Setiap pengusaha berusaha untuk memangkas biaya. Hal yang sama berlaku untuk infrastruktur TI.
Ketika kantor baru dibuka, rambut seseorang mulai terangkat. Bagaimanapun, Anda perlu mengatur:
- jaringan lokal;
- Akses internet. Lebih baik lagi jika reservasi melalui penyedia kedua;
- VPN ke kantor pusat (atau ke semua cabang);
- HotSpot untuk klien dengan otorisasi melalui SMS;
- menyaring lalu lintas sehingga karyawan tidak menghabiskan waktu di jejaring sosial dan mengobrol di Skype;
- melindungi jaringan Anda dari virus dan serangan. Memberikan perlindungan intrusi (IDS/IPS);
- server email Anda sendiri (jika Anda tidak mempercayai pdd.yandex.ru) dengan antivirus dan antispam;
- tumpukan file;
- Anda mungkin memerlukan telepon, mis. mengatur PBX, menyambung ke penyedia SIP dan barang lainnya...
Tetapi seorang spesialis Enikey tidak akan dapat meningkatkan jaringan perusahaan dengan persyaratan seperti itu... Menyewa administrator sistem yang mahal?
Angka rubel yang sangat besar muncul dalam kaitannya dengan biaya di masa depan.
Namun biaya tersebut dapat dikurangi secara signifikan jika Anda memperhatikannya solusi UTM, yang sekarang jumlahnya sangat banyak. Dan karena saya menganut strategi βsemakin sederhana semakin baikβ dalam menyelesaikan masalah saya, mata saya tertuju pada UTM (X).
Saya akan memberi tahu Anda di bawah ini bagaimana sistem ini akan membantu menghemat anggaran perusahaan dan mengapa Anda tidak memerlukan administrator sistem yang mahal untuk memeliharanya.
Namun ke depan, saya akan mengatakan bahwa ini adalah produk tertentu dan memiliki keterbatasan. Anda dapat mengevaluasi kemampuan gateway secara lebih detail .
Saya mengaturnya untuk artikel "dalam bahasa Rusia", yaitu, tanpa melihat mana, untuk memahami betapa intuitifnya segala sesuatunya.
Instalasi awal
ICS dapat diinstal pada perangkat keras nyata dan di hypervisor. Anda dapat menggunakan beberapa PC tanpa kipas.Contohnya seperti ini.
Sistem ini didasarkan pada dan pada sebagian besar peralatan, alat ini akan lepas landas tanpa masalah.
Instalasi dilakukan pada disk kosong. Lebih tepatnya, jika ada sesuatu di sana, maka Anda bisa mengucapkan selamat tinggal dengan aman.Sayangnya installernya hanya mendukung bahasa Inggris. Namun setelah instalasi, antarmuka utama mungkin dalam bahasa Rusia.
Mereka juga tidak melupakan toleransi kesalahan.Jika ada beberapa disk dalam sistem, disk tersebut dapat digabungkan menjadi satu serangan menggunakan ZFS.
Pilih antarmuka jaringan dan tetapkan ip dari jaringan yang dipilih.
Harap tunjukkan nama domain asli jika Anda berencana menyiapkan, misalnya, server email. Jika tidak ada kebutuhan seperti itu sekarang, maka Anda dapat menulis secara tiba-tiba. Anda dapat memperbaikinya nanti di antarmuka.
Semua! Anda dapat masuk ke antarmuka web menggunakan IP yang ditentukan dalam pengaturan dan port 81. DHCP belum diaktifkan pada tahap ini, jadi Anda harus menetapkan IP dari jaringan yang sama secara manual di PC Anda.
Kami terhubung ke Internet dan menghubungkan kantor.
Saat Anda masuk untuk pertama kalinya, wizard memulainya membuat Anda menetapkan kata sandi yang kuat.
Guru
Selanjutnya kita masuk ke pengaturan jaringan
dan konfigurasikan koneksi ke penyedia kami dan peran semua antarmuka jaringan.
Anda dapat mengkonfigurasi beberapa penyedia dan mengatur keseimbangan.
Omong-omong, jika Anda merasa tidak nyaman dengan bahasa antarmuka Inggris, Anda dapat dengan mudah mengubahnya di sini.
Jika Anda perlu menghubungkan kantor, misalnya ke kantor pusat. Kemudian kita membuat koneksi baru
dan mengonfigurasi rute ke sumber daya di jaringan jarak jauh.
