Qualsiasi uomo d'affari si sforza di ridurre i costi. Lo stesso vale per l’infrastruttura IT.
Quando apre un nuovo ufficio, a qualcuno iniziano a rizzarsi i capelli. Dopotutto, devi organizzare:
- rete locale;
- Accesso ad Internet. È ancora meglio prenotare tramite un secondo fornitore;
- VPN verso la sede centrale (o verso tutte le filiali);
- HotSpot per clienti con autorizzazione via SMS;
- filtrare il traffico in modo che i dipendenti non trascorrano tempo sui social network e chiacchierano su Skype;
- proteggere la tua rete da virus e attacchi. Fornire protezione dalle intrusioni (IDS/IPS);
- il tuo server di posta (se non ti fidi di nessun pdd.yandex.ru) con antivirus e antispam;
- dump del file;
- Probabilmente hai bisogno della telefonia, ad es. organizzare un PBX, connettersi a un provider SIP e altre chicche...
Ma uno specialista Enikey non sarà in grado di realizzare una rete aziendale con tali requisiti... Assumere un costoso amministratore di sistema?
In termini di costi futuri emerge una cifra molto elevata in rubli.
Ma questi costi possono essere notevolmente ridotti se presti attenzione Soluzioni UTM, di cui ora ce n'è un numero enorme. E poiché aderisco alla strategia “più semplice è, meglio è” nel risolvere i miei problemi, i miei occhi sono caduti su UTM
Di seguito ti dirò come questo sistema aiuterà a risparmiare il budget dell'azienda e perché non è necessario un costoso amministratore di sistema per mantenerlo.
Ma guardando al futuro, dirò che questo è un prodotto specifico e ha i suoi limiti. È possibile valutare le funzionalità del gateway in modo più dettagliato
L'ho impostato per l'articolo “in russo”, cioè senza guardare il mana, per capire quanto fosse intuitivo tutto.
Installazione iniziale
ICS può essere installato sia su hardware reale che in un hypervisor. Puoi usare un PC senza ventola.Ad esempio questo.
Il sistema è basato su
L'installazione viene eseguita su un disco vuoto. Più precisamente, se c'era qualcosa lì, puoi tranquillamente dirgli addio.Sfortunatamente, il programma di installazione supporta solo l'inglese. Ma dopo l'installazione, l'interfaccia principale potrebbe essere in russo.
Inoltre, non hanno dimenticato la tolleranza agli errori.Se nel sistema sono presenti più dischi, è possibile combinarli in un raid utilizzando ZFS.
Seleziona un'interfaccia di rete e assegna un IP dalla rete selezionata.
Indica un nome di dominio reale se intendi configurare, ad esempio, un server di posta. Se non ce n'è più bisogno ora, puoi scrivere all'improvviso. Puoi risolverlo più tardi nell'interfaccia.
Tutto! Puoi accedere all'interfaccia web utilizzando l'IP specificato nelle impostazioni e la porta 81. DHCP non è ancora abilitato in questa fase, quindi dovrai assegnare manualmente un IP dalla stessa rete sul tuo PC.
Ci colleghiamo a Internet e colleghiamo gli uffici.
Quando accedi per la prima volta, viene avviata una procedura guidata marche Hai impostato una password complessa.
maestro
Successivamente andiamo nelle impostazioni di rete
e configurare la connessione al nostro provider e i ruoli di tutte le interfacce di rete.
È possibile configurare diversi fornitori e organizzare il bilanciamento.
A proposito, se non ti senti a tuo agio con la lingua dell'interfaccia inglese, puoi cambiarla facilmente qui.
Se è necessario collegare un ufficio, ad esempio, alla sede centrale. Quindi creiamo una nuova connessione
e configurare percorsi verso le risorse sulla rete remota.
Dimentica semplicemente il routing dinamico: non è qui.
Forse sono stato troppo esigente, ma IMHO questo è un grosso inconveniente...
Accesso a Internet per i dipendenti
Molto spesso, il compito principale di un gateway è controllare l'accesso dei dipendenti a Internet.
I dipendenti possono essere identificati tramite IP/mac o tramite login/password tramite un agente o un captive Portal.
Inoltre, se la tua organizzazione utilizza Active Directory, è possibile integrare ICS con esso.
Le impostazioni di filtro (dove un dipendente può e non può andare) sono molto estese.
Un numero enorme di modelli di regole già pronti:
Puoi consentire YouTube, ma vietare il caricamento di video lì.
Ma non devi limitarti e l’ICS ti dirà comunque dove sono andati tutti e dove sono andati con i suoi rapporti approfonditi:
E il Wi-Fi ospite?
E il Wi-Fi ospite può essere organizzato in conformità con i requisiti delle leggi russe sull'identificazione obbligatoria dell'utente.
ICS supporta l'invio di SMS tramite protocollo SMPP tramite qualsiasi provider SMS.
Telefonia.
Si si! Non è necessario installare un server separato con Asterisk. È già nell'ICS.
Ho collegato con successo SIP da Megafon (emotion, multifon).
Come ottenere SIP da Megafon alle tariffe cellulari per i privati può essere letto nell'articolo
Sicurezza.
ICS dispone di numerosi strumenti che ti permetteranno di personalizzare il livello di sicurezza in base alle tue esigenze: dagli antivirus gratuiti ClamAV e
Anche lo stesso insostituibile fail2Ban può essere configurato in pochi clic
L'ICS può anche monitorare il traffico tramite il protocollo netflow proveniente dalle apparecchiature di rete senza far passare il traffico attraverso se stesso.
Chicche di comunicazione
La comunicazione dei dipendenti può essere organizzata non solo tramite telefono e posta
ma anche tramite Jabber. È vero, poche persone ricordano un simile protocollo.
Server web:
ICS ha anche un server web con supporto PHP. Puoi installare il tuo certificato HTTPS se ne hai acquistato uno, oppure specificare che l'ICS riceva gratuitamente Let's Encrypt.
Questo è sufficiente per ospitare un sito Web di biglietti da visita o una pagina di destinazione pubblicitaria. Ma non sarai in grado di creare un portale pesante con moduli personalizzati. E per me questo è stupido. Tuttavia, il gateway deve rimanere un gateway.
Configurazione flessibile del monitoraggio e delle notifiche.
Gli allarmi possono anche essere inviati a Telegram. E nelle realtà della Federazione Russa è possibile inviare messaggi anche tramite proxy.
В заключении
Il gateway Internet ICS contiene quasi tutti i componenti necessari per il funzionamento di un piccolo ufficio.
Inoltre, tutto ciò può essere configurato da un amministratore di sistema inesperto.
Nonostante il sistema non sia basato su FreeBSD, non è possibile accedervi tramite ssh. Cioè, non sarai in grado di installare moduli PHP senza stampelle. Dovrai accontentarti di quello che hai... Oppure chiedere supporto per finirlo.
In ogni caso all'inizio
La licenza non ha un periodo di validità, ma nonostante ciò il costo è contenuto
Il sistema ha funzionato adeguatamente al banco nei test sintetici.
Se il cliente approva e sei interessato a come si comporterà questo sistema in "battaglia", tra 3-6 mesi scriverò una recensione con tutti i problemi e le difficoltà che sono sorti. Se possibile, controlleremo la qualità del supporto tecnico.
Nei commenti, mi aspetto da te domande che dovranno essere affrontate in dettaglio nell'uso in combattimento.
Fonte: habr.com