Alla företag strävar efter att minska kostnaderna. Detsamma gäller IT-infrastruktur.
När man öppnar ett nytt kontor börjar någons hår röra på sig. När allt kommer omkring måste du organisera:
- lokalt nätverk;
- Internetåtkomst. Ännu bättre med en bokning via en andra leverantör;
- VPN till centralkontoret (eller till alla filialer);
- HotSpot för klienter med SMS-auktorisering;
- trafikfiltrering så att anställda inte sitter i sociala nätverk och inte krackelerar på Skype;
- skydda ditt nätverk från virus och attacker. Tillhandahålla intrångsskydd (IDS/IPS);
- din e-postserver (om du inte litar på någon pdd.yandex.ru) med antivirus och antispam;
- fildump;
- Förmodligen behöver du telefoni, dvs. organisera en telefonväxel, anslut till en SIP-leverantör och annat gott ...
Men en enikey-arbetare kommer inte att kunna skapa ett företagsnätverk med sådana krav ... Anlita en dyr systemadministratör?
Ett mycket stort antal rubel, när det gäller framtida kostnader, uppstår.
Men dessa kostnader kan minskas avsevärt om du är uppmärksam på UTM-lösningar, som det nu finns många av. Och eftersom jag följer strategin "ju enklare desto bättre" för att lösa mina problem, föll mina ögon på UTM
Hur detta system kommer att hjälpa till att spara företagets budget och varför en dyr systemadministratör inte behövs för dess underhåll - jag kommer att berätta nedan.
Men ser jag framåt kommer jag att säga att detta är en specifik produkt och har sina begränsningar. Du kan utvärdera gatewayens funktioner mer i detalj
Jag ställde upp för artikeln "på ryska", det vill säga utan att titta på manan, för att förstå hur intuitivt allt är.
Initial installation
ICS kan installeras både på riktig hårdvara och i en hypervisor. Du kan använda vilken fläktlös dator som helst.Till exempel så här.
Systemet bygger på
Installationen görs på en tom skiva. Mer exakt, om det var något, kan du säkert säga adjö till det.Tyvärr stöder installationsprogrammet bara engelska. Men efter installationen kan huvudgränssnittet vara på ryska.
Glöm inte motståndskraften heller.Om det finns flera diskar i systemet kan de kombineras till en raid med ZFS.
Välj nätverksgränssnitt och tilldela ip från det valda nätverket.
Ange ett riktigt domännamn om du planerar att höja till exempel en e-postserver. Om det inte finns något sådant behov nu, kan du skriva från bulldozern. Längre i gränssnittet kommer det att vara möjligt att korrigera.
Allt! Du kan komma åt webbgränssnittet med den IP som anges i inställningarna och port 81. DHCP är ännu inte aktiverat i detta skede, så du måste manuellt tilldela en IP från samma nätverk på din PC.
Vi ansluter till internet och ansluter kontor.
Första gången du loggar in startas en guide som gör dig att ställa in ett starkt lösenord.
mästare
Därefter klättrar vi in i nätverksinställningarna
och konfigurera anslutningen till vår leverantör och rollen för alla nätverksgränssnitt.
Du kan skapa flera leverantörer och organisera balansering.
Förresten, om det engelska gränssnittsspråket inte är bekvämt för dig kan du enkelt ändra det här.
Om du vill koppla ett kontor till exempelvis huvudkontoret. Sedan skapar vi en ny koppling
och ställ in rutter till resurser på ett fjärrnätverk.
Du kan bara glömma dynamisk routing - den finns inte här.
Jag kanske väljer mycket, men IMHO detta är en stor nackdel ...
Internetåtkomst för anställda
Oftast är gatewayens huvuduppgift att kontrollera anställdas åtkomst till Internet.
Anställda kan identifieras både med ip/mac och genom inloggning/lösenord via en agent eller captive-portal.
Dessutom, om din organisation använder Active Directory, kan ICS integreras med den.
Filtreringsinställningar (där en anställd kan och inte kan) är mycket omfattande.
Ett stort antal färdiga regelmallar:
Du kan tillåta youtube, men förbjud uppladdning av videor där.
Men du kan inte begränsa det, och ICS kommer fortfarande att berätta var någon gick och var med sina omfattande rapporter:
Hur är det med gästens Wi-Fi?
Och gäst-Wi-Fi kan organiseras i enlighet med kraven i Ryska federationens lagar om obligatorisk användaridentifikation.
ICS stöder sändning av SMS via SMPP-protokoll via vilken SMS-leverantör som helst.
Telefoni.
Jaja! Du behöver inte installera en separat server med Asterisk. Det finns redan på ICS.
Jag ansluter framgångsrikt SIP från Megafon (emotion, multiphone).
Hur man får SIP från Megafon till individers mobilpriser finns i artikeln
Säkerhet.
ICS har många verktyg som låter dig justera säkerhetsnivån efter dina krav: från gratis antivirus ClamAV och
Till och med samma oumbärliga fail2Ban konfigureras med några få klick
Dessutom kan ICS övervaka trafik via netflow-protokollet från nätverksutrustning utan att passera trafik genom sig själv.
Kommunikationsgodis
Kommunikation av anställda kan organiseras inte bara via telefoni och post
men också genom jabb. Det är sant att få människor kommer ihåg ett sådant protokoll.
webbserver:
IKS har till och med en webbserver med PHP-stöd. Du kan installera ditt eget HTTPS-certifikat om du har köpt ett, eller ange att ICS får ett gratis Let's Encrypt.
Detta räcker för att placera en visitkortssida eller en reklammålsida. Men du kommer inte att kunna skära en tung portal med anpassade moduler. Och för mig är det dumt. Ändå bör gatewayen förbli en gateway.
Flexibel konfiguration av övervakning och aviseringar.
Larm kan till och med skickas till Telegram. Och i den ryska federationens verklighet är det till och med möjligt att skicka meddelanden via en proxy.
Sammanfattningsvis
Internetgateway "X" innehåller nästan alla komponenter som behövs för att ett litet kontor ska fungera.
I det här fallet kan allt detta konfigureras av en nybörjare systemadministratör.
Även om systemet inte är byggt av FreeBSD, finns det ingen ssh-åtkomst till det. Det vill säga utan kryckor kommer du inte att kunna installera PHP-moduler. Vi får nöja oss med det vi har... Eller be supporten att avsluta det.
I vilket scenario som helst i början
Licensen går inte ut, men trots detta är kostnaden ganska stor
På montern i syntetiska tester visade sig systemet vara adekvat.
Om kunden godkänner och du kommer att vara intresserad av hur det här systemet beter sig i en "strid", kommer jag om 3-6 månader att skriva en recension med alla problem och svårigheter som har uppstått. Om möjligt kommer vi att kontrollera kvaliteten på teknisk support.
I kommentarerna förväntar jag mig frågor från dig som kommer att behöva fokuseras i detalj i stridsanvändning.
Källa: will.com