Elk bedrijf probeert de kosten te verlagen. Hetzelfde geldt voor de IT-infrastructuur.
Bij het openen van een nieuw kantoor beginnen iemands haren te bewegen. U moet immers organiseren:
- lokaal netwerk;
- Internet toegang. Nog beter met een reservering via een tweede aanbieder;
- VPN naar het hoofdkantoor (of naar alle filialen);
- HotSpot voor klanten met sms-autorisatie;
- verkeersfiltering zodat werknemers niet in sociale netwerken zitten en niet knetteren op Skype;
- bescherm uw netwerk tegen virussen en aanvallen. Zorg voor inbraakbeveiliging (IDS/IPS);
- uw mailserver (als u geen enkele pdd.yandex.ru vertrouwt) met antivirus en antispam;
- bestandsdump;
- Waarschijnlijk heb je telefonie nodig, dwz. een PBX organiseren, verbinding maken met een SIP-provider en andere goodies ...
Maar een enikey-medewerker zal niet in staat zijn een bedrijfsnetwerk op te zetten met dergelijke vereisten ... Een dure systeembeheerder inhuren?
Er komt een zeer groot, in termen van toekomstige kosten, roebelgetal naar voren.
Maar deze kosten kunnen aanzienlijk worden verlaagd als u er aandacht aan besteedt UTM-oplossingen, waarvan er nu vele zijn. En aangezien ik bij het oplossen van mijn problemen vasthoud aan de strategie "hoe eenvoudiger hoe beter", viel mijn oog op UTM (X).
Hoe dit systeem het budget van het bedrijf zal helpen besparen en waarom er geen dure systeembeheerder nodig is voor het onderhoud ervan, zal ik hieronder vertellen.
Maar vooruitkijkend, zal ik zeggen dat dit een specifiek product is en zijn beperkingen heeft. U kunt de mogelijkheden van de gateway in meer detail evalueren .
Ik heb me voorbereid op het artikel "in het Russisch", dat wil zeggen, zonder in de mana te kijken, om te begrijpen hoe intuïtief alles is.
Eerste installatie
ICS kan zowel op echte hardware als in een hypervisor worden geïnstalleerd. U kunt elke pc zonder ventilator gebruiken.Bijvoorbeeld zo.
Het systeem is gebaseerd op en op de meeste apparatuur zou zonder problemen moeten opstijgen.
De installatie gebeurt op een lege schijf. Meer precies, als er iets was, dan kun je er veilig afscheid van nemen.Helaas ondersteunt het installatieprogramma alleen Engels. Maar na installatie kan de hoofdinterface in het Russisch zijn.
Vergeet ook de veerkracht niet.Als er meerdere schijven in het systeem zitten, kunnen deze met ZFS worden gecombineerd tot een raid.
Selecteer de netwerkinterface en wijs ip toe aan het geselecteerde netwerk.
Geef een echte domeinnaam op als u van plan bent om bijvoorbeeld een mailserver op te richten. Als dat nu niet nodig is, kun je schrijven vanuit de bulldozer. Verderop in de interface is het mogelijk om te corrigeren.
Alle! Je hebt toegang tot de webinterface via het IP-adres dat is opgegeven in de instellingen en poort 81. DHCP is in dit stadium nog niet ingeschakeld, dus je moet handmatig een IP-adres toewijzen van hetzelfde netwerk op je pc.
We maken verbinding met internet en verbinden kantoren.
De eerste keer dat u zich aanmeldt, wordt er een wizard gestart merken u een sterk wachtwoord instellen.
meester
Vervolgens klimmen we in de netwerkinstellingen
en configureer de verbinding met onze provider en de rol van alle netwerkinterfaces.
U kunt meerdere aanbieders instellen en de balancering regelen.
Trouwens, als de Engelse interfacetaal niet handig voor u is, kunt u deze hier eenvoudig wijzigen.
Als u bijvoorbeeld een kantoor wilt aansluiten op het hoofdkantoor. Vervolgens maken we een nieuwe verbinding
en stel routes in naar bronnen op een extern netwerk.
U kunt dynamische routering alleen maar vergeten - het is er niet.
Misschien pluk ik veel, maar IMHO is dit een groot nadeel ...
Internettoegang voor werknemers
Meestal is de hoofdtaak van de gateway het controleren van de toegang van werknemers tot internet.
Medewerkers kunnen zowel middels ip/mac, als middels login/wachtwoord middels een agent of captive portal worden geïdentificeerd.
Als uw organisatie Active Directory gebruikt, kan ICS hiermee worden geïntegreerd.
Filterinstellingen (waar een medewerker wel en niet kan) zijn zeer uitgebreid.
Een groot aantal kant-en-klare regelsjablonen:
Je kunt YouTube toestaan, maar het uploaden van video's daar verbieden.
Maar je kunt het niet beperken, en ICS zal nog steeds vertellen waar iemand naartoe is gegaan en waar met hun uitgebreide rapporten:
Hoe zit het met wifi voor gasten?
En wifi voor gasten kan worden georganiseerd in overeenstemming met de vereisten van de wetten van de Russische Federatie inzake verplichte gebruikersidentificatie.
ICS ondersteunt het verzenden van sms via het SMPP-protocol via elke sms-provider.
Telefonie.
Ja Ja! Met Asterisk hoeft u geen aparte server te installeren. Het staat al op ICS.
Ik heb SIP met succes verbonden met Megafon (emotion, multiphone).
Hoe u SIP van Megafon kunt krijgen tegen de mobiele tarieven van individuen, vindt u in het artikel .
Beveiliging.
ICS heeft veel tools waarmee u het beveiligingsniveau kunt aanpassen aan uw vereisten: van gratis antivirussen ClamAV en naar producten , alleen configureren via een duidelijke webinterface.
Zelfs diezelfde onmisbare fail2Ban is in een paar klikken geconfigureerd
Ook kan ICS via het netflow-protocol verkeer van netwerkapparatuur monitoren zonder het verkeer zelf door te laten.
Communicatie goodies
Communicatie van medewerkers kan niet alleen via telefonie en post worden georganiseerd
maar ook via jabber. Toegegeven, weinig mensen herinneren zich zo'n protocol.
Web Server:
IKS heeft zelfs een webserver met PHP-ondersteuning. U kunt uw eigen HTTPS-certificaat installeren als u er een heeft gekocht, of aangeven dat ICS een gratis Let's Encrypt ontvangt.
Dit is voldoende om een visitekaartjesite of een advertentie-bestemmingspagina te plaatsen. Maar u kunt geen zwaar portaal snijden met aangepaste modules. En voor mij is het stom. Toch moet de gateway een gateway blijven.
Flexibele configuratie van monitoring en meldingen.
Alarmen kunnen zelfs naar Telegram worden verzonden. En in de realiteit van de Russische Federatie is het zelfs mogelijk om berichten via een proxy te verzenden.
В заключении
Internetgateway "X" bevat bijna alle componenten die nodig zijn voor het functioneren van een klein kantoor.
In dit geval kan dit alles worden geconfigureerd door een beginnende systeembeheerder.
Hoewel het systeem niet door FreeBSD is gebouwd, is er geen ssh-toegang tot. Dat wil zeggen, zonder krukken kunt u geen PHP-modules installeren. We zullen tevreden moeten zijn met wat we hebben... Of vraag de support om het af te maken.
In elk scenario aan het begin en controleer hoe goed deze gateway bij u past.
De licentie verloopt niet, maar desondanks zijn de kosten behoorlijk
Op de stand in synthetische tests bleek het systeem te voldoen.
Als de klant het goedkeurt en je geïnteresseerd bent in hoe dit systeem zich gedraagt in een "strijd", dan zal ik binnen 3-6 maanden een recensie schrijven met alle problemen en moeilijkheden die zich hebben voorgedaan. Indien mogelijk controleren we de kwaliteit van de technische ondersteuning.
In de commentaren verwacht ik vragen van u die bij gevechtsgebruik in detail moeten worden gefocust.
Bron: www.habr.com