Geekly articles weekly

Gateway Internet Perangkat Lunak untuk Organisasi Kecil

Setiap pengusaha berusaha untuk mengurangi biaya. Hal yang sama berlaku untuk infrastruktur TI.

Ketika Anda membuka kantor baru, rambut seseorang mulai bergerak. Bagaimanapun, perlu untuk mengatur:
  • jaringan area lokal;
  • Koneksi internet. Lebih baik lagi dengan reservasi melalui penyedia kedua;
  • VPN ke kantor pusat (atau ke semua cabang);
  • HotSpot untuk klien dengan otorisasi sms;
  • memfilter lalu lintas sehingga karyawan tidak duduk di jejaring sosial dan tidak muncul di Skype;
  • perlindungan jaringan terhadap virus dan serangan. Memberikan perlindungan intrusi (IDS / IPS);
  • server email Anda (jika Anda tidak mempercayai semua jenis pdd.yandex.ru) dengan antivirus dan antispam;
  • file sampah;
  • Mungkin Anda membutuhkan telepon, mis. mengatur PBX, sambungkan roti lain ke penyedia SIP ...


Tetapi enikeyschik tidak akan dapat meningkatkan jaringan perusahaan dengan persyaratan seperti itu ... Menyewa administrator sistem yang mahal?
Jumlah rubel yang sangat besar menjulang.

Tetapi biaya ini dapat dikurangi secara signifikan jika Anda memperhatikan solusi-UTM , yang sekarang jumlahnya sangat besar. Dan karena saya mematuhi strategi "semakin sederhana semakin baik" dalam menyelesaikan masalah saya, mata saya tertuju pada UTM Internet Control Server (IKS).



Bagaimana sistem ini akan membantu menghemat anggaran perusahaan dan mengapa administrator sistem yang mahal tidak diperlukan untuk pemeliharaannya - Saya akan memberi tahu Anda di bawah ini.

Tapi ke depan saya akan mengatakan - ini adalah produk spesifik dan memiliki keterbatasan. Anda dapat mengevaluasi kemampuan gateway secara lebih terperinci dengan memeriksa dokumentasi di situs web resmi .
Saya mengatur artikel "dalam bahasa Rusia" untuk artikel itu, yaitu, tanpa melihat ke mana untuk memahami berapa banyak semuanya secara intuitif jelas.

Instalasi awal

IKS dapat diinstal pada perangkat keras nyata dan di hypervisor. Anda dapat menggunakan beberapa jenis PC tanpa kipas.
Misalnya ini.


Sistem ini didasarkan pada FreeBSD 11.3 dan harus lepas landas tanpa masalah pada sebagian besar perangkat keras.

Instalasi dilakukan pada disk kosong.
Lebih tepatnya, jika ada sesuatu di sana, maka Anda dapat dengan selamat mengucapkan selamat tinggal pada ini.
Sayangnya, penginstal hanya mendukung Bahasa Inggris. Tetapi setelah instalasi, antarmuka utama mungkin dalam bahasa Rusia.




Tentang toleransi kesalahan, juga, tidak lupa.
Jika ada beberapa disk dalam sistem, maka mereka dapat digabungkan menjadi serangan menggunakan ZFS.


Kami memilih antarmuka jaringan dan menetapkan ip dari jaringan yang dipilih.


Tunjukkan nama asli jika Anda berencana untuk menaikkan, misalnya, server surat. Jika tidak ada kebutuhan seperti itu sekarang, maka Anda dapat menulis dari bulldozer. Lebih lanjut dalam antarmuka itu akan mungkin untuk diperbaiki.



Itu saja! Anda dapat mengakses antarmuka web melalui ip, yang ditentukan dalam pengaturan, dan port 81. DHCP belum diaktifkan pada tahap ini, jadi Anda harus menetapkan secara manual ip dari jaringan yang sama pada PC Anda.



Kami terhubung ke Internet dan menghubungkan kantor.


Pertama kali Anda memulai wizard, yang memaksa Anda untuk mengatur kata sandi yang kuat.
Tuan





Selanjutnya kita naik ke pengaturan jaringan

dan konfigurasikan koneksi ke penyedia kami dan peran semua antarmuka jaringan.



Anda dapat mengonfigurasi beberapa penyedia dan mengatur penyeimbangan.

Omong-omong, jika Anda tidak nyaman dengan antarmuka bahasa Inggris, maka dapat dengan mudah diubah di sini.


Jika Anda ingin menghubungkan kantor, misalnya, ke kantor pusat.
Kemudian buat koneksi baru


dan mengkonfigurasi rute ke sumber daya di jaringan jarak jauh.


