Orice afacere caută să reducă costurile. Același lucru este valabil și pentru infrastructura IT.
Când deschideți un birou nou, părul cuiva începe să se miște. La urma urmei, trebuie să organizați:
- retea locala;
- Acces la internet. Și mai bine cu o rezervare printr-un al doilea furnizor;
- VPN către biroul central (sau către toate sucursalele);
- HotSpot pentru clienti cu autorizare SMS;
- filtrarea traficului pentru ca angajații să nu stea în rețelele sociale și să nu trosnească pe Skype;
- protejați-vă rețeaua de viruși și atacuri. Asigurați protecție împotriva intruziunilor (IDS/IPS);
- serverul dvs. de e-mail (dacă nu aveți încredere în niciun pdd.yandex.ru) cu antivirus și antispam;
- depozit de fișiere;
- Probabil că aveți nevoie de telefonie, de exemplu. organizați un PBX, conectați-vă la un furnizor SIP și alte bunătăți...
Dar un lucrător enikey nu va putea ridica o rețea de întreprindere cu astfel de cerințe... Angajați un administrator de sistem scump?
Apare un număr foarte mare, în ceea ce privește costurile viitoare, de ruble.
Dar aceste costuri pot fi reduse semnificativ dacă acordați atenție Soluții UTM, dintre care acum sunt multe. Și din moment ce ader la strategia „cu cât mai simplu, cu atât mai bine” în rezolvarea problemelor mele, ochii mi-au căzut pe UTM (X).
Cum acest sistem va ajuta la economisirea bugetului companiei și de ce nu este nevoie de un administrator de sistem costisitor pentru întreținerea lui - voi spune mai jos.
Dar privind în viitor, voi spune că acesta este un produs specific și are limitările sale. Puteți evalua capacitățile gateway-ului mai detaliat .
Am pregătit articolul „în rusă”, adică fără să mă uit în mana, pentru a înțelege cât de intuitiv este totul.
Instalare inițială
ICS poate fi instalat atât pe hardware real, cât și într-un hypervisor. Puteți folosi orice PC fără ventilator.De exemplu asa.
Sistemul se bazează pe iar pe majoritatea echipamentelor ar trebui să decoleze fără probleme.
Instalarea se face pe un disc gol. Mai precis, dacă a existat ceva, atunci puteți să vă luați rămas bun de la el.Din păcate, programul de instalare acceptă doar limba engleză. Dar după instalare, interfața principală poate fi în rusă.
Nu uita nici de reziliență.Dacă există mai multe discuri în sistem, atunci acestea pot fi combinate într-un raid folosind ZFS.
Selectați interfața de rețea și atribuiți ip din rețeaua selectată.
Specificați un nume de domeniu real dacă intenționați să creați, de exemplu, un server de e-mail. Dacă nu există o astfel de nevoie acum, atunci puteți scrie din buldozer. Mai departe în interfață va fi posibil să se corecteze.
Toate! Puteți accesa interfața web folosind ip-ul specificat în setări și portul 81. DHCP nu este încă activat în această etapă, așa că va trebui să atribuiți manual un ip din aceeași rețea de pe computer.
Ne conectăm la internet și conectăm birouri.
Prima dată când vă conectați, este lansat un expert mărci trebuie să setați o parolă puternică.
maestru
Apoi, urcăm în setările de rețea
și configurați conexiunea la furnizorul nostru și rolul tuturor interfețelor de rețea.
Puteți configura mai mulți furnizori și puteți organiza echilibrarea.
Apropo, dacă limba engleză a interfeței nu este convenabilă pentru tine, o poți schimba cu ușurință aici.
Dacă doriți să conectați un birou, de exemplu, la sediul central. Apoi creăm o nouă conexiune
și configurați rute către resurse dintr-o rețea la distanță.
Puteți uita doar de rutarea dinamică - nu este aici.
Poate aleg multe, dar IMHO, acesta este un mare dezavantaj...
Acces la internet pentru angajati
Cel mai adesea, sarcina principală a porții este de a controla accesul angajaților la Internet.
Angajații pot fi identificați atât prin ip/mac, cât și prin autentificare/parolă printr-un agent sau portal captiv.
De asemenea, dacă organizația dvs. utilizează Active Directory, atunci ICS poate fi integrat cu acesta.
Setările de filtrare (unde un angajat poate și nu) sunt foarte extinse.
Un număr mare de șabloane de reguli gata făcute:
Puteți permite YouTube, dar interziceți încărcarea videoclipurilor acolo.
Dar nu îl puteți limita, iar ICS va spune în continuare unde a mers cineva și unde, cu rapoartele lor extinse:
Ce zici de Wi-Fi pentru oaspeți?
Și Wi-Fi pentru oaspeți poate fi organizat în conformitate cu cerințele legilor Federației Ruse privind identificarea obligatorie a utilizatorului.
ICS acceptă trimiterea de SMS-uri prin protocolul SMPP prin orice furnizor de SMS-uri.
Telefonie.
Da Da! Nu este nevoie să instalați un server separat cu Asterisk. Este deja pe ICS.
Am conectat cu succes SIP de la Megafon (emotion, multiphone).
Cum să obțineți SIP de la Megafon la tarifele celulare ale persoanelor fizice poate fi găsit în articol .
Securitate.
ICS are multe instrumente care vă vor permite să ajustați nivelul de securitate în funcție de cerințele dvs.: de la antivirusuri gratuite ClamAV și la produse , configurând numai printr-o interfață web clară.
Chiar și același indispensabil fail2Ban este configurat în câteva clicuri
De asemenea, ICS poate monitoriza traficul prin protocolul netflow de la echipamentele de rețea fără a trece traficul prin el însuși.
Bunătăți de comunicare
Comunicarea angajaților poate fi organizată nu numai prin telefonie și poștă
dar şi prin jabber. Adevărat, puțini oameni își amintesc un astfel de protocol.
server web:
IKS are chiar și un server web cu suport PHP. Puteți instala propriul certificat HTTPS dacă aveți unul achiziționat sau puteți specifica că ICS primește un Let's Encrypt gratuit.
Acest lucru este suficient pentru a plasa un site de cărți de vizită sau o pagină de destinație publicitară. Dar nu veți putea tăia un portal greu cu module personalizate. Și pentru mine este o prostie. Totuși, poarta de acces ar trebui să rămână o poartă.
Configurare flexibilă a monitorizării și notificărilor.
Alarmele pot fi trimise chiar și către Telegram. Și în realitățile Federației Ruse, este chiar posibil să trimiteți mesaje printr-un proxy.
În concluzie
Poarta de internet „X” conține aproape toate componentele necesare funcționării unui mic birou.
În acest caz, toate acestea pot fi configurate de un administrator de sistem începător.
Deși sistemul nu este construit de FreeBSD, nu există acces ssh la el. Adică, fără cârje, nu vei putea instala module PHP. Va trebui să ne mulțumim cu ceea ce avem... Sau să cerem sprijinul pentru a termina.
În orice scenariu la început și verificați cât de bine vi se potrivește acest gateway.
Licența nu expiră, dar, în ciuda acestui fapt, costul este destul de mare
Pe standul la testele sintetice, sistemul s-a dovedit a fi adecvat.
Dacă clientul aprobă și veți fi interesat de modul în care se comportă acest sistem într-o „bătălie”, atunci în 3-6 luni voi scrie o recenzie cu toate problemele și dificultățile care au apărut. Dacă este posibil, vom verifica calitatea suportului tehnic.
În comentarii, aștept întrebări din partea dvs. care vor trebui concentrate în detaliu în utilizarea luptei.
Sursa: www.habr.com