適用於小型組織的軟體 Internet 網關

任何商人都努力削減成本。 IT 基礎架構也是如此。

當新辦公室開幕時，有人會毛骨悚然。 畢竟，您需要組織：

• 本地網路；
• 網際網路. 透過第二家提供者預訂效果更好；
• VPN 至中心辦公室（或所有分店）；
• 透過簡訊授權的客戶熱點；
• 過濾流量，使員工不會花時間在社群網路上和在 Skype 上聊天；
• 保護您的網路免受病毒和攻擊。 提供入侵防護（IDS/IPS）；
• 您自己的郵件伺服器（如果您不信任任何 pdd.yandex.ru），具有防毒和反垃圾郵件功能；
• 文件轉儲；
• 您可能需要電話，即組織 PBX、連接到 SIP 提供者和其他好東西...

但是 Enikey 專家將無法建立具有此類要求的企業網路...僱用昂貴的系統管理員？
就未來成本而言，盧布的數字非常大。

但如果您注意的話，這些成本可以顯著降低 UTM解決方案，其中現在數量龐大。 由於我在解決問題時堅持「越簡單越好」的策略，所以我的目光落在了UTM 網際網路控制伺服器 （X）。

下面我將告訴您該系統將如何幫助節省公司預算以及為什麼您不需要昂貴的系統管理員來維護它。

但展望未來，我會說這是一個特定的產品，有其限制。 您可以更詳細地評估網關的功能 研究了官網的文檔.
我將其設定為“俄語”文章，也就是說，在不查看法力的情況下，了解一切是多麼直觀。

初始安裝

ICS 既可以安裝在真實硬體上，也可以安裝在虛擬機器管理程式中。 您可以使用一些無風扇電腦。比如這個。

該系統基於 FreeBSD 11.3 在大多數設備上，它應該可以毫無問題地起飛。

安裝是在空白磁碟上執行的。 更準確地說，如果那裡有東西，那麼你就可以放心地和它說再見。不幸的是，安裝程式僅支援英語。 但安裝後主介面可能是俄語。




他們也沒有忘記容錯能力。如果系統中有多個磁碟，可以使用ZFS將它們組合成raid。

選擇一個網路介面並從所選網路分配一個 IP。

如果您打算設定郵件伺服器等，請註明真實網域名稱。 如果現在沒有這樣的需要，那你可以突然寫出來。 您可以稍後在介面中修復它。

全部！ 您可以使用設定中指定的 IP 和連接埠 81 登入 Web 介面。現階段尚未啟用 DHCP，因此您必須在 PC 上手動指派相同網路的 IP。

我們連接到互聯網並連接辦公室。

當您第一次登入時，精靈會啟動 使 您設定了一個強密碼。
主




接下來我們進入網路設置

並配置與我們的提供者的連接以及所有網路介面的角色。



您可以配置多個提供者並組織平衡。

順便說一句，如果您對英文介面語言不熟悉，您可以在這裡輕鬆更改。


例如，如果您需要將辦公室連接到總部。 然後我們建立一個新的連接

並配置到遠端網路上資源的路由。

忘記動態路由吧——它不在這裡。
也許我太挑剔了，但恕我直言，這是一個很大的缺點...

員工上網

大多數情況下，網關的主要任務是控制員工對網際網路的存取。
可以透過 IP/mac 或透過代理或強制入口網站的登入/密碼來識別員工。


此外，如果您的組織使用 Active Directory，則 ICS 可以與其整合。


過濾設定（員工可以去和不能去的地方）非常廣泛。


大量現成的規則範本：
您可以允許 YouTube，但禁止在那裡上傳影片。

但你不必限制自己，ICS 仍然會透過其廣泛的報告告訴你每個人都去了哪裡以及他們去了哪裡：

訪客 Wi-Fi 怎麼樣？

訪客 Wi-Fi 的組織可以符合俄羅斯法律關於強制使用者身分識別的要求。
ICS 支援透過任何 SMS 提供者透過 SMPP 協定發送 SMS。

電話。

是的是的！ 無需使用 Asterisk 安裝單獨的伺服器。 它已經在 ICS 中了。
我成功連接了 Megafon（emotion、multifon）的 SIP。

如何以個人蜂窩資費從 Megafon 獲取 SIP，請參閱文章 “來自 Megafon 的 SIP 國內資費”.

安全。

ICS 擁有許多工具，可讓您根據您的要求自訂安全等級：免費防毒軟體 ClamAV 和 入侵偵測系統 Suricata 到產品 葉夫根尼·卡巴斯基，僅透過易於理解的 Web 介面進行設定。

即使是相同的不可替代的fail2Ban也可以透過幾次點擊進行配置


ICS 還可以透過網路設備的 netflow 協定監控流量，而無需透過自身傳遞流量。

溝通好東西

員工溝通不僅可以透過電話和郵件來組織


也可以透過 Jabber。 確實，很少人記得這樣的協議。

網路伺服器：
ICS 甚至還有一個支援 PHP 的 Web 伺服器。 如果您購買了 HTTPS 證書，則可以安裝自己的 HTTPS 證書，或指定 ICS 接收免費的 Let's Encrypt。


這足以託管名片網站或廣告登陸頁面。 但您將無法使用自訂模組切入重型入口網站。 對我來說，這是愚蠢的。 儘管如此，網關仍必須是網關。

靈活配置監控和通知。
警報甚至可以發送到 Telegram。 在俄羅斯聯邦的現實中，甚至可以透過代理商發送訊息。

總之

ICS Internet 閘道包含小型辦公室運作所需的幾乎所有元件。
而且，所有這些都可以由新手系統​​管理員進行設定。

儘管該系統不是基於 FreeBSD 構建的，但無法透過 ssh 存取它。 也就是說，沒有拐杖你將無法安裝 PHP 模組。 您必須滿足於您所擁有的...或請求支援來完成它。

無論如何一開始 下載試用 35 天 並檢查該網關是否適合您。

許可證沒有有效期，但儘管如此，費用還是相當高的 民主的。

該系統在綜合測試中表現良好。

如果客戶認可並且您對這個系統在「戰鬥」中的表現感興趣，那麼在 3-6 個月內我將寫一篇評論，其中包含所有出現的問題和困難。 如果可能，我們將檢查技術支援的品質。

在評論中，我期待您提出在戰鬥使用中需要詳細解決的問題。

來源： www.habr.com