Anda hanya bisa melupakan perutean dinamis - tidak ada di sini.
Mungkin saya menemukan kesalahan, tetapi IMHO ini adalah kelemahan besar ...

Akses internet untuk karyawan



Paling sering, tugas utama gateway adalah untuk mengontrol akses karyawan ke Internet.
Anda dapat mengidentifikasi karyawan dengan ip / mac, atau dengan login / kata sandi melalui agen atau portal captive.


Juga, jika organisasi Anda menggunakan Active Directory, maka IKS dapat diintegrasikan dengannya.


Pengaturan penyaringan (di mana karyawan bisa dan tidak bisa) sangat luas.


Sejumlah besar templat aturan yang siap pakai:
Anda dapat mengizinkan youtube, tetapi melarang mengunggah video di sana.





Tetapi Anda tidak dapat membatasinya, dan ICS masih akan memberi tahu ke mana orang pergi dan ke mana dengan laporan luas mereka:


Tapi bagaimana dengan Wi-Fi tamu?



Dan Wi-Fi tamu dapat diatur sesuai dengan persyaratan undang-undang Federasi Rusia tentang identifikasi wajib pengguna.
ICS mendukung pengiriman SMS melalui protokol SMPP melalui penyedia SMS apa pun.



Teleponi.



Ya, ya! Tidak perlu menginstal server terpisah dengan Asterisk. Dia sudah di X.
Saya berhasil menghubungkan SIP dari Megaphone (emotion, multiphone).



Cara mendapatkan SIP dari Megafon dengan tarif seluler individu dapat ditemukan dalam artikel "SIP dari Megaphone dengan tarif rumah" .

Keamanan


Ada banyak alat di ICS yang akan memungkinkan Anda untuk mengkonfigurasi tingkat keamanan sesuai dengan kebutuhan Anda: mulai dari antivirus ClamAV gratis dan sistem deteksi intrusi Suricata hingga produk-produk Eugene Kaspersky , yang hanya dapat dikonfigurasi melalui antarmuka web yang jelas.



Bahkan fail2Ban yang tak tergantikan yang sama dapat dikonfigurasi dalam beberapa klik


Juga, ICS dapat memonitor lalu lintas menggunakan protokol netflow dari peralatan jaringan, tanpa melewati lalu lintas itu sendiri.

Roti komunikasi



Komunikasi karyawan dapat diatur tidak hanya melalui telepon dan surat


tetapi juga melalui jabber. Benar, beberapa orang sudah mengingat protokol semacam itu.

Server web:
Di IKS bahkan ada server web dengan dukungan PHP. Anda dapat menginstal sertifikat HTTPS Anda jika memilikinya, atau menentukan bahwa ICS menerima Mari Enkripsi gratis.


Ini cukup untuk meng-host situs kartu nama atau halaman arahan iklan. Tapi Anda tidak bisa melewati portal yang berat dengan modul khusus. Dan bagi saya, ini bodoh. Meski demikian, gateway harus tetap menjadi gateway.

Pengaturan pemantauan dan pemberitahuan yang fleksibel.
Alarm bahkan dapat dikirim ke Telegram. Dan dalam kenyataan Federasi Rusia bahkan ada kemungkinan mengirim pesan melalui proxy.


Kesimpulannya



Gateway Internet ICS berisi hampir semua komponen yang diperlukan untuk pengoperasian kantor kecil.
Pada saat yang sama, administrator sistem pemula dapat mengkonfigurasi semua ini.

Terlepas dari kenyataan bahwa sistem tidak dibangun oleh FreeBSD, tidak ada akses ssh ke sana. Artinya, tanpa kruk, Anda tidak dapat memasang modul PHP. Kita harus puas dengan apa yang kita miliki ... Atau meminta dukungan untuk menyelesaikannya.

Bagaimanapun, pada awalnya, unduh uji coba selama 35 hari dan periksa seberapa cocok gateway ini dengan Anda.

Lisensi tidak memiliki tanggal kedaluwarsa, tetapi meskipun demikian, biayanya cukup terjangkau .

Di bangku tes dalam tes sintetis, sistem terbukti memadai.

Jika pelanggan menyetujui dan akan menarik bagi Anda bagaimana sistem ini akan berperilaku dalam "pertempuran", maka setelah 3-6 bulan saya akan menulis ulasan dengan semua masalah dan kesulitan yang muncul. Jika memungkinkan, maka periksa kualitas dukungan teknis.

Dalam komentar saya menunggu pertanyaan dari Anda, yang perlu difokuskan secara rinci dalam penggunaan pertempuran.

Source: https://habr.com/ru/post/id477530/

More articles:


All Articles