小規模組織向けのソフトウェア インターネット ゲートウェイ

ビジネスマンなら誰でもコスト削減に努めます。 同じことがITインフラストラクチャにも当てはまります。

新しいオフィスがオープンすると、誰かの髪の毛が立ち上がり始めます。 結局のところ、以下を整理する必要があります。

• ローカルネットワーク;
• インターネット・アクセス。 XNUMX 番目のプロバイダーを通じて予約するとさらにお得です。
• 中央オフィス (またはすべての支店) への VPN。
• SMS 経由の認証を持つクライアント向けのホットスポット。
• トラフィックをフィルタリングして、従業員がソーシャル ネットワークに時間を費やしたり、Skype でおしゃべりしたりしないようにします。
• ウイルスや攻撃からネットワークを保護します。 侵入保護 (IDS/IPS) を提供します。
• ウイルス対策とスパム対策が備わった独自のメール サーバー (pdd.yandex.ru を信頼しない場合)。
• ファイルダンプ。
• おそらく電話が必要です。 PBX を整理し、SIP プロバイダーやその他の便利な機能に接続します...

しかし、Enikey のスペシャリストは、そのような要件を備えたエンタープライズ ネットワークを構築することはできません...高価なシステム管理者を雇いますか?
将来のコストの観点から、非常に大きなルーブル額が浮かび上がってきます。

しかし、これらのコストは、次の点に注意すれば大幅に削減できます。 UTMソリューション、現在では膨大な数があります。 そして、私は問題を解決する際に「シンプルであるほど良い」という戦略に固執しているため、UTM に注目しました。 インターネット制御サーバー （バツ）。

このシステムが会社の予算の節約にどのように役立つか、そしてなぜこのシステムを維持するために高価なシステム管理者が必要ないのかを以下で説明します。

しかし、今後のことを考えると、これは特殊な製品であり、限界があると言えます。 ゲートウェイの機能をより詳細に評価できます 公式Webサイトのドキュメントを読んだ後、.
私は記事を「ロシア語」で、つまりマナを調べずに、すべてがどれほど直感的であるかを理解するために設定しました。

初期インストール

ICS は、実際のハードウェアとハ​​イパーバイザーの両方にインストールできます。 一部のファンレス PC を使用できます。たとえばこんな感じ。

このシステムは以下に基づいています FreeBSD 11.3 ほとんどの機器では問題なく起動するはずです。

インストールは空のディスクに実行されます。 より正確に言えば、そこに何かがあった場合、安全にそれに別れを告げることができます。残念ながら、インストーラーは英語のみをサポートしています。 ただし、インストール後、メインインターフェイスはロシア語になる場合があります。




彼らは耐障害性も忘れていませんでした。システム内に複数のディスクがある場合は、ZFS を使用してそれらを XNUMX つの RAID に結合できます。

ネットワーク インターフェイスを選択し、選択したネットワークから IP を割り当てます。

たとえばメール サーバーをセットアップする予定がある場合は、実際のドメイン名を指定してください。 今そのような必要がない場合は、突然書いても構いません。 後からインターフェースで修正できます。

全て！ 設定で指定された IP とポート 81 を使用して Web インターフェイスにログインできます。この段階では DHCP がまだ有効になっていないため、PC で同じネットワークから IP を手動で割り当てる必要があります。

インターネットに接続し、オフィスを接続します。

初めてログインすると、ウィザードが開始されます。 作る 強力なパスワードを設定しました。
マスター




次にネットワーク設定に進みます

プロバイダーへの接続とすべてのネットワーク インターフェイスの役割を設定します。



複数のプロバイダーを構成し、バランシングを整理できます。

ちなみに、英語のインターフェース言語に慣れていない場合は、ここで簡単に変更できます。


たとえば、オフィスを本社に接続する必要がある場合。 次に、新しい接続を作成します

リモート ネットワーク上のリソースへのルートを構成します。

動的ルーティングのことは忘れてください。ここにはありません。
私がこだわりすぎるのかもしれませんが、私の意見では、これは大きな欠点です...

従業員向けのインターネット アクセス

ほとんどの場合、ゲートウェイの主なタスクは、従業員のインターネットへのアクセスを制御することです。
従業員は、IP/MAC またはエージェントまたはキャプティブ ポータルを介したログイン/パスワードによって識別できます。


また、組織で Active Directory を使用している場合は、ICS を Active Directory と統合できます。


フィルタリング設定 (従業員がどこに行けるか、どこに行けないか) は非常に広範です。


膨大な数の既製のルール テンプレート:
YouTube を許可しても、そこにビデオをアップロードすることは禁止できます。

しかし、自分自身を制限する必要はありません。ICS は、広範なレポートで全員がどこに行ったのか、どこに行ったのかを教えてくれます。

ゲスト用 Wi-Fi はどうですか?

また、ゲスト Wi-Fi は、ユーザー ID の義務付けに関するロシア法の要件に準拠して構成できます。
ICS は、任意の SMS プロバイダーを介した SMPP プロトコル経由の SMS の送信をサポートします。

電話。

はいはい！ Asterisk を使用して別のサーバーをインストールする必要はありません。 すでに ICS に含まれています。
Megafon (emotion、multifon) からの SIP 接続に成功しました。

個人向けの携帯料金でMegafonからSIPを取得する方法は記事で読むことができます 「メガフォンからのSIP在宅料金」.

セキュリティ。

ICS には、要件に応じてセキュリティ レベルをカスタマイズできるツールが数多くあります。たとえば、無料のウイルス対策ソフトである ClamAV や 侵入検知システム Suricata 製品へ エフゲニー・カスペルスキー、わかりやすい Web インターフェイスを通じてのみ設定します。

同じかけがえのないfail2Banでも数クリックで設定可能


ICS は、それ自体をトラフィックを通過させずに、ネットワーク機器からの netflow プロトコル経由のトラフィックを監視することもできます。

コミュニケーショングッズ

電話やメールだけでなく従業員のコミュニケーションも可能


Jabber経由でも可能です。 確かに、そのようなプロトコルについて覚えている人はほとんどいません。

ウェブサーバー:
ICS には、PHP をサポートする Web サーバーもあります。 独自の HTTPS 証明書を購入した場合はそれをインストールすることも、ICS が無料の Let's Encrypt を受け取るように指定することもできます。


名刺 Web サイトや広告のランディング ページをホストするにはこれで十分です。 ただし、カスタム モジュールを使用して重いポータルに切り込むことはできません。 そして私にとって、これは愚かなことです。 それでも、ゲートウェイはゲートウェイであり続けなければなりません。

監視と通知の柔軟な構成。
アラームを Telegram に送信することもできます。 そして、ロシア連邦の現実では、プロキシを介してメッセージを送信することさえ可能です。

結論として

ICS インターネット ゲートウェイには、小規模オフィスの機能に必要なほぼすべてのコンポーネントが含まれています。
さらに、これらすべては初心者のシステム管理者でも設定できます。

システムは FreeBSD 上に構築されていないにもかかわらず、ssh 経由でシステムにアクセスすることはできません。 つまり、松葉杖がないと PHP モジュールをインストールできません。 自分が持っているものに満足する必要があります... または、サポートに依頼して完成させてください。

いずれにせよ初めのうちは 35 日間の試用版をダウンロード このゲートウェイがどの程度適切であるかを確認してください。

ライセンスには有効期間がありませんが、それにも関わらず費用はかなりかかります 民主的な。

このシステムは、総合テストのベンチ上で適切に機能しました。

顧客が承認し、このシステムが「戦闘」でどのように動作するかに興味がある場合は、3 ～ 6 か月以内に、発生したすべての問題と困難を含めたレビューを書きます。 可能であれば、技術サポートの品質を確認します。

コメントでは、戦闘での使用において詳細に対処する必要がある質問をお待ちしています。

出所： habr.com