Lupakan saja tentang perutean dinamis - ini tidak ada di sini.
Mungkin saya terlalu pilih-pilih, tapi IMHO ini adalah kelemahan besar...
Akses internet untuk karyawan
Seringkali, tugas utama gateway adalah mengontrol akses karyawan ke Internet.
Karyawan dapat diidentifikasi baik dengan IP/mac atau dengan login/kata sandi melalui agen atau captive portal.
Selain itu, jika organisasi Anda menggunakan Direktori Aktif, ICS dapat diintegrasikan dengannya.
Pengaturan penyaringan (di mana seorang karyawan bisa dan tidak bisa pergi) sangat luas.
Sejumlah besar templat aturan yang sudah jadi:
Anda boleh mengizinkan youtube, tetapi melarang mengunggah video di sana.
Namun Anda tidak perlu membatasi diri, dan ICS akan tetap memberi tahu Anda ke mana semua orang pergi dan ke mana mereka pergi dengan laporan ekstensifnya:
Bagaimana dengan Wi-Fi tamu?
Dan Wi-Fi tamu dapat diatur sesuai dengan persyaratan undang-undang Rusia tentang identifikasi pengguna wajib.
ICS mendukung pengiriman SMS melalui protokol SMPP melalui penyedia SMS mana pun.
Telepon.
Ya ya! Tidak perlu menginstal server terpisah dengan Asterisk. Itu sudah ada di ICS.
Saya berhasil menghubungkan SIP dari Megafon (emosi, multifon).
Cara mendapatkan SIP dari Megafon dengan tarif seluler untuk perorangan dapat dibaca di artikel .
Keamanan
ICS memiliki banyak alat yang memungkinkan Anda menyesuaikan tingkat keamanan sesuai kebutuhan Anda: dari antivirus gratis ClamAV dan untuk produk , mengonfigurasi hanya melalui antarmuka web yang dapat dimengerti.
Bahkan fail2Ban yang tak tergantikan dapat dikonfigurasi dalam beberapa klik
ICS juga dapat memonitor lalu lintas melalui protokol netflow dari peralatan jaringan tanpa melewati lalu lintas melalui dirinya sendiri.
Barang komunikasi
Komunikasi karyawan dapat diselenggarakan tidak hanya melalui telepon dan surat
tetapi juga melalui Jabber. Benar, hanya sedikit orang yang mengingat protokol seperti itu.
Server web:
ICS bahkan memiliki server web dengan dukungan PHP. Anda dapat menginstal sertifikat HTTPS Anda sendiri jika Anda telah membelinya, atau menentukan bahwa ICS menerima Let's Encrypt gratis.
Ini cukup untuk menghosting situs web kartu nama atau halaman arahan iklan. Namun Anda tidak akan bisa masuk ke portal berat dengan modul khusus. Dan bagi saya, ini bodoh. Meski begitu, gateway harus tetap menjadi gateway.
Konfigurasi pemantauan dan notifikasi yang fleksibel.
Alarm bahkan bisa dikirim ke Telegram. Dan dalam realitas Federasi Rusia, pengiriman pesan bahkan dimungkinkan melalui proxy.
Sebagai kesimpulan
Gateway Internet ICS berisi hampir semua komponen yang diperlukan untuk memfungsikan kantor kecil.
Selain itu, semua ini dapat dikonfigurasi oleh administrator sistem pemula.
Terlepas dari kenyataan bahwa sistem ini tidak dibangun di FreeBSD, tidak ada akses ke sana melalui ssh. Artinya, Anda tidak akan bisa menginstal modul PHP tanpa kruk. Anda harus puas dengan apa yang Anda miliki... Atau minta dukungan untuk menyelesaikannya.
Bagaimanapun di awal dan periksa seberapa cocok gateway ini untuk Anda.
Lisensinya tidak memiliki masa berlaku, namun biayanya cukup mahal
Sistem ini bekerja secara memadai di bangku cadangan dalam pengujian sintetik.
Jika pelanggan menyetujui dan Anda tertarik dengan bagaimana sistem ini akan berperilaku dalam "pertempuran", maka dalam 3-6 bulan saya akan menulis ulasan dengan semua masalah dan kesulitan yang muncul. Jika memungkinkan, kami akan memeriksa kualitas dukungan teknis.
Di komentar, saya mengharapkan pertanyaan dari Anda yang perlu dijawab secara rinci dalam penggunaan tempur.
Sumber: www.habr.com