Это ссылки на мои статьи, там подробные примеры как работаю с межсетевым экраном и другими функциями, связанные с информационной безопасностью в различных сценариях ИТ инфраструктуры в реальных условиях.
К сожалению нет. Делали прозрачный прокси на прокси-сервере, потом работали с ним на железке, поддерживающую функционал прозрачного прокси. В обоих случаях ГРАНД-Смета не выкачивала обновления, выдавала ошибку про невозможность выкачать файл через HTTP. У вебинаров на базе BBB микрофон и звук отваливался.
Помог только полный перевод на МСЭ без всяких проксирований. Но, как потом выяснилось, доступ к веб-ресурсам нужно осуществлять по URL, о чём и повествует статья.
Парк ПК большой и при установке Линукс с апдейтами каждый раз прописывать прокси занимает время. Чтобы техперсонал не тратил время на настройку прокси, доступ по URL до *.ubuntu.com разрешён правилом файрволла на шлюзе и апдейты автоматически сами выкачиваются.
Спасибо за ваш комментарий. Бухгалтерская бюрократия на закупку сетевой карты (или сервера) + отсутствие нужной штатной единицы (сисадмина) приводят к тому, что решаем вопрос имеющимися средствами.
Не осмотр, а проверку, скорее. Особенно если из коробки доставать надо. И с какой-то стороны я продавцов тут понимаю. Один посмотрит десяток мониторов, выберет, а остальные придётся продавать уже распакованными.
В большинстве случаев на коробках присутствует маркировка, не требуется вскрытие упаковки.
Я с тендерами только со стороны продавца немножко дело имел. По работе же всё просто — выставил счёт на оплату да отнёс в бухгалтерию. Дадут добро — оплатят, не дадут — в следующем месяце попробуем. Но покупаешь что хочешь и у кого хочешь, лишь бы НДС вычесть можно было.
Если RAID-контроллер или накопитель неожиданно вышел из строя. Ищешь нужную модель в наличии, запрашиваешь три коммерческих предложения одного и того же товара у разных магазинов и запускаешь процедуру размещения на аукционе.
Но проблемы сразу начинаются при запросе коммерческого предложения. Либо не присылают коммерческое предложение, либо нет в наличии у кого-нибудь. Предлагают аналог, а уверенности в совместимости нет.
Это так растягивает время. Если смог собрать все три коммерческих предложения (уходит 1-2 недели), потом неделю собираешь подписи у бухов и руководства на одобрение закупки (уходит 1 неделя). Закупку размещают на аукционе, но никто не приходит участвовать, т.к. товар исчез на складах, либо курс скакнул.
Почему долго? У меня же свои обязанности по монтажу и поддержанию СКС, сетевого оборудования, реально некогда заниматься закупкой.
Сразу нужно было покупать...поэтому избегаю серверов, по возможности )
проблемы номер 2 и 3 решатся выпуском трафика на определенные dst addr (и подсети) через nat. пример с гранд-сметой:
Это хороший вариант. Были сложности с реализацