小型組織的軟體互聯網網關

任何商人都力求減少開支。 IT基礎架構也是如此。

當新辦公室啟用時，有些人會感到毛骨悚然。畢竟，組織起來是必要的：

• 區域網路;
• 網路接取。最好透過第二個提供者進行備份；
• VPN 到中心局（或所有分公司）；
• 為具有簡訊授權的客戶提供熱點；
• 過濾流量，以便員工不會停留在社群網路上或在 Skype 上聊天；
• 保護網路免受病毒和攻擊。提供入侵防護（IDS/IPS）；
• 您自己的郵件伺服器（如果您不信任任何 pdd.yandex.ru）具有防毒和反垃圾郵件功能；
• 文件轉儲；
• 您可能需要電話，即組織 PBX、連接到 SIP 提供者和其他好東西…

但是 IT 專家無法提高具有此類要求的企業網路...僱用昂貴的系統管理員？
就未來成本而言，盧布數字非常大。

但如果你注意以下幾點，這些成本就可以大幅降低 UTM解決方案，現在數量龐大。由於我堅持「越簡單越好」的解決問題策略，我的目光落在了UTM身上。 網際網路控制伺服器 （X）。

這個系統如何幫助節省公司的預算以及為什麼您不需要昂貴的系統管理員來維護它——我將在下面告訴您。

但展望未來，我會說這是一款特定的產品，有其限制。您可以更詳細地評估網關的功能。 研究了官方網站上的文檔.
我將其設定為「用俄語」撰寫文章，也就是說，無需查看手冊，就能直觀地了解一切。

初始安裝

ICS 既可以安裝在實體硬體上，也可以安裝在虛擬機器管理程式中。您可以使用任何無風扇 PC。例如這個。

該系統基於 FreeBSD 11.3 並且在大多數設備上它應該可以順利起飛。

安裝在乾淨的磁碟上進行。 更準確地說，如果那裡曾經有過某樣東西，那麼你就可以放心地與它告別。遺憾的是，安裝程式僅支援英語。但安裝後，主介面可能會顯示俄語。




容錯性也沒有被遺忘。如果系統中有多個磁碟，則可以使用 ZFS 將它們組合成 RAID。

選擇一個網路介面並從選定的網路分配一個 IP。

如果您打算設定郵件伺服器等，請指定真實網域名稱。如果目前不需要，您可以隨意填寫。稍後您可以在介面中修改。

就是這樣！您可以透過設定中指定的 IP 位址和連接埠 81 進入 Web 介面。目前 DHCP 尚未啟用，因此您必須在 PC 上手動指派來自相同網路的 IP 位址。

我們連接互聯網，連接辦公室。

首次登入時，會啟動精靈， 使 要求您設定一個強密碼。
主




接下來我們進入網路設置

我們配置與提供者的連線以及所有網路介面的角色。



您可以設定多個提供者並組織平衡。

順便說一句，如果您不喜歡英文介面語言，您可以在這裡輕鬆更改。


例如，如果您需要將辦公室連接到總部。 然後我們建立一個新的連接

並配置到遠端網路中資源的路由。

忘記動態路由吧——它不存在。
也許我太挑剔了，但恕我直言，這是一個很大的缺點...

員工網路存取

通常，網關的主要任務是控制員工對網際網路的存取。
可以透過代理或強制入口網站透過 IP/Mac 或登入/密碼來識別員工。


此外，如果您的組織使用 Active Directory，那麼 ICS 可以與其整合。


過濾設定（員工可以去哪裡和不能去哪裡）非常廣泛。


大量現成的規則範本：
您可以允許 YouTube，但禁止在那裡上傳影片。

但你不必限制它，ICS 仍然會透過其詳盡的報告告訴你去了哪裡、誰去了哪裡：

那麼訪客 Wi-Fi 呢？

並且可以根據俄羅斯法律關於強制使用者識別的要求來組織訪客Wi-Fi。
IKS 支援透過任何 SMS 提供者透過 SMPP 協議發送簡訊。

電話。

是的，是的！ Asterisk 無需單獨安裝伺服器。它已經包含在 IKS 中了。
我成功地從 Megafon（emotion、multifon）連接了 SIP。

如何從 Megafon 獲得個人蜂窩費率的 SIP 可以在文章中閱讀 “Megafon 的家庭 SIP 資費”.

安全。

IKS 有許多工具可讓您根據自己的需求自訂安全等級：從免費防毒軟體 ClamAV 和 Suricata入侵偵測系統 產品 葉夫根尼婭·卡巴斯基，僅透過易於理解的 Web 介面進行設定。

即使是同樣不可取代的fail2Ban，也只需點擊幾下即可配置


此外，ICS 可以透過網路設備的 NetFlow 協定監控流量，而無需自身傳遞流量。

溝通利器

員工溝通不僅可以透過電話和郵件進行


也可以透過 Jabber 進行。確實，很少人記得這個協議。

Web 伺服器：
IKS 上甚至還有一個支援 PHP 的 Web 伺服器。如果您已購買 HTTPS 證書，可以自行安裝，或指定 IKS 以獲得免費的 Let's Encrypt 證書。


這足以託管一個名片網站或一個廣告落地頁。但你無法安裝一個包含自訂模組的大型入口網站。在我看來，這很愚蠢。畢竟，門戶網站就應該只是門戶網站。

靈活的監控和通知設定。
警報甚至可以發送到 Telegram。在俄羅斯聯邦，甚至可以透過代理商發送訊息。

總之

互聯網網關「ICS」包含小型辦公室運作所需的幾乎所有組件。
此外，所有這些都可以由新手系統管理員設定。

儘管該系統並非基於 FreeBSD 構建，但您無法透過 SSH 存取它。也就是說，您無法在沒有輔助工具的情況下安裝 PHP 模組。您只能滿足於現狀…或尋求支援人員的協助來完成安裝。

無論如何，一開始 下載 35 天試用版 並檢查該網關是否適合您。

許可證沒有到期日，但儘管如此，成本還是相當 民主的。

在展台的綜合測試中，該系統充分展示了其性能。

如果客戶認可，並且您對該系統在「實戰」中的表現感興趣，我會在3-6個月內寫一份評估報告，列出所有出現的問題和困難。如果一切順利，我們會檢查技術支援的品質。

在評論中，我希望您提出在戰鬥中使用時需要詳細注意的問題。

來源： www.habr.com