Geekly articles weekly

小型组织的软件Internet网关

任何商人都在努力降低成本。 IT基础架构也是如此。

当您打开新办公室时,某人的头发开始移动。 毕竟,有必要组织:
  • 局域网;
  • 互联网连接。 最好还是通过第二个提供商进行预订;
  • 到总部(或所有分支机构)的VPN;
  • 具有SMS授权的客户的HotSpot;
  • 过滤流量,以使员工不会坐在社交网络上并且不会在Skype上弹出;
  • 网络防御病毒和攻击。 提供入侵防护(IDS / IPS);
  • 您的邮件服务器(如果您不信任各种pdd.yandex.ru)具有防病毒和防垃圾邮件功能;
  • 垃圾桶
  • 可能您需要电话,即 组织PBX,将其他包子连接到SIP提供商...


但是enikeyschik将无法满足这种要求的企业网络...雇用昂贵的系统管理员?
一个非常大的卢布数字迫在眉睫。

但是,如果您关注现在数量巨大的UTM解决方案 ,则可以大大降低这些成本。 由于我在解决问题时坚持“越简单越好”的策略,因此我的目光投向了UTM Internet Control Server (IKS)。



该系统将如何帮助节省公司的预算,以及为什么不需要昂贵的系统管理员来进行维护-我在下面告诉您。

但是,展望未来,我会说-这是一个特定的产品,并且有其局限性。 您可以通过查看官方网站上的文档来更详细地评估网关的功能。
我为该文章设置了“俄语”文章,即,没有研究力气来了解多少东西在直观上是清晰的。

初始安装

IKS既可以安装在实际硬件上,也可以安装在管理程序中。 您可以使用某种无风扇PC。
例如这个。


该系统基于FreeBSD 11.3 ,应该可以在大多数硬件上顺利启动。

安装在空白磁盘上。
更准确地说,如果那里有东西,那么您可以放心告别。
不幸的是,安装程序仅支持英语。 但是安装后,主界面可能是俄语。




关于容错也没有忘记。
如果系统中有多个磁盘,则可以使用ZFS将它们组合成一个RAID。


我们选择网络接口并从所选网络中分配IP。


如果您打算举起邮件服务器,请注明真实姓名。 如果现在没有这种需要,那么您可以从推土机上写信。 进一步在界面中,可以进行校正。



仅此而已! 您可以通过设置中指定的ip和端口81访问Web界面。DHCP目前尚未启用,因此您必须从PC上的同一网络手动分配ip。



我们连接到Internet并连接办公室。


首次启动向导时,将强制您设置强密码。
大师





接下来,我们进入网络设置

并配置与我们的提供商的连接以及所有网络接口的角色。



您可以配置多个提供程序并安排平衡。

顺便说一句,如果您对界面的英语不满意,则可以在此处轻松进行更改。


例如,如果要将办公室连接到总部。
然后创建一个新的连接


并配置到远程网络上资源的路由。


您只能忘记动态路由-它不在这里。
也许我发现错了,但是恕我直言,这是一个很大的缺点...

员工上网



通常,网关的主要任务是控制员工对Internet的访问。
您可以通过ip / mac或通过代理或强制门户的登录名/密码来标识员工。


另外,如果您的组织使用Active Directory,则可以将IKS与它集成。


过滤设置(员工可以和不能使用的设置)非常广泛。


大量现成的规则模板:
您可以允许youtube,但禁止在该处上传视频。





但是您不能限制它,并且ICS仍会通过其详尽的报告来告诉谁去了哪里以及去哪里:


但是访客Wi-Fi呢?



可以按照俄罗斯联邦关于强制识别用户的法律的要求来组织访客Wi-Fi。
ICS支持通过任何SMS提供程序通过SMPP协议发送SMS。



电话。



是的,是的! 无需使用Asterisk安装单独的服务器。 他已经在X中。
我已成功通过Megaphone(情感,多电话)连接了SIP。



如何从Megafon以个人的蜂窝资费获得SIP可以在文章“以家庭资费从Megaphone获得SIP”中找到

安全性


ICS中有许多工具可让您根据需要配置安全级别:从免费的ClamAV防病毒软件和Suricata入侵检测系统Eugene Kaspersky的产品,仅通过清晰的Web界面进行配置。



只需单击几下,即可配置相同的不可替代的fail2Ban


而且,ICS可以使用来自网络设备的netflow协议监视流量,而无需通过自身传递流量。

通信面包



员工的沟通不仅可以通过电话和邮件进行组织


还可以通过刺刀。 没错,很少有人记得这种协议。

Web服务器:
在IKS上,甚至还有一个具有PHP支持的Web服务器。 如果您有HTTPS证书,则可以安装它,或者指定ICS接收免费的Let's Encrypt。


这足以托管名片网站或广告登录页面。 但是您无法通过繁琐的门户网站使用自定义模块。 对我来说,这是愚蠢的。 尽管如此,网关仍应保留为网关。

灵活的监视和通知设置。
警报甚至可以发送到Telegram。 在俄罗斯联邦的现实中,甚至有可能通过代理发送消息。


总结



ICS Internet网关几乎包含操作小型办公室所需的所有组件。
同时,新手系统管理员可以配置所有这些。

尽管事实上FreeBSD都不构建该系统,但是没有ssh访问它。 也就是说,没有拐杖,您将无法安装PHP模块。 我们必须满足于我们所拥有的...或者要求支持来完成它。

无论如何,从一开始就下载35天的试用版,并检查此网关是否适合您。

许可证没有到期日期,但是尽管如此,其成本还是可以承受的

在综合测试的测试台上,该系统被证明是足够的。

如果客户批准了,您会很感兴趣的是该系统将如何“战斗”,那么3到6个月后,我将写一篇有关所有出现的问题和困难的评论。 如果可能,请检查技术支持的质量。

在评论中,我正在等待您的提问,这些问题需要在战斗使用中进行详细介绍。

Source: https://habr.com/ru/post/zh-CN477530/

More articles:


All Articles