bez ventilatora.Na primjer ovaj.
Sustav se temelji na i na većini opreme trebao bi poletjeti bez problema.
Instalacija se izvodi na prazan disk. Točnije, ako je tu bilo nečega, onda se možete sa sigurnošću oprostiti od toga.Nažalost, instalacijski program podržava samo engleski. Ali nakon instalacije, glavno sučelje može biti na ruskom.
Također nisu zaboravili na toleranciju grešaka.Ako postoji nekoliko diskova u sustavu, oni se mogu spojiti u raid pomoću ZFS-a.
Odaberite mrežno sučelje i dodijelite IP iz odabrane mreže.
Navedite pravi naziv domene ako planirate postaviti, na primjer, poslužitelj e-pošte. Ako sada nema takve potrebe, možete pisati iz vedra neba. Možete to popraviti kasnije u sučelju.
Svi! Možete se prijaviti na web sučelje pomoću IP-a navedenog u postavkama i porta 81. DHCP još nije omogućen u ovoj fazi, tako da ćete morati ručno dodijeliti IP s iste mreže na računalu.
Spajamo se na internet i povezujemo urede.
Kada se prvi put prijavite, pokreće se čarobnjak pravi Postavili ste jaku lozinku.
majstor
Zatim idemo u mrežne postavke
te konfigurirati vezu s našim davateljem usluga i uloge svih mrežnih sučelja.
Možete konfigurirati nekoliko pružatelja usluga i organizirati balansiranje.
Usput, ako vam engleski jezik sučelja nije ugodan, ovdje ga možete jednostavno promijeniti.
Ako trebate spojiti ured, na primjer, sa sjedištem. Zatim stvaramo novu vezu
i konfigurirati rute do resursa na udaljenoj mreži.
Samo zaboravite na dinamičko usmjeravanje - to nije ovdje.
Možda sam previše izbirljiv, ali IMHO ovo je velika mana...
Pristup internetu za zaposlenike
Najčešće je glavni zadatak pristupnika kontrolirati pristup zaposlenika Internetu.
Zaposlenici se mogu identificirati putem IP-a/mac-a ili putem prijave/lozinke putem agenta ili portala za zarobljavanje.
Također, ako vaša organizacija koristi Active Directory, tada se ICS može integrirati s njim.
Postavke filtriranja (gdje zaposlenik može, a gdje ne može ići) vrlo su opsežne.
Ogroman broj gotovih predložaka pravila:
Možete dopustiti YouTube, ali zabraniti učitavanje videozapisa tamo.
Ali ne morate se ograničavati, a ICS će vam svojim opsežnim izvješćima ipak reći gdje su svi otišli i kamo su otišli:
Što je s Wi-Fijem za goste?
Wi-Fi za goste može se organizirati u skladu sa zahtjevima ruskih zakona o obveznoj identifikaciji korisnika.
ICS podržava slanje SMS-a putem SMPP protokola putem bilo kojeg pružatelja usluga SMS-a.
Telefonija.
Da da! Nema potrebe za instaliranjem zasebnog poslužitelja sa Asterisk. Već je u ICS-u.
Uspješno sam povezao SIP s Megafona (emotion, multifon).
Kako dobiti SIP od Megafona po mobilnim tarifama za pojedince možete pročitati u članku .
Sigurnost.
ICS ima mnogo alata koji će vam omogućiti da prilagodite razinu sigurnosti prema svojim zahtjevima: od besplatnih antivirusa ClamAV i na proizvode , konfiguriranje samo putem razumljivog web sučelja.
Čak i isti nezamjenjivi fail2Ban može se konfigurirati u nekoliko klikova
ICS također može pratiti promet putem netflow protokola s mrežne opreme bez propuštanja prometa kroz sebe.
Komunikacijski dodaci
Komunikacija zaposlenika može se organizirati ne samo putem telefona i pošte
ali i putem Jabbera. Istina, malo se ljudi sjeća takvog protokola.
Web-poslužitelj:
ICS ima čak i web-poslužitelj s PHP podrškom. Možete instalirati vlastiti HTTPS certifikat ako ste ga kupili ili odrediti da ICS dobije besplatni Let's Encrypt.
To je dovoljno za ugošćavanje web stranice posjetnice ili odredišne stranice za oglašavanje. Ali nećete moći ući u težak portal s prilagođenim modulima. A za mene je ovo glupo. Ipak, gateway mora ostati gateway.
Fleksibilna konfiguracija nadzora i obavijesti.
Alarmi se čak mogu slati na Telegram. A u stvarnosti Ruske Federacije čak je moguće slati poruke putem proxyja.
U zaključku
ICS Internet gateway sadrži gotovo sve komponente potrebne za funkcioniranje malog ureda.
Štoviše, sve to može konfigurirati administrator sustava početnik.
Unatoč činjenici da sustav nije izgrađen na FreeBSD-u, ne postoji pristup preko ssh-a. Odnosno, nećete moći instalirati PHP module bez štaka. Morat ćete biti zadovoljni s onim što imate... Ili zamolite podršku da to završi.
U svakom slučaju na početku i provjerite koliko vam ovaj gateway odgovara.
Licenca nema rok valjanosti, no unatoč tome cijena je prilično visoka
Sustav se dobro pokazao na laboratorijskim testovima u sintetičkim testovima.
Ako kupac odobri i zanima vas kako će se ovaj sustav ponašati u "bitci", tada ću za 3-6 mjeseci napisati recenziju sa svim problemima i poteškoćama koje su se pojavile. Ako je moguće, provjerit ćemo kvalitetu tehničke podrške.
U komentarima od vas očekujem pitanja koja će trebati detaljno obraditi u borbenoj uporabi.
Izvor: www.habr.com