Sinumang negosyante ay nagsisikap na bawasan ang mga gastos. Ang parehong naaangkop sa imprastraktura ng IT.
Kapag nagbukas ang isang bagong opisina, nagsimulang tumaas ang buhok ng isang tao. Pagkatapos ng lahat, kailangan mong ayusin:
- lokal na network;
- Internet access. Ito ay mas mahusay na may reserbasyon sa pamamagitan ng pangalawang provider;
- VPN sa sentral na opisina (o sa lahat ng sangay);
- HotSpot para sa mga kliyenteng may pahintulot sa pamamagitan ng SMS;
- pag-filter ng trapiko upang ang mga empleyado ay hindi gumugol ng oras sa mga social network at chat sa Skype;
- pagprotekta sa iyong network mula sa mga virus at pag-atake. Magbigay ng proteksyon sa panghihimasok (IDS/IPS);
- ang iyong sariling mail server (kung hindi ka nagtitiwala sa anumang pdd.yandex.ru) na may antivirus at antispam;
- pagtatapon ng file;
- Malamang kailangan mo ng telephony, i.e. ayusin ang isang PBX, kumonekta sa isang SIP provider at iba pang mga goodies...
Ngunit ang isang espesyalista sa Enikey ay hindi makakapagtaas ng isang network ng enterprise na may ganitong mga kinakailangan... Mag-hire ng isang mamahaling system administrator?
Ang isang napakalaking ruble figure ay lumilitaw sa mga tuntunin ng mga gastos sa hinaharap.
Ngunit ang mga gastos na ito ay maaaring makabuluhang bawasan kung bibigyan mo ng pansin Mga solusyon sa UTM, kung saan mayroon na ngayong malaking bilang. At dahil sumunod ako sa diskarte na "mas simple ang mas mahusay" sa paglutas ng aking mga problema, ang aking mga mata ay nahulog sa UTM
Sasabihin ko sa iyo sa ibaba kung paano makakatulong ang system na ito na i-save ang badyet ng kumpanya at kung bakit hindi mo kailangan ng mamahaling system administrator para mapanatili ito.
Ngunit sa hinaharap, sasabihin ko na ito ay isang partikular na produkto at may mga limitasyon nito. Maaari mong suriin ang mga kakayahan ng gateway nang mas detalyado
Itinakda ko ito para sa artikulong "sa Russian," iyon ay, nang hindi tumitingin sa mana, upang maunawaan kung gaano intuitive ang lahat.
Paunang pag-install
Maaaring mai-install ang ICS kapwa sa tunay na hardware at sa isang hypervisor. Maaari kang gumamit ng ilang fanless PC.Halimbawa ang isang ito.
Ang sistema ay batay sa
Ang pag-install ay isinasagawa sa isang blangkong disk. Mas tiyak, kung mayroong isang bagay doon, maaari mong ligtas na magpaalam dito.Sa kasamaang palad, sinusuportahan lamang ng installer ang Ingles. Ngunit pagkatapos ng pag-install, ang pangunahing interface ay maaaring nasa Russian.
Hindi rin nila nakalimutan ang tungkol sa fault tolerance.Kung mayroong ilang mga disk sa system, maaari silang pagsamahin sa isang raid gamit ang ZFS.
Pumili ng interface ng network at magtalaga ng ip mula sa napiling network.
Mangyaring magpahiwatig ng isang tunay na pangalan ng domain kung plano mong mag-set up, halimbawa, isang mail server. Kung walang ganoong pangangailangan ngayon, maaari kang sumulat nang wala sa asul. Maaari mo itong ayusin sa ibang pagkakataon sa interface.
Lahat! Maaari kang mag-log in sa web interface gamit ang IP na tinukoy sa mga setting at port 81. Hindi pa pinapagana ang DHCP sa yugtong ito, kaya kakailanganin mong magtalaga ng IP mula sa parehong network nang manu-mano sa iyong PC.
Kumokonekta kami sa Internet at kumokonekta sa mga opisina.
Kapag nag-log in ka sa unang pagkakataon, sisimulan iyon ng isang wizard gumagawa Nagtakda ka ng malakas na password.
Master
Susunod na pumunta kami sa mga setting ng network
at i-configure ang koneksyon sa aming provider at ang mga tungkulin ng lahat ng mga interface ng network.
Maaari mong i-configure ang ilang provider at ayusin ang pagbabalanse.
Siyanga pala, kung hindi ka kumportable sa English interface language, madali mo itong mababago dito.
Kung kailangan mong ikonekta ang isang opisina, halimbawa, sa punong tanggapan. Pagkatapos ay lumikha kami ng isang bagong koneksyon
at i-configure ang mga ruta sa mga mapagkukunan sa malayong network.
Kalimutan lang ang tungkol sa dynamic na pagruruta - wala ito dito.
Marahil ako ay masyadong mapili, ngunit IMHO ito ay isang malaking sagabal...
Internet access para sa mga empleyado
Kadalasan, ang pangunahing gawain ng isang gateway ay upang kontrolin ang pag-access ng empleyado sa Internet.
Maaaring makilala ang mga empleyado sa pamamagitan ng IP/mac o sa pamamagitan ng pag-login/password sa pamamagitan ng ahente o captive portal.
Gayundin, kung gumagamit ang iyong organisasyon ng Active Directory, maaaring isama rito ang ICS.
Ang mga setting ng pag-filter (kung saan ang isang empleyado ay maaari at hindi maaaring pumunta) ay napakalawak.
Isang malaking bilang ng mga yari na template ng panuntunan:
Maaari mong payagan ang youtube, ngunit ipagbawal ang pag-upload ng mga video doon.
Ngunit hindi mo kailangang limitahan ang iyong sarili, at sasabihin pa rin sa iyo ng ICS kung saan nagpunta ang lahat at kung saan sila nagpunta kasama ang mga malawak na ulat nito:
Paano ang guest Wi-Fi?
At maaaring ayusin ang guest Wi-Fi alinsunod sa mga kinakailangan ng mga batas ng Russia sa mandatoryong pagkakakilanlan ng user.
Sinusuportahan ng ICS ang pagpapadala ng SMS sa pamamagitan ng SMPP protocol sa pamamagitan ng anumang SMS provider.
Telepono.
Oo Oo! Hindi na kailangang mag-install ng hiwalay na server na may Asterisk. Ito ay nasa ICS na.
Matagumpay kong nakakonekta ang SIP mula sa Megafon (emosyon, multifon).
Kung paano makakuha ng SIP mula sa Megafon sa mga cellular tariffs para sa mga indibidwal ay mababasa sa artikulo
Seguridad.
Ang ICS ay may maraming mga tool na magbibigay-daan sa iyong i-customize ang antas ng seguridad ayon sa iyong mga kinakailangan: mula sa mga libreng antivirus na ClamAV at
Kahit na ang parehong hindi maaaring palitan na fail2Ban ay maaaring i-configure sa ilang mga pag-click
Maaari ding subaybayan ng ICS ang trapiko sa pamamagitan ng netflow protocol mula sa network equipment nang hindi dumadaan sa trapiko mismo.
Mga bagay sa komunikasyon
Ang komunikasyon ng empleyado ay maaaring ayusin hindi lamang sa pamamagitan ng telepono at koreo
ngunit din sa pamamagitan ng Jabber. Totoo, kakaunti ang naaalala ng mga tao tungkol sa gayong protocol.
Web-server:
Ang ICS ay mayroon ding web-server na may suporta sa PHP. Maaari mong i-install ang iyong sariling HTTPS certificate kung bumili ka ng isa, o tukuyin na ang ICS ay tumatanggap ng libreng Let's Encrypt.
Ito ay sapat na upang mag-host ng isang website ng business card o landing page ng advertising. Ngunit hindi ka makaka-cut sa isang mabigat na portal na may mga custom na module. At para sa akin, ito ay hangal. Gayunpaman, ang gateway ay dapat manatiling isang gateway.
Flexible na configuration ng pagsubaybay at mga notification.
Maaari ring ipadala ang mga alarm sa Telegram. At sa mga katotohanan ng Russian Federation, posible pa ring magpadala ng mga mensahe sa pamamagitan ng isang proxy.
Sa pagtatapos
Ang ICS Internet gateway ay naglalaman ng halos lahat ng mga sangkap na kinakailangan para sa paggana ng isang maliit na opisina.
Bukod dito, ang lahat ng ito ay maaaring i-configure ng isang novice system administrator.
Sa kabila ng katotohanan na ang system ay hindi binuo sa FreeBSD, walang access dito sa pamamagitan ng ssh. Ibig sabihin, hindi ka makakapag-install ng PHP modules nang walang saklay. Kailangan mong makuntento sa kung ano ang mayroon ka... O humingi ng suporta para tapusin ito.
Sa anumang kaso sa simula
Ang lisensya ay walang panahon ng bisa, ngunit sa kabila nito ang gastos ay medyo
Ang sistema ay gumanap nang sapat sa bangko sa mga sintetikong pagsubok.
Kung aprubahan ng customer at interesado ka sa kung paano kikilos ang sistemang ito sa "labanan," pagkatapos ay sa 3-6 na buwan magsusulat ako ng isang pagsusuri sa lahat ng mga problema at paghihirap na lumitaw. Kung maaari, susuriin namin ang kalidad ng teknikal na suporta.
Sa mga komento, inaasahan ko ang mga tanong mula sa iyo na kailangang matugunan nang detalyado sa paggamit ng labanan.
Pinagmulan: www.habr.com