Куда и как развиваться
Исходя из существовавших на тот момент бизнес-процессов, удалённые филиалы должны работать на серверах корпоративного ЦОД, расположенного на территории завода в Санкт-Петербурге.
Всё решилось после подсоединения третьего филиала. Увеличение числа пользователей перешло некоторую критическую отметку и «старый-добрый» Microsoft Forefront TMG просто перестал «тянуть» в условиях увеличения нагрузки.
В то время компания взяла тренд на развитие сети собственной дистрибуции с расположением филиалов по всей России. Был намечен план развития с открытием до пяти филиалов в месяц, то есть планировался ощутимый рост всего, в первую очередь — трафика. Требовалась переделка всей сетевой инфраструктуры с направленностью на масштабирование. Стало понятно, что программные продукты универсального типа уже не подходят в качестве замены сетевого оборудования для внешней сети. Потребовалось специализированное аппаратное решение.
О проведении работ по внедрению
Все операции производятся собственными силами IT отдела компании ESTEL.
Например, полный цикл замены центрального шлюза на ZyWALL 1100 в центральном офисе, включающий: изучение, настройку, тестирование и ввод в эксплуатацию межсетевого оборудования — на это ушло 2 месяца. Как уже писали ранее, это важнейший узел распределённой сети, при запуске которого следует учесть все нюансы.
Леонид Немцов так комментирует этот этап:
«Дальнейший ввод оборудования в эксплуатацию затруднений не вызывал, так как всё оборудование настраивалось аналогично. Кроме того, нашими специалистами были пройдены курсы и сданы экзамены Zyxel Certified Network Engineer (ZCNE) Security Level 1 и 2, а также ZCNE Switch Level 1 и 2, что очень помогло разобраться в тонких настройках».
Примечательно, что первоначально взяли на тестирование Zyxel ZyWALL 310 и потом перешли к более серьёзному оборудованию
В принципе, такой подход оправдан, ведь помимо центрального узла очень важно иметь надёжные устройства на периферии
Выбор оборудования
Сеть передачи данных — сама по себе вещь довольно консервативная. А уж если речь идёт о распределённой централизованной инфраструктуре… Ничего хорошего в том, если центральный узел постоянно выходит из строя, и всем приходиться приостанавливать работу. Мелкие аварии на удалённых точках тоже могут доставить немало проблем — нужно как-то передавать сбойные устройства, отправлять им замену, в общем, тоже хлопот хватает.
Факторы, которые встали во главу угла при формировании списка требований:
Один вендор для всего: от точек доступа до центральных скоростных коммутаторов. Очень уж не хотелось разводить зоопарк различного оборудования от разных производителей и потом иметь трудности в обслуживании и модернизации. Помимо техподдержки в рамках «одного окна», есть потребность в создании единой экосистемы, когда всё оборудование легко интегрируется и без проблем взаимодействует между собой.
Доступность в России
Это важно. Купить замечательное устройство с кучей полезных функций, которое можно привезти, например, из США или другой удалённой страны, и потом при малейшей проблеме отправлять его по гарантии и терпеливо ждать, когда приедет замена… Такой вариант точно не подходит для динамичного бизнеса
Важно, чтобы все проблемы решались здесь и сразу, а не через неопределённое время после длительной переписки с заокеанскими коллегами.
Цена. Для независимого бизнеса, который зарабатывает свои деньги самостоятельно, стоимость решения — такой же важный фактор, как и эффективность. Понятно, что бесплатный сыр бывает только в мышеловке, но переплачивать никому не хочется. Поэтому нужны устройства надёжные и недорогие.
Простота управления. Чем проще и быстрее можно разобраться, установить, настроить и потом передать управление в техподдержку — тем лучше. И ещё важна хорошая документация, написанная по принципу: «прочитал и сделал».
Производительность, количество внешних линий, наличие определённых функций — это, несомненно, важные показатели. Но не менее важно постоянное развитие. Нужно быть уверенным в том, что через год, два, десять лет эта компания будет не просто формально присутствовать на рынке, а вести постоянный НИОКР и обновлять парк предлагаемых моделей.
Известное имя. Подытожив всё вышесказанное, становится понятно, что это должен быть не новоявленный полубренд, а известная компания с хорошей репутацией на рынке.
Одним из главных претендентов на роль такого вендора была компания Cisco Systems. Однако сразу остановила высокая цена.
Потом стали рассматривать предложения других известных брендов, которые так же соответствуют заявленным требованиям, но более скромны в финансовом вопросе. Рассматривалось оборудование пяти ведущих мировых производителей.
В итоге остановились на Zyxel.
Ниже комментарий IT директора компании ESTEL Леонида Немцова:
«Мы остановились на решениях Zyxel, потому что только здесь обнаружились отличное соотношение цена/качество, широкая линейка продукции бизнес-сегмента, удобство и простота первоначальной настройки»
Что с WiFi?
Отдельно стоит рассказать о внутренней WiFi сети.
WiFi раздаёт несколько SSID (несколько VLAN): гостевой/рабочий
В качестве контроллера точек доступа центрального офиса выступает ZyWALL 1100 с дополнительными лицензиями на управление точками доступа
На каждой площадке (филиале) организован бесшовный роуминг.
Точки доступа WiFi, установленные на складе, позволяют использовать беспроводные складские терминалы (сканеры кодов), что позволяет автоматизировать многие функции логистики и складского учёта.
К сожалению, промышленное оборудование само по себе довольно консервативное и не всегда поддерживает новый формат. В частности, это удерживает от перехода на WiFi 6 (пока не планируется).
Не только безопасность
Как говорится, безопасность — безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?
Много разных VPN
Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым «полевым» офисам.
Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах — всё равно можно настроить подключение по VPN к удалённому офису.
Для чего нужна расширенная подписка?
При построении защищённых сетей возникает противоречивая ситуация. С одной стороны, необходимо установить высокий уровень безопасности без разделения предприятий на малые и большие (бедные и богатые, столичные и провинциальные и так далее). С другой стороны, для каждой ситуации необходим индивидуальный подход. Порой приходится работать максимально гибко, с привлечением набора дополнительных, но необязательных функций. Для этого и существует расширенная подписка
Расширенная подписка добавляет лицензии на Unified Threat Management для поддержки функций:
- Web Filtering — Блокирование доступа к опасным и подозрительным web-сайтам;
- IPS (IDP) — проверка пакетов на наличие вредоносного кода;
- Application Patrol — анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
- Anti-Malware —проверка файлов и выявление опасных «сюрпризов» с использованием облачных мощностей;
- Email Security — поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
- SecuReporter — расширенный анализ в области безопасности, построение подробных отчётов.
Пакет сервисов Hospitality
USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.
Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.
Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.
Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.
SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.
Миграция без усилий и проблем
Если используются лицензии серии USG — в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.
Процесс реализации и внедрения
Zyxel обеспечивает простое управление устройствами, а хорошая подробная документация помогает быстро войти в курс дела. Поэтому не было проблем из серии: «Не могу понять, как это работает.
Разумеется, всегда нужно тщательно разобраться в принципах работы устройств, его настройках, провести тестирование, отработать на стенде и только потом внедрять в production. Это рабочий процесс, который всегда должен присутствовать.
Леонид Немцов также подчеркнул, что нужно обязательно заботиться об уровне образования и обеспечивать профессиональный рост. В противном случае не будет никакого развития компании. Какое бы дорогое оборудование ни закупалось, в первую очередь всё решают люди, которые с ним работают.
Что не подошло
При первичном изучении и во время тестирования было решено попробовать сервисы безопасности, предлагаемые Zyxel на аппаратном уровне. Среди них антивирус, антиспам, патруль и т.п. Однако их включение резко снизило производительность шлюза. Поэтому пришлось отказаться от использования встроенных функций в центральном офисе и перейти на сторонние решения. В удалённых офисах применение встроенных функций частично имеет место.
Также Леонид Немцов отметил, что шлюзы USG20 и USG20W скорее относятся к СМБ сектору и в корпоративной сети могут использоваться весьма ограниченно, для подключения совсем небольших объектов.