Każda firma dąży do obniżenia kosztów. To samo dotyczy infrastruktury IT.
Otwierając nowe biuro, czyjeś włosy zaczynają się ruszać. W końcu musisz zorganizować:
- lokalna sieć;
- Dostęp do Internetu. Jeszcze lepiej z rezerwacją za pośrednictwem drugiego dostawcy;
- VPN do centrali (lub do wszystkich oddziałów);
- HotSpot dla klientów z autoryzacją SMS;
- filtrowanie ruchu, aby pracownicy nie siedzieli w sieciach społecznościowych i nie trzaskali na Skype;
- chroń swoją sieć przed wirusami i atakami. Zapewnij ochronę przed włamaniami (IDS/IPS);
- twój serwer pocztowy (jeśli nie ufasz żadnemu pdd.yandex.ru) z programem antywirusowym i antyspamowym;
- zrzut pliku;
- Prawdopodobnie potrzebujesz telefonii, tj. zorganizować PBX, połączyć się z dostawcą SIP i inne gadżety ...
Ale pracownik enikey nie będzie w stanie postawić sieci firmowej o takich wymaganiach... Zatrudnić drogiego administratora systemu?
Powstaje bardzo duża, jeśli chodzi o przyszłe koszty, liczba rubli.
Ale koszty te można znacznie zmniejszyć, jeśli zwrócisz na to uwagę rozwiązania UTM, których jest obecnie wiele. A ponieważ w rozwiązywaniu moich problemów wyznaję strategię „im prościej, tym lepiej”, mój wzrok padł na UTM (X).
Jak ten system pomoże zaoszczędzić budżet firmy i dlaczego do jego utrzymania nie jest potrzebny drogi administrator systemu - opowiem poniżej.
Ale patrząc w przyszłość powiem, że to specyficzny produkt i ma swoje ograniczenia. Możliwości bramy można ocenić bardziej szczegółowo .
Założyłem artykuł „po rosyjsku”, czyli bez zaglądania w manę, aby zrozumieć, jak wszystko jest intuicyjne.
Pierwsza instalacja
ICS można zainstalować zarówno na prawdziwym sprzęcie, jak iw hiperwizorze. Możesz użyć dowolnego komputera bez wentylatora.Na przykład tak.
System opiera się na i na większości sprzętów powinien wystartować bez problemów.
Instalacja odbywa się na pustym dysku. Dokładniej, jeśli coś było, możesz bezpiecznie się z tym pożegnać.Niestety instalator obsługuje tylko język angielski. Ale po instalacji główny interfejs może być w języku rosyjskim.
Nie zapomnij również o odporności.Jeśli w systemie jest kilka dysków, można je połączyć w rajd za pomocą ZFS.
Wybierz interfejs sieciowy i przypisz ip z wybranej sieci.
Podaj prawdziwą nazwę domeny, jeśli planujesz postawić np. serwer pocztowy. Jeśli teraz nie ma takiej potrzeby, możesz pisać z buldożera. Dalej w interfejsie będzie można poprawić.
Wszystko! Możesz uzyskać dostęp do interfejsu sieciowego za pomocą adresu IP określonego w ustawieniach i portu 81. DHCP nie jest jeszcze włączony na tym etapie, więc będziesz musiał ręcznie przypisać adres IP z tej samej sieci na swoim komputerze.
Łączymy się z Internetem i łączymy biura.
Przy pierwszym logowaniu uruchamiany jest kreator sprawia, że ustawić silne hasło.
Mistrz
Następnie wchodzimy do ustawień sieciowych
i skonfigurować połączenie z naszym dostawcą oraz rolę wszystkich interfejsów sieciowych.
Możesz skonfigurować kilku dostawców i zorganizować równoważenie.
Nawiasem mówiąc, jeśli angielski język interfejsu nie jest dla Ciebie wygodny, możesz go łatwo zmienić tutaj.
Jeśli chcesz połączyć biuro np. z centralą. Następnie tworzymy nowe połączenie
i skonfigurować trasy do zasobów w sieci zdalnej.
Możesz tylko zapomnieć o routingu dynamicznym - nie ma go tutaj.
Może dużo wybieram, ale IMHO to duża wada...
Dostęp do Internetu dla pracowników
Najczęściej głównym zadaniem bramki jest kontrola dostępu pracowników do Internetu.
Pracownicy mogą być identyfikowani zarówno przez ip / mac, jak i login / hasło za pośrednictwem agenta lub portalu przechwytującego.
Ponadto, jeśli Twoja organizacja korzysta z usługi Active Directory, ICS można z nią zintegrować.
Ustawienia filtrowania (tam, gdzie pracownik może, a czego nie) są bardzo rozbudowane.
Ogromna liczba gotowych szablonów reguł:
Możesz zezwolić na youtube, ale zabronić przesyłania tam filmów.
Ale nie możesz tego ograniczać, a ICS nadal powie, gdzie ktoś poszedł i gdzie ze swoimi obszernymi raportami:
A co z Wi-Fi dla gości?
Wi-Fi dla gości można zorganizować zgodnie z wymogami prawa Federacji Rosyjskiej dotyczącymi obowiązkowej identyfikacji użytkownika.
ICS obsługuje wysyłanie wiadomości SMS za pośrednictwem protokołu SMPP przez dowolnego dostawcę usług SMS.
Telefonia.
Tak tak! Nie ma potrzeby instalowania osobnego serwera z Asterisk. Jest już na ICS.
Udało mi się połączyć SIP z Megafon (emocja, multifon).
Jak uzyskać SIP od Megafon przy stawkach komórkowych dla osób fizycznych, można znaleźć w artykule .
Bezpieczeństwa.
ICS posiada wiele narzędzi, które pozwolą Ci dostosować poziom bezpieczeństwa do Twoich wymagań: od darmowych antywirusów ClamAV i do produktów , konfigurowanie tylko poprzez przejrzysty interfejs WWW.
Nawet ten sam niezbędny fail2Ban jest konfigurowany za pomocą kilku kliknięć
Ponadto ICS może monitorować ruch za pośrednictwem protokołu netflow ze sprzętu sieciowego bez przepuszczania ruchu przez siebie.
Przysmaki komunikacyjne
Komunikacja pracowników może być zorganizowana nie tylko przez telefon i pocztę
ale także przez jabbera. To prawda, niewiele osób pamięta taki protokół.
serwer internetowy:
IKS ma nawet serwer WWW z obsługą PHP. Możesz zainstalować własny certyfikat HTTPS, jeśli go kupiłeś, lub określić, że ICS otrzyma bezpłatny Let's Encrypt.
To wystarczy, aby umieścić wizytówkę witryny lub reklamowy landing page. Ale nie będziesz w stanie wyciąć ciężkiego portalu za pomocą niestandardowych modułów. A dla mnie to głupie. Mimo to brama powinna pozostać bramą.
Elastyczna konfiguracja monitoringu i powiadomień.
Alarmy mogą być wysyłane nawet do Telegrama. A w realiach Federacji Rosyjskiej możliwe jest nawet wysyłanie wiadomości przez proxy.
Podsumowując
Bramka internetowa „X” zawiera niemal wszystkie elementy niezbędne do funkcjonowania małego biura.
W takim przypadku wszystko to może skonfigurować początkujący administrator systemu.
Chociaż system nie jest zbudowany przez FreeBSD, nie ma do niego dostępu przez ssh. Oznacza to, że bez kul nie będziesz mógł zainstalować modułów PHP. Będziemy musieli zadowolić się tym, co mamy... Albo poprosić wsparcie, żeby to dokończyło.
W każdym scenariuszu na początku i sprawdź, jak dobrze ta bramka Ci odpowiada.
Licencja nie wygasa, ale mimo to koszt jest całkiem spory
Na stanowisku w testach syntetycznych system okazał się wystarczający.
Jeśli klient wyrazi zgodę i będziesz zainteresowany tym, jak ten system zachowuje się w „walce”, to za 3-6 miesięcy napiszę recenzję ze wszystkimi problemami i trudnościami, które się pojawiły. W miarę możliwości sprawdzimy jakość wsparcia technicznego.
W komentarzach oczekuję od was pytań, które będą musiały być szczegółowo skoncentrowane na użyciu bojowym.
Źródło: www.habr.com