Ар кандай бизнес чыгымдарды азайтууга умтулат. Ошол эле IT инфраструктурасына да тиешелүү.
Жаңы кеңсе ачканда бирөөнүн чачы жылып баштайт. Анткени, сиз уюштуруу керек:
- жергиликтүү тармак;
- Интернетке кирүү. Экинчи провайдер аркылуу ээлеп коюу менен дагы жакшыраак;
- VPN борбордук кеңсеге (же бардык филиалдарга);
- SMS уруксаты бар кардарлар үчүн HotSpot;
- кызматкерлер социалдык түйүндөрдө отурбашы жана Skype'та чатырлабашы үчүн трафикти чыпкалоо;
- тармагыңызды вирустардан жана чабуулдардан коргоңуз. Интрузиядан коргоону камсыз кылуу (IDS/IPS);
- сиздин почта сервериңиз (эгер эч кандай pdd.yandex.ru сайтына ишенбесеңиз) антивирус жана антиспам менен;
- файлдын таштандысы;
- Балким сизге телефония керек, б.а. АТС уюштуруу, SIP провайдерине жана башка жакшы нерселерге туташуу ...
Бирок enikey жумушчусу мындай талаптар менен ишкана тармагын көтөрө албайт ... Кымбат системалык администраторду жалдайбы?
Абдан чоң, келечектеги чыгымдар боюнча, рублдин саны пайда болот.
Бирок көңүл бурсаңыз, бул чыгымдарды кыйла кыскартууга болот UTM чечимдери, алардын ичинен азыр көп. Мен өз көйгөйлөрүмдү чечүүдө "канчалык жөнөкөй болсо, ошончолук жакшы" стратегиясын кармангандыктан, менин көзүм UTMге түштү (X).
Бул система компаниянын бюджетин үнөмдөөгө кандайча жардам берет жана аны тейлөө үчүн эмне үчүн кымбат системалык администратор керек эмес - мен төмөндө айтып берем.
Бирок алдыга карап, мен бул белгилүү бир продукт жана анын чектөөлөрү бар деп айтам. Сиз кененирээк шлюздун мүмкүнчүлүктөрүн баалоого болот .
Мен макаланы “орус тилинде”, башкача айтканда, мананы карап отурбастан, бардыгы канчалык интуитивдик экенин түшүнүү үчүн койдум.
Алгачкы орнотуу
ICS чыныгы жабдыкта да, гипервизордо да орнотулушу мүмкүн. Сиз каалаган желдеткичсиз компьютерди колдоно аласыз.Мисалы, ушундай.
системасы негизделген жана көпчүлүк жабдууларда көйгөйсүз учуп кетиши керек.
Орнотуу бош дискте жүргүзүлөт. Тагыраак айтканда, бир нерсе бар болсо, анда аны менен аман-эсен коштошсоңуз болот.Тилекке каршы, орнотуучу англис тилин гана колдойт. Бирок орнотулгандан кийин негизги интерфейс орус тилинде болушу мүмкүн.
Туруктуулук жөнүндө да унутпаңыз.Системада бир нече дисктер бар болсо, анда аларды ZFS аркылуу рейдге бириктирсе болот.
Тармак интерфейсин тандап, тандалган тармактан ip дайындаңыз.
Эгер сиз, мисалы, почта серверин көтөрүүнү пландап жатсаңыз, чыныгы домен атын көрсөтүңүз. Эгер азыр андай муктаждык жок болсо, анда бульдозерден жазсаңыз болот. Андан ары интерфейсте аны оңдоого болот.
Баары! Сиз веб-интерфейске орнотууларда жана 81-портто көрсөтүлгөн IP аркылуу кире аласыз. DHCP бул этапта иштетилген эмес, андыктан сиз өзүңүздүн компьютериңизде ошол эле тармактан ipди кол менен дайындашыңыз керек болот.
Интернетке туташып, кеңселерди бириктиребиз.
Биринчи жолу киргениңизде уста ишке кирет кылат күчтүү сырсөз коюу үчүн.
кожоюн
Андан кийин, биз тармак жөндөөлөрүнө чыгабыз
жана провайдерибиз менен байланышты жана бардык тармак интерфейстеринин ролун конфигурациялаңыз.
Сиз бир нече провайдерлерди орнотуп, тең салмактуулукту уюштура аласыз.
Айтмакчы, англисче интерфейс тили сизге ыңгайлуу болбосо, аны бул жерден оңой эле өзгөртө аласыз.
Эгер сиз кеңсени, мисалы, башкы кеңсеге туташтырууну кааласаңыз. Андан кийин биз жаңы байланыш түзөбүз
жана алыскы тармактагы ресурстарга маршруттарды орнотуңуз.
Сиз динамикалык багыттоо жөнүндө гана унута аласыз - бул жерде эмес.
Балким, мен көп нерсени тандап жатам, бирок IMHO бул чоң кемчилик ...
Кызматкерлер үчүн Интернетке кирүү
Көбүнчө шлюздун негизги милдети - кызматкерлердин Интернетке кирүү мүмкүнчүлүгүн көзөмөлдөө.
Кызматкерлерди IP/mac, ошондой эле агент же туткун порталы аркылуу логин/парол аркылуу аныктоого болот.
Ошондой эле, эгерде сиздин уюм Active Directory колдонсо, анда ICS аны менен интеграцияланышы мүмкүн.
чыпкалоо орнотуулары (кызматкер мүмкүн жана мүмкүн эмес) абдан кенен.
Көптөгөн даяр эреже калыптары:
Сиз YouTube'га уруксат бере аласыз, бирок ал жерге видео жүктөөгө тыюу салыңыз.
Бирок сиз аны чектей албайсыз, жана ICS дагы эле кимдир бирөөнүн кайда кеткенин жана кайда кеткенин кеңири отчеттору менен айтып берет:
Коноктун Wi-Fi жөнүндө эмне айтууга болот?
Ал эми конок Wi-Fi колдонуучуну милдеттүү идентификациялоо боюнча Россия Федерациясынын мыйзамдарынын талаптарына ылайык уюштурулушу мүмкүн.
ICS каалаган SMS провайдери аркылуу SMPP протоколу аркылуу SMS жөнөтүүнү колдойт.
Телефония.
Ооба ооба! Жылдызча менен өзүнчө серверди орнотуунун кереги жок. Бул ICSте мурунтан эле бар.
Мен ийгиликтүү SIP Megafon (эмоция, multiphone) туташтырдым.
Мегафондон SIPти жеке адамдардын уюлдук тарифтери боюнча кантип алууга болорун макаладан тапса болот .
Коопсуздук.
ICSте сиздин талаптарыңызга ылайык коопсуздук деңгээлин тууралоого мүмкүндүк берүүчү көптөгөн куралдар бар: акысыз ClamAV антивирустарынан жана буюмдарга , так желе интерфейси аркылуу гана конфигурациялоо.
Ал тургай, ошол эле алмаштыргыс fail2Ban бир нече чыкылдатуу менен конфигурацияланат
Ошондой эле, ICS трафикти өзү аркылуу өткөрбөстөн, тармактык жабдуулардан netflow протоколу аркылуу трафикти көзөмөлдөй алат.
Байланыш жакшылыктар
Кызматкерлердин байланышын телефон жана почта аркылуу гана уюштурууга болбойт
бирок жаббер аркылуу да. Ырас, мындай протоколду эстегендер аз.
веб-сервер:
IKS да PHP колдоосу менен веб-серверге ээ. Эгер сатып алган болсоңуз, өзүңүздүн HTTPS тастыктамаңызды орното аласыз же ICS бекер Let's Encrypt алаарын белгилесеңиз болот.
Бул визиттик карта сайтын же жарнак баракчасын жайгаштыруу үчүн жетиштүү. Бирок сиз бажы модулдары менен оор порталды кесип албайсыз. А мен үчүн бул акылсыздык. Ошентсе да, шлюз шлюз бойдон калууга тийиш.
Мониторинг жана эскертмелердин ийкемдүү конфигурациясы.
Ойготкучтарды Telegramга да жөнөтсө болот. Ал эми Россия Федерациясынын реалдуу шарттарында прокси аркылуу билдирүүлөрдү жөнөтүүгө болот.
Жыйынтыгында
Интернет шлюз "X" кичинекей кеңсенин иштеши үчүн зарыл болгон дээрлик бардык компоненттерди камтыйт.
Бул учурда, мунун баарын башталгыч система администратору конфигурациялай алат.
Система FreeBSD тарабынан курулбаса да, ага ssh мүмкүнчүлүгү жок. Башкача айтканда, балдаксыз PHP модулдарын орното албайсыз. Колубузда бар нерсеге ыраазы болушубуз керек... Же аны аягына чыгаруу үчүн колдоо сурайбыз.
Башында ар кандай сценарийде жана бул шлюз сизге канчалык ылайыктуу экенин текшериңиз.
Лицензиянын мөөнөтү бүтпөйт, бирок ага карабастан, баасы кыйла
Синтетикалык сыноолордо стендде система адекваттуу болуп чыкты.
Эгерде кардар жактырса жана сиз бул системанын "согушта" өзүн кандай алып жүргөнүнө кызыксаңыз, анда 3-6 айдан кийин мен бардык көйгөйлөр жана пайда болгон кыйынчылыктар менен сын-пикир жазам. Мүмкүн болсо техникалык колдоонун сапатын текшеребиз.
Комментарийлерде мен сизден согуштук колдонууда майда-чүйдөсүнө чейин көңүл бурууну талап кылган суроолорду күтөм.
Source: www.habr.com