Každý podnikateľ sa snaží znižovať náklady. To isté platí pre IT infraštruktúru.
Keď sa otvorí nová kancelária, niekomu začnú vstávať vlasy. Koniec koncov, musíte zorganizovať:
- lokálna sieť;
- Prístup na internet. Ešte lepšie je to s rezerváciou cez druhého poskytovateľa;
- VPN do centrály (alebo do všetkých pobočiek);
- HotSpot pre klientov s autorizáciou cez SMS;
- filtrovanie návštevnosti, aby zamestnanci netrávili čas na sociálnych sieťach a nekecali cez Skype;
- chráni vašu sieť pred vírusmi a útokmi. Zabezpečte ochranu proti vniknutiu (IDS/IPS);
- váš vlastný poštový server (ak nedôverujete žiadnemu pdd.yandex.ru) s antivírusom a antispamom;
- výpis súborov;
- Pravdepodobne potrebujete telefonovanie, t.j. organizovať PBX, pripojiť sa k poskytovateľovi SIP a iné vychytávky...
Ale špecialista Enikey nebude schopný pozdvihnúť podnikovú sieť s takýmito požiadavkami... Najať drahého správcu systému?
Z hľadiska budúcich nákladov sa objavuje veľmi veľké číslo v rubľoch.
Ale tieto náklady môžu byť výrazne znížené, ak budete venovať pozornosť UTM riešenia, ktorých je teraz obrovské množstvo. A keďže sa pri riešení svojich problémov držím stratégie „čím jednoduchšie, tým lepšie“, zrak mi padol na UTM (X).
Nižšie vám poviem, ako tento systém pomôže ušetriť rozpočet spoločnosti a prečo na jeho údržbu nepotrebujete drahého správcu systému.
Ale pri pohľade dopredu poviem, že ide o špecifický produkt a má svoje obmedzenia. Schopnosti brány môžete vyhodnotiť podrobnejšie .
Nastavil som to pre článok „v ruštine“, to znamená bez toho, aby som sa pozrel do many, aby som pochopil, aké intuitívne bolo všetko.
Prvotná inštalácia
ICS je možné nainštalovať na skutočný hardvér aj do hypervízora. Môžete použiť počítač bez ventilátora.Napríklad tento.
Systém je založený na a na väčšine zariadení by mal vzlietnuť bez problémov.
Inštalácia sa vykonáva na prázdny disk. Presnejšie, ak tam niečo bolo, tak sa s tým môžete pokojne rozlúčiť.Bohužiaľ, inštalátor podporuje iba angličtinu. Ale po inštalácii môže byť hlavné rozhranie v ruštine.
Nezabudli ani na toleranciu chýb.Ak je v systéme viacero diskov, dajú sa spojiť do raidu pomocou ZFS.
Vyberte sieťové rozhranie a priraďte IP z vybranej siete.
Ak plánujete nastaviť napríklad poštový server, uveďte skutočný názov domény. Ak teraz takáto potreba nie je, môžete napísať z ničoho nič. Môžete to opraviť neskôr v rozhraní.
Všetky! Do webového rozhrania sa môžete prihlásiť pomocou IP zadanej v nastaveniach a portu 81. DHCP v tejto fáze ešte nie je povolené, takže IP z tej istej siete budete musieť prideliť manuálne na vašom PC.
Pripájame sa na internet a prepájame kancelárie.
Keď sa prvýkrát prihlásite, spustí sa sprievodca robí Nastavili ste silné heslo.
majster
Ďalej prejdeme do nastavení siete
a nakonfigurovať pripojenie k nášmu poskytovateľovi a roly všetkých sieťových rozhraní.
Môžete nakonfigurovať niekoľko poskytovateľov a organizovať vyvažovanie.
Mimochodom, ak vám nevyhovuje anglický jazyk rozhrania, môžete ho jednoducho zmeniť tu.
Ak potrebujete prepojiť kanceláriu napríklad s centrálou. Potom vytvoríme nové spojenie
a nakonfigurovať trasy k prostriedkom vo vzdialenej sieti.
Zabudnite na dynamické smerovanie – nie je tu.
Možno som príliš vyberavý, ale IMHO je to veľká nevýhoda...
Prístup na internet pre zamestnancov
Hlavnou úlohou brány je najčastejšie kontrolovať prístup zamestnancov na internet.
Zamestnanci môžu byť identifikovaní buď pomocou IP/mac alebo pomocou prihlasovacieho mena/hesla cez agenta alebo prihlasovací portál.
Ak vaša organizácia používa službu Active Directory, je možné do nej integrovať službu ICS.
Nastavenia filtrovania (kam môže a nemôže zamestnanec ísť) sú veľmi rozsiahle.
Obrovské množstvo hotových šablón pravidiel:
Môžete povoliť youtube, ale zakázať tam nahrávanie videí.
Nemusíte sa však obmedzovať a ICS vám svojimi rozsiahlymi správami aj tak povie, kam všetci išli a kam išli:
A čo Wi-Fi pre hostí?
A hosťovská Wi-Fi môže byť organizovaná v súlade s požiadavkami ruských zákonov o povinnej identifikácii používateľa.
ICS podporuje odosielanie SMS cez protokol SMPP cez akéhokoľvek poskytovateľa SMS.
telefonovanie.
Áno áno! Nie je potrebné inštalovať samostatný server s Asteriskom. Už je v ICS.
Úspešne som pripojil SIP od Megafonu (emotion, multifon).
Ako získať SIP z Megafonu za mobilné tarify pre jednotlivcov si môžete prečítať v článku .
Bezpečnosť.
ICS má veľa nástrojov, ktoré vám umožnia prispôsobiť úroveň zabezpečenia podľa vašich požiadaviek: od bezplatných antivírusov ClamAV a k produktom , konfigurácia len cez zrozumiteľné webové rozhranie.
Dokonca aj rovnaký nenahraditeľný fail2Ban je možné nakonfigurovať niekoľkými kliknutiami
ICS môže tiež monitorovať prevádzku prostredníctvom protokolu netflow zo sieťového zariadenia bez toho, aby cez seba prechádzal prevádzkou.
Komunikačné vychytávky
Komunikáciu zamestnancov je možné organizovať nielen telefonicky a poštou
ale aj cez Jabber. Je pravda, že na takýto protokol si málokto pamätá.
Webový server:
ICS má dokonca webový server s podporou PHP. Môžete si nainštalovať vlastný HTTPS certifikát, ak ste si ho zakúpili, alebo určiť, že ICS dostane zadarmo Let's Encrypt.
To stačí na hosťovanie webovej stránky s vizitkou alebo reklamnej vstupnej stránky. Nebudete však môcť preniknúť do ťažkého portálu s vlastnými modulmi. A pre mňa je to hlúposť. Napriek tomu musí brána zostať bránou.
Flexibilná konfigurácia monitorovania a upozornení.
Alarmy možno dokonca posielať do telegramu. A v realite Ruskej federácie je dokonca možné posielať správy cez proxy.
Na záver
Internetová brána ICS obsahuje takmer všetky komponenty potrebné pre fungovanie malej kancelárie.
Navyše to všetko môže nakonfigurovať začínajúci správca systému.
Napriek tomu, že systém nie je postavený na FreeBSD, nie je k nemu prístup cez ssh. To znamená, že nebudete môcť nainštalovať moduly PHP bez bariel. Budete sa musieť uspokojiť s tým, čo máte... Alebo požiadajte podporu, aby ste to dokončili.
V každom prípade na začiatok a skontrolujte, či je táto brána pre vás vhodná.
Licencia nemá dobu platnosti, ale napriek tomu sú náklady pomerne vysoké
Systém fungoval v syntetických testoch na skúšobnej stolici primerane.
Ak to zákazník schváli a máte záujem o to, ako sa tento systém bude správať v „bitke“, potom za 3-6 mesiacov napíšem recenziu so všetkými problémami a ťažkosťami, ktoré sa vyskytli. Ak je to možné, preveríme kvalitu technickej podpory.
V komentároch od vás očakávam otázky, ktoré bude potrebné podrobne riešiť v bojovom použití.
Zdroj: hab.com