Будь-який бізнесмен прагне скорочення витрат. Те саме стосується й IT-інфраструктури.
При відкритті нового офісу у когось починає ворушитися волосся. Адже треба організувати:
- локальну мережу;
- вихід в Інтернет. Краще ще з резервуванням через другого провайдера;
- VPN до центрального офісу (або всіх філій);
- HotSpot для клієнтів з авторизацією по SMS;
- фільтрацію трафік так, щоб співробітники не сиділи в соцмережах і не тріщали у скайпі;
- захист мережі від вірусів та атак. Забезпечити захист від вторгнень (IDS/IPS);
- свій поштовий сервер (якщо не довіряєте всяким pdd.yandex.ru) з антивірусом та антиспамом;
- файловий смітник;
- Ймовірно, Вам потрібна телефонія, тобто. організувати АТС, підключити до SIP провайдера та інші плюшки.
Але підняти мережу підприємства з такими вимогами енікейник не зможе… Найняти дорогого сисадміну?
Вимальовується дуже велике, за майбутніми витратами, рублеве число.
Але ці витрати можна суттєво скоротити, якщо звернути увагу на UTM-рішення, Яких зараз величезна кількість. А оскільки я дотримуюся стратегії «чим простіше – тим краще» у вирішенні своїх завдань, то мій погляд упав на UTM
Чим ця система допоможе зберегти бюджет компанії і чому для її обслуговування не потрібний дорогий сисадмін – розповім нижче.
Але забігаючи наперед скажу — це специфічний продукт і має обмеження. Більш детально оцінити можливості шлюзу можна
Я ж налаштовував для статті «російською мовою», тобто не заглядаючи в мани, щоб зрозуміти, наскільки все інтуїтивно зрозуміло.
Початкова установка
ІКС можна встановити як на реальне залізо, так і на гіпервізор. Можна використовувати якийсь безвентиляторний ПК.Наприклад, такий.
Система базується на
Установка виконується на чистий диск. Точніше, якщо там щось було, то можете сміливо попрощатися з цим.На жаль, інсталятор підтримує лише англійську мову. Але після встановлення основний інтерфейс може бути російською.
Про відмовостійкість теж не забули.Якщо у системі кілька дисків, то вони можуть бути об'єднані в рейд засобами ZFS.
Вибираємо мережевий інтерфейс і призначаємо IP з обраної мережі.
Доменне ім'я вказуйте реальне, якщо Ви плануєте підняти, наприклад поштовий сервер. Якщо такої потреби немає зараз, можна написати від балди. Далі в інтерфейсі можна буде виправити.
Всі! Можна входити в веб-інтерфес з ip, який вказали в налаштуваннях, і порту 81. DHCP на цьому етапі поки не включений, тому на своєму ПК доведеться призначити ip з цієї мережі вручну.
Підключаємо до інтернету та з'єднуємо офіси.
При першому вході запускається майстер, який змушує Вас встановити надійний пароль.
Майстер
Далі ліземо в налаштування мережі
та налаштовуємо підключення до нашого провайдера та ролі всіх мережевих інтерфейсів.
Провайдерів можна налаштувати кілька та організувати балансування.
До речі, якщо Вам не зручна англійська мова інтерфейсу, її легко можна поміняти тут.
Якщо потрібно підключити офіс, наприклад до головного офісу. То створюємо нове підключення
та налаштовуємо маршрути до ресурсів у віддаленій мережі.
Тільки про динамічну маршрутизацію можете забути - її тут немає.
Може я сильно чіпляюся, але ІМХО це великий недолік…
Доступ в інтернет співробітників
Найчастіше основне завдання шлюзу – контроль доступу співробітників до Інтернету.
Ідентифікувати співробітників можна як за ip/mac, так і за логіном/паролем через агента або captive portal.
Також, якщо у Вашій організації використовується Active Directory, то ІКС можна інтегрувати і з ним.
Налаштування фільтрації (куди співробітнику можна і не можна) дуже великі.
Величезна кількість готових шаблонів правил:
Можна дозволити youtube, але заборонити завантажувати відео.
Але можна не обмежувати і ІКС все одно розповість куди хто й куди ходив своїми великими звітами:
А як же гостьовий Wi-Fi?
І гостьовий вай-фай можна організувати з дотриманням вимог законів РФ про обов'язкову ідентифікацію користувачів.
ІКС підтримує відправлення смс за протоколом SMPP через будь-якого SMS-провайдера.
Телефонія.
Так Так! Не треба ставити окремий сервер із Asterisk. Він уже є в ІКС.
Я успішно підключив SIP від Мегафон (emotion, мультифон).
Як отримати SIP від Мегафону за стільниковими тарифами фізосіб можна почитати у статті
Безпека.
ІКС має багато інструментів, які дозволять налаштувати рівень безпеки за Вашими вимогами: від безкоштовних антивірусів ClamAV та
Навіть той самий незамінний fail2Ban налаштовується на кілька кліків
Також ІКС може моніторити трафік по netflow протоколу з мережевого обладнання, не пропускаючи через себе трафік.
Комунікаційні плюшки
Комунікацію співробітників можна організувати не лише телефонією та поштою
а й через jabber. Щоправда, мало вже хто пам'ятає про такий протокол.
Web-server:
На ІКС є навіть web-server із підтримкою PHP. HTTPS сертифікат можна встановити свій, якщо є, або вказати, щоб ІКС отримав безкоштовний Let's Encrypt.
Цього достатньо для розміщення сайту-візитки чи рекламного лендінгу. Але впилити важкий портал із кастомними модулями у Вас не вийде. І на мене — це безглуздо. Все-таки шлюз має залишатися шлюзом.
Гнучка настройка моніторингу та сповіщень.
Алярми можна надсилати навіть у телеграм. А в реаліях РФ є навіть можливість надсилати повідомлення через проксі.
На завершення
Інтернет-шлюз «ІКС» містить практично всі компоненти, необхідні для функціонування невеликого офісу.
При цьому все це може налаштувати системний адміністратор-початківець.
Незважаючи на те, що система побудована ні FreeBSD, доступу до ssh до нього немає. Тобто без милиць довстановлення модулів PHP у Вас не вийде. Прийде задовольнятися тим, що є… Або просити сапорт допиляти.
За будь-якого розкладу на початку
Ліцензія не має терміну дії, але незважаючи на це вартість є цілком
На стенді у синтетичних тестах система показала себе адекватно.
Якщо замовник схвалить і Вам буде цікаво як дана система поведеться в «бою», то місяців через 3-6 напишу відгук зі всіма завданнями і складностями, що виникли. Якщо вийде, перевіримо якість технічної підтримки.
У коментарі чекаю від Вас питання, на які треба буде детально загострити увагу у бойовому застосуванні.
Джерело: habr.com