Enhver virksomhet søker å redusere kostnadene. Det samme gjelder IT-infrastruktur.
Når du åpner et nytt kontor, begynner noens hår å bevege seg. Tross alt må du organisere:
- lokalt nettverk;
- Internettilgang. Enda bedre med en reservasjon gjennom en annen leverandør;
- VPN til sentralkontoret (eller til alle filialer);
- HotSpot for klienter med SMS-autorisasjon;
- trafikkfiltrering slik at ansatte ikke sitter i sosiale nettverk og ikke knitrer på Skype;
- beskytte nettverket ditt mot virus og angrep. Gi inntrengingsbeskyttelse (IDS/IPS);
- e-postserveren din (hvis du ikke stoler på noen pdd.yandex.ru) med antivirus og antispam;
- fildump;
- Sannsynligvis trenger du telefoni, dvs. organisere en PBX, koble til en SIP-leverandør og andre godbiter ...
Men en enikey-arbeider vil ikke være i stand til å heve et bedriftsnettverk med slike krav ... Leie en dyr systemadministrator?
Et veldig stort, med tanke på fremtidige kostnader, dukker opp rubeltall.
Men disse kostnadene kan reduseres betydelig hvis du tar hensyn til UTM-løsninger, som det nå er mange av. Og siden jeg følger strategien "jo enklere jo bedre" for å løse problemene mine, falt øynene mine på UTM (X).
Hvordan dette systemet vil bidra til å spare selskapets budsjett og hvorfor en dyr systemadministrator ikke er nødvendig for vedlikeholdet - jeg vil fortelle nedenfor.
Men ser jeg fremover, vil jeg si at dette er et spesifikt produkt og har sine begrensninger. Du kan evaluere egenskapene til gatewayen mer detaljert .
Jeg satte opp for artikkelen "på russisk", det vil si uten å se på manaen, for å forstå hvor intuitivt alt er.
Første installasjon
ICS kan installeres både på ekte maskinvare og i en hypervisor. Du kan bruke hvilken som helst vifteløs PC.For eksempel slik.
Systemet er basert på og på de fleste utstyr bør ta av uten problemer.
Installasjonen gjøres på en tom disk. Mer presist, hvis det var noe, kan du trygt si farvel til det.Dessverre støtter installasjonsprogrammet kun engelsk. Men etter installasjonen kan hovedgrensesnittet være på russisk.
Ikke glem spenst heller.Hvis det er flere disker i systemet, kan de kombineres til et raid ved hjelp av ZFS.
Velg nettverksgrensesnittet og tilordne ip fra det valgte nettverket.
Angi et ekte domenenavn hvis du planlegger å opprette for eksempel en e-postserver. Hvis det ikke er et slikt behov nå, kan du skrive fra bulldoseren. Videre i grensesnittet vil det være mulig å korrigere.
Alle! Du kan få tilgang til nettgrensesnittet ved å bruke IP-adressen som er spesifisert i innstillingene og port 81. DHCP er ennå ikke aktivert på dette stadiet, så du må manuelt tilordne en IP fra samme nettverk på PC-en din.
Vi kobler til Internett og kobler sammen kontorer.
Første gang du logger på, startes en veiviser som gjør at deg å angi et sterkt passord.
herre
Deretter klatrer vi inn i nettverksinnstillingene
og konfigurere tilkoblingen til vår leverandør og rollen til alle nettverksgrensesnitt.
Du kan sette opp flere leverandører og organisere balansering.
Forresten, hvis det engelske grensesnittspråket ikke er praktisk for deg, kan du enkelt endre det her.
Hvis du ønsker å koble et kontor for eksempel til hovedkontoret. Da oppretter vi en ny forbindelse
og sette opp ruter til ressurser på et eksternt nettverk.
Du kan bare glemme dynamisk ruting - det er ikke her.
Kanskje jeg velger mye, men IMHO er dette en stor ulempe ...
Internett-tilgang for ansatte
Oftest er hovedoppgaven til gatewayen å kontrollere ansattes tilgang til Internett.
Ansatte kan identifiseres både med ip / mac, og ved pålogging / passord gjennom en agent eller captive portal.
Dessuten, hvis organisasjonen din bruker Active Directory, kan ICS integreres med den.
Filtreringsinnstillinger (hvor en ansatt kan og ikke kan) er svært omfattende.
Et stort antall ferdige regelmaler:
Du kan tillate youtube, men forby opplasting av videoer der.
Men du kan ikke begrense det, og ICS vil fortsatt fortelle hvor noen gikk og hvor med sine omfattende rapporter:
Hva med gjestenes Wi-Fi?
Og gjeste-Wi-Fi kan organiseres i samsvar med kravene i lovene i den russiske føderasjonen om obligatorisk brukeridentifikasjon.
ICS støtter sending av SMS via SMPP-protokoll gjennom hvilken som helst SMS-leverandør.
Telefoni.
Ja Ja! Du trenger ikke å installere en separat server med Asterisk. Den er allerede på ICS.
Jeg koblet til SIP fra Megafon (emotion, multiphone).
Hvordan få SIP fra Megafon til enkeltpersoners mobilpriser, kan du finne i artikkelen .
Sikkerhet.
ICS har mange verktøy som lar deg justere sikkerhetsnivået i henhold til dine krav: fra gratis antivirus ClamAV og til produkter , kun konfigureres gjennom et tydelig nettgrensesnitt.
Selv den samme uunnværlige fail2Ban konfigureres med noen få klikk
Dessuten kan ICS overvåke trafikk via netflow-protokollen fra nettverksutstyr uten å sende trafikk gjennom seg selv.
Kommunikasjonsgodbiter
Kommunikasjon av ansatte kan organiseres ikke bare via telefoni og post
men også gjennom jabber. Det er sant at få mennesker husker en slik protokoll.
Internett server:
IKS har til og med en webserver med PHP-støtte. Du kan installere ditt eget HTTPS-sertifikat hvis du har kjøpt et, eller spesifisere at ICS mottar et gratis Let's Encrypt.
Dette er nok til å plassere et visittkortside eller en annonseringsdestinasjonsside. Men du vil ikke kunne kutte en tung portal med tilpassede moduler. Og for meg er det dumt. Likevel bør gatewayen forbli en gateway.
Fleksibel konfigurasjon av overvåking og varsler.
Alarmer kan til og med sendes til Telegram. Og i realitetene til den russiske føderasjonen er det til og med mulig å sende meldinger gjennom en proxy.
Som konklusjon
Internett-gateway "X" inneholder nesten alle komponentene som er nødvendige for at et lite kontor skal fungere.
I dette tilfellet kan alt dette konfigureres av en nybegynner systemadministrator.
Selv om systemet ikke er bygget av FreeBSD, er det ingen ssh-tilgang til det. Det vil si at uten krykker vil du ikke kunne installere PHP-moduler. Vi må være fornøyd med det vi har... Eller be støtten om å gjøre det ferdig.
I ethvert scenario i begynnelsen og sjekk hvor godt denne gatewayen passer deg.
Lisensen utløper ikke, men til tross for dette er kostnaden ganske
På stativet i syntetiske tester viste systemet seg å være tilstrekkelig.
Hvis kunden godkjenner og du vil være interessert i hvordan dette systemet oppfører seg i en "kamp", vil jeg om 3-6 måneder skrive en anmeldelse med alle problemene og vanskelighetene som har oppstått. Hvis det er mulig, vil vi sjekke kvaliteten på teknisk støtte.
I kommentarene forventer jeg spørsmål fra deg som må fokuseres i detalj i kampbruk.
Kilde: www.habr.com