Qualquer empresário se esforça para cortar custos. O mesmo se aplica à infraestrutura de TI.
Quando um novo escritório é inaugurado, o cabelo de alguém começa a se arrepiar. Afinal, você precisa organizar:
- rede local;
- Acesso à internet. É ainda melhor com reserva através de um segundo fornecedor;
- VPN para a central (ou para todas as filiais);
- HotSpot para clientes com autorização via SMS;
- filtrar o tráfego para que os funcionários não percam tempo nas redes sociais e conversem no Skype;
- protegendo sua rede contra vírus e ataques. Fornecer proteção contra intrusão (IDS/IPS);
- seu próprio servidor de e-mail (se você não confia em nenhum pdd.yandex.ru) com antivírus e antispam;
- despejo de arquivo;
- Você provavelmente precisa de telefonia, ou seja, organize um PBX, conecte-se a um provedor SIP e outras vantagens...
Mas um especialista em Enikey não será capaz de criar uma rede corporativa com tais requisitos... Contratar um administrador de sistema caro?
Um número muito grande em rublos emerge em termos de custos futuros.
Mas esses custos podem ser reduzidos significativamente se você prestar atenção Soluções UTM, dos quais existem agora um grande número. E como aderi à estratégia “quanto mais simples melhor” na resolução dos meus problemas, meus olhos caíram no UTM
A seguir contarei como esse sistema ajudará a economizar o orçamento da empresa e por que você não precisa de um administrador de sistema caro para mantê-lo.
Mas olhando para frente, direi que este é um produto específico e tem suas limitações. Você pode avaliar os recursos do gateway com mais detalhes
Configurei para o artigo “em russo”, ou seja, sem olhar para o mana, para entender como tudo era intuitivo.
Instalação inicial
O ICS pode ser instalado tanto em hardware real quanto em um hipervisor. Você pode usar algum PC sem ventilador.Por exemplo, isso.
O sistema é baseado em
A instalação é realizada em um disco vazio. Mais precisamente, se havia algo lá, você pode dizer adeus a isso com segurança.Infelizmente, o instalador suporta apenas inglês. Mas após a instalação, a interface principal pode estar em russo.
Eles também não se esqueceram da tolerância a falhas.Se houver vários discos no sistema, eles poderão ser combinados em um ataque usando o ZFS.
Selecione uma interface de rede e atribua um IP da rede selecionada.
Indique um nome de domínio real se você planeja configurar, por exemplo, um servidor de e-mail. Se não houver essa necessidade agora, você pode escrever do nada. Você pode consertar isso mais tarde na interface.
Todos! Você pode fazer login na interface web usando o IP especificado nas configurações e a porta 81. O DHCP ainda não está habilitado neste estágio, então você terá que atribuir um IP da mesma rede manualmente em seu PC.
Nós nos conectamos à Internet e conectamos escritórios.
Quando você faz login pela primeira vez, um assistente inicia faz Você definiu uma senha forte.
Mestre
Em seguida, vamos para as configurações de rede
e configurar a conexão com nosso provedor e as funções de todas as interfaces de rede.
Você pode configurar vários provedores e organizar o balanceamento.
A propósito, se você não se sentir confortável com o idioma da interface em inglês, poderá alterá-lo facilmente aqui.
Se necessitar de ligar um escritório, por exemplo, à sede. Então criamos uma nova conexão
e configurar rotas para recursos na rede remota.
Esqueça o roteamento dinâmico - não está aqui.
Talvez eu esteja sendo muito exigente, mas IMHO isso é uma grande desvantagem...
Acesso à Internet para funcionários
Na maioria das vezes, a principal tarefa de um gateway é controlar o acesso dos funcionários à Internet.
Os funcionários podem ser identificados por IP/mac ou por login/senha através de um agente ou portal cativo.
Além disso, se sua organização usa o Active Directory, o ICS pode ser integrado a ele.
As configurações de filtragem (onde um funcionário pode ou não ir) são muito extensas.
Um grande número de modelos de regras prontos:
Você pode permitir o YouTube, mas proibir o upload de vídeos lá.
Mas você não precisa se limitar, e o ICS ainda lhe dirá para onde todos foram e para onde foram com seus extensos relatórios:
E quanto ao Wi-Fi de convidado?
E o Wi-Fi para convidados pode ser organizado em conformidade com os requisitos das leis russas sobre identificação obrigatória do usuário.
O ICS suporta o envio de SMS via protocolo SMPP através de qualquer provedor de SMS.
Telefonia.
Sim Sim! Não há necessidade de instalar um servidor separado com Asterisk. Já está no ICS.
Conectei com sucesso o SIP do Megafon (emoção, multifon).
Como obter SIP do Megafon em tarifas de celular para pessoas físicas pode ser lido no artigo
Segurança.
O ICS possui diversas ferramentas que lhe permitirão personalizar o nível de segurança de acordo com suas necessidades: desde antivírus gratuitos ClamAV e
Até mesmo o mesmo fail2Ban insubstituível pode ser configurado em apenas alguns cliques
O ICS também pode monitorar o tráfego através do protocolo netflow do equipamento de rede sem passar o tráfego por si mesmo.
Guloseimas de comunicação
A comunicação dos funcionários pode ser organizada não apenas por telefone e correio
mas também via Jabber. É verdade que poucas pessoas se lembram de tal protocolo.
Servidor web:
O ICS ainda possui um servidor web com suporte a PHP. Você pode instalar seu próprio certificado HTTPS, se tiver adquirido um, ou especificar que o ICS receba Let's Encrypt gratuitamente.
Isso é suficiente para hospedar um site de cartão de visita ou uma landing page de publicidade. Mas você não conseguirá entrar em um portal pesado com módulos personalizados. E para mim, isso é estúpido. Ainda assim, o gateway deve permanecer um gateway.
Configuração flexível de monitoramento e notificações.
Os alarmes podem até ser enviados para o Telegram. E na realidade da Federação Russa, é até possível enviar mensagens através de um proxy.
Em conclusão
O gateway de Internet ICS contém quase todos os componentes necessários ao funcionamento de um pequeno escritório.
Além disso, tudo isso pode ser configurado por um administrador de sistema novato.
Apesar do sistema não ser construído em FreeBSD, não há acesso a ele via ssh. Ou seja, você não conseguirá instalar módulos PHP sem muletas. Você terá que se contentar com o que tem... Ou pedir suporte para finalizar.
De qualquer forma, no início
A licença não tem prazo de validade, mas apesar disso o custo é bastante
O sistema teve um desempenho adequado na bancada em testes sintéticos.
Se o cliente aprovar e você estiver interessado em saber como esse sistema se comportará na “batalha”, em 3 a 6 meses escreverei um comentário com todos os problemas e dificuldades que surgiram. Se possível, verificaremos a qualidade do suporte técnico.
Nos comentários, espero perguntas suas que precisarão ser abordadas detalhadamente no uso em combate.
Fonte: habr.com