Кез келген бизнес шығындарды азайтуға тырысады. Бұл IT инфрақұрылымына да қатысты.
Жаңа кеңсе ашқанда біреудің шашы қозғала бастайды. Ақыр соңында, сізге ұйымдастыру керек:
- жергілікті желі;
- Интернетке кіру. Екінші провайдер арқылы брондау арқылы одан да жақсырақ;
- VPN орталық кеңсеге (немесе барлық филиалдарға);
- SMS авторизациясы бар клиенттерге арналған HotSpot;
- қызметкерлердің әлеуметтік желілерде отырмауы және Skype-та шырылдамауы үшін трафикті сүзу;
- желіңізді вирустар мен шабуылдардан қорғаңыз. Шабуылдан қорғауды қамтамасыз ету (IDS/IPS);
- сіздің пошта серверіңіз (егер сіз ешқандай pdd.yandex.ru-ға сенбесеңіз) антивирус және антиспаммен;
- файлды шығару;
- Мүмкін сізге телефония керек, яғни. АТС ұйымдастырыңыз, SIP провайдеріне және басқа жақсы нәрселерге қосылыңыз ...
Бірақ enikey жұмысшысы мұндай талаптармен кәсіпорын желісін көтере алмайды ... Қымбат жүйелік әкімші жалдайсыз ба?
Өте үлкен, болашақ шығындар тұрғысынан рубль саны пайда болады.
Бірақ егер сіз назар аударсаңыз, бұл шығындарды айтарлықтай азайтуға болады UTM шешімдері, қазір олардың көпшілігі бар. Мен өз проблемаларымды шешуде «қарапайым соғұрлым жақсы» стратегиясын ұстанатындықтан, менің көзім UTM-ге түсті (X).
Бұл жүйе компанияның бюджетін үнемдеуге қалай көмектеседі және оған қызмет көрсету үшін неге қымбат жүйелік әкімші қажет емес - мен төменде айтып беремін.
Бірақ алға қарай, мен бұл нақты өнім және оның шектеулері бар екенін айтамын. Шлюздің мүмкіндіктерін толығырақ бағалауға болады .
Мен мақаланы «орыс тілінде», яғни манаға қарамай, бәрі қаншалықты интуитивті екенін түсіну үшін дайындадым.
Бастапқы орнату
ICS нақты аппараттық құралға да, гипервизорға да орнатылуы мүмкін. Кез келген желдеткішсіз компьютерді пайдалануға болады.Мысалы, осылай.
Жүйе негізделген және көптеген жабдықта еш қиындықсыз көтерілуі керек.
Орнату бос дискіде орындалады. Дәлірек айтқанда, егер бірдеңе болса, онымен қауіпсіз қоштасуға болады.Өкінішке орай, орнатушы тек ағылшын тілін қолдайды. Бірақ орнатудан кейін негізгі интерфейс орыс тілінде болуы мүмкін.
Төзімділік туралы да ұмытпаңыз.Жүйеде бірнеше дискілер болса, оларды ZFS көмегімен рейдке біріктіруге болады.
Желі интерфейсін таңдап, таңдалған желіден ip тағайындаңыз.
Мысалы, пошта серверін көтеруді жоспарласаңыз, нақты домен атауын көрсетіңіз. Егер қазір мұндай қажеттілік болмаса, онда бульдозерден жазуға болады. Әрі қарай интерфейсте оны түзетуге болады.
Барлық! Параметрлерде және 81 портында көрсетілген IP арқылы веб-интерфейске қол жеткізуге болады. DHCP бұл кезеңде әлі қосылмаған, сондықтан ДК-де сол желіден IP-ді қолмен тағайындауға тура келеді.
Интернетке қосылып, кеңселерді қосамыз.
Жүйеге бірінші рет кірген кезде шебер іске қосылады жасайды күшті құпия сөзді орнату үшін.
Мастер
Әрі қарай, біз желі параметрлеріне көтерілеміз
және біздің провайдермен қосылымды және барлық желі интерфейстерінің рөлін теңшеңіз.
Бірнеше провайдерлерді орнатуға және теңгерімдеуді ұйымдастыруға болады.
Айтпақшы, ағылшын тілінің интерфейс тілі сізге ыңғайлы болмаса, оны осы жерден оңай өзгертуге болады.
Егер сіз кеңсені, мысалы, бас кеңсеге қосқыңыз келсе. Содан кейін біз жаңа байланыс жасаймыз
және қашықтағы желідегі ресурстарға маршруттарды орнату.
Сіз тек динамикалық маршруттау туралы ұмыта аласыз - бұл жерде емес.
Мүмкін мен көп нәрсені таңдайтын шығармын, бірақ IMHO бұл үлкен кемшілік ...
Қызметкерлер үшін Интернетке қол жеткізу
Көбінесе шлюздің негізгі міндеті қызметкерлердің Интернетке кіруін бақылау болып табылады.
Қызметкерлерді ip/mac арқылы да, агент немесе тұтқын портал арқылы логин/пароль арқылы да анықтауға болады.
Сондай-ақ, ұйымыңыз Active Directory пайдаланатын болса, онда ICS онымен біріктірілуі мүмкін.
Сүзгілеу параметрлері (қызметкер мүмкін және мүмкін емес) өте кең.
Дайын ереже үлгілерінің үлкен саны:
Сіз youtube-қа рұқсат бере аласыз, бірақ онда бейнелерді жүктеп салуға тыйым саласыз.
Бірақ сіз оны шектей алмайсыз және ICS әлі де біреудің қайда кеткенін және қайда кеткенін олардың кең есептерімен айтып береді:
Қонақ Wi-Fi туралы не деуге болады?
Қонақтардың Wi-Fi желісі Ресей Федерациясының пайдаланушыларды міндетті сәйкестендіру туралы заңнамасының талаптарына сәйкес ұйымдастырылуы мүмкін.
ICS кез келген SMS провайдері арқылы SMPP протоколы арқылы SMS жіберуді қолдайды.
Телефония.
Иә Иә! Жұлдызшамен бөлек сервер орнатудың қажеті жоқ. Ол қазірдің өзінде ICS-де.
Мен Megafon-дан SIP-ті сәтті қостым (эмоция, мультифон).
Жеке тұлғалардың ұялы тарифтері бойынша Megafon-тан SIP-ті қалай алуға болады, мақаладан табуға болады .
Қауіпсіздік.
ICS-де сіздің талаптарыңызға сәйкес қауіпсіздік деңгейін реттеуге мүмкіндік беретін көптеген құралдар бар: тегін ClamAV антивирустарынан және өнімдерге , тек анық веб-интерфейс арқылы конфигурациялау.
Тіпті бірдей таптырмас fail2Ban бірнеше рет басу арқылы конфигурацияланады
Сондай-ақ, ICS трафикті трафикті өзі өткізбей желілік жабдықтан желілік ағын хаттамасы арқылы бақылай алады.
Қарым-қатынасқа арналған пайдалы заттар
Қызметкерлердің байланысын тек телефония мен пошта арқылы ғана ұйымдастыруға болмайды
сонымен қатар jabber арқылы. Рас, мұндай хаттаманы еске түсіретіндер аз.
веб-сервер:
IKS тіпті PHP қолдауы бар веб-серверге ие. Сатып алғаныңыз болса, өзіңіздің HTTPS сертификатыңызды орната аласыз немесе ICS тегін Let's Encrypt алатынын көрсете аласыз.
Бұл визитка сайтын немесе жарнамалық бетті орналастыру үшін жеткілікті. Бірақ сіз теңшелетін модульдері бар ауыр порталды қиып ала алмайсыз. Ал мен үшін бұл ақымақтық. Дегенмен, шлюз шлюз болып қалуы керек.
Бақылау мен хабарландырулардың икемді конфигурациясы.
Дабылдарды тіпті Telegram-ға жіберуге болады. Ал Ресей Федерациясының нақты жағдайында тіпті прокси арқылы хабарлама жіберуге болады.
Қорытындысында
Интернет шлюзі «X» шағын кеңсенің жұмыс істеуі үшін қажетті барлық дерлік компоненттерді қамтиды.
Бұл жағдайда мұның барлығын жаңадан келген жүйелік әкімші конфигурациялай алады.
Жүйені FreeBSD құрастырмағанымен, оған ssh қатынасы жоқ. Яғни, балдақсыз сіз РНР модульдерін орната алмайсыз. Бізде бар нәрсеге қанағаттануға тура келеді... Немесе оны аяқтау үшін қолдауды сұраңыз.
Кез келген сценарийде басында және бұл шлюз сізге қаншалықты сәйкес келетінін тексеріңіз.
Лицензияның мерзімі аяқталмайды, бірақ соған қарамастан құны айтарлықтай
Синтетикалық сынақтардағы стендте жүйе адекватты болып шықты.
Егер тұтынушы мақұлдаса және сізді бұл жүйенің «шайқаста» қалай әрекет ететіні қызықтырса, 3-6 айдан кейін мен туындаған барлық мәселелер мен қиындықтармен шолу жазамын. Мүмкін болса, техникалық қолдаудың сапасын тексереміз.
Түсініктемелерде мен сізден жауынгерлік қолдануда егжей-тегжейлі назар аударуды қажет ететін сұрақтарды күтемін.
Ақпарат көзі: www.habr.com