任何企业都试图降低成本。 这同样适用于 IT 基础架构。
开新办公室时,有人的头发开始移动。 毕竟,您需要组织:
- 本地网络;
- 互联网。 通过第二家供应商预订更好;
- VPN 到中央办公室(或所有分支机构);
- HotSpot 适用于具有短信授权的客户端;
- 流量过滤,这样员工就不会坐在社交网络上,也不会在 Skype 上喋喋不休;
- 保护您的网络免受病毒和攻击。 提供入侵保护(IDS/IPS);
- 您的邮件服务器(如果您不信任任何 pdd.yandex.ru)具有防病毒和反垃圾邮件功能;
- 文件转储;
- 可能你需要电话,即。 组织 PBX,连接到 SIP 供应商和其他好东西......
但是一个 enikey 工作者将无法建立具有这种要求的企业网络......聘请昂贵的系统管理员?
就未来成本而言,出现了一个非常大的卢布数。
但如果您注意,这些成本可以显着降低 UTM解决方案,其中现在有很多。 由于我在解决问题时坚持“越简单越好”的策略,所以我的目光落在了UTM (X)。
该系统将如何帮助节省公司预算,以及为什么不需要昂贵的系统管理员来维护它 - 我将在下面说明。
但展望未来,我会说这是一个特定的产品,有其局限性。 您可以更详细地评估网关的功能 .
我为“俄语”文章设置,即不查看法力,以了解一切是多么直观。
初始安装
ICS 既可以安装在真实硬件上,也可以安装在管理程序中。 您可以使用任何无风扇 PC。例如这个。
该系统基于 并且在大多数设备上应该可以毫无问题地起飞。
安装是在空白磁盘上完成的。 更准确地说,如果有什么,那么你可以安全地告别它。不幸的是,安装程序只支持英语。 但是安装后,主界面可以是俄语。
也不要忘记弹性。如果系统中有多个磁盘,则可以使用 ZFS 将它们组合成一个 raid。
选择网络接口并从所选网络分配 ip。
如果您打算建立一个邮件服务器,请指定一个真实的域名。 如果现在没有这样的需要,那么你可以从推土机上写。 在界面的进一步位置,可以进行更正。
全部! 您可以使用设置中指定的 ip 和端口 81 访问 Web 界面。在此阶段尚未启用 DHCP,因此您必须在 PC 上从同一网络手动分配一个 ip。
我们连接到 Internet 并连接办公室。
第一次登录时,会启动一个向导 品牌 你设置一个强密码。
主
接下来,我们进入网络设置
并配置与我们的提供商的连接以及所有网络接口的角色。
您可以设置多个提供商并组织平衡。
顺便说一下,如果英文界面语言对您来说不方便,您可以在这里轻松更改。
例如,如果您想将办公室连接到总部。 然后我们创建一个新的连接
并设置到远程网络资源的路由。
您只能忘记动态路由 - 它不在这里。
也许我选择了很多,但恕我直言,这是一个很大的缺点......
员工上网
大多数情况下,网关的主要任务是控制员工对 Internet 的访问。
员工可以通过 ip / mac 以及通过代理或强制门户的登录名/密码来识别。
此外,如果您的组织使用 Active Directory,则 ICS 可以与其集成。
过滤设置(员工可以和不能)非常广泛。
大量现成的规则模板:
您可以允许 YouTube,但禁止在那里上传视频。
但你不能限制它,ICS 仍然会通过其广泛的报告告诉人们去了哪里以及去了哪里:
访客 Wi-Fi 怎么样?
客人 Wi-Fi 可以根据俄罗斯联邦关于强制用户识别的法律要求进行组织。
ICS 支持通过任何 SMS 提供商通过 SMPP 协议发送 SMS。
电话。
是的是的! 无需使用 Asterisk 安装单独的服务器。 它已经在 ICS 上了。
我从 Megafon(情感、多电话)成功连接了 SIP。
可以在文章中找到如何以个人蜂窝速率从 Megafon 获取 SIP .
安全性。
ICS 有许多工具可以让您根据您的要求调整安全级别:来自免费的防病毒软件 ClamAV 和 到产品 ,仅通过清晰的 Web 界面进行配置。
即使是同样不可或缺的 fail2Ban,也只需点击几下即可配置
此外,ICS 可以通过网络设备的 netflow 协议监控流量,而无需通过自身传递流量。
沟通好东西
员工的沟通不仅可以通过电话和邮件来组织
但也通过jabber。 的确,很少有人记得这样的协议。
网络服务器:
IKS 甚至有一个支持 PHP 的 Web 服务器。 如果您购买了 HTTPS 证书,则可以安装自己的 HTTPS 证书,或者指定 ICS 获得免费的 Let's Encrypt。
这足以放置名片网站或广告登陆页面。 但是您将无法使用自定义模块来削减沉重的门户网站。 对我来说,这是愚蠢的。 尽管如此,网关仍应是网关。
灵活配置监控和通知。
警报甚至可以发送到 Telegram。 而在俄罗斯联邦的现实中,甚至可以通过代理发送消息。
总之
Internet 网关“X”包含小型办公室运行所需的几乎所有组件。
在这种情况下,所有这些都可以由新手系统管理员进行配置。
虽然系统不是FreeBSD搭建的,但是没有ssh访问。 也就是说,没有拐杖,你将无法安装 PHP 模块。 我们必须满足于我们所拥有的……或者请求支持来完成它。
在开始的任何情况下 并检查此网关是否适合您。
许可证不会过期,但尽管如此,费用还是相当高的
在综合测试的立场上,该系统被证明是足够的。
如果客户批准并且您会对这个系统在“战斗”中的表现感兴趣,那么在 3-6 个月内我将写一篇评论,列出所有出现的问题和困难。 如果可能,我们将检查技术支持的质量。
在评论中,我期待您提出在战斗使用中需要详细关注的问题。
来源: habr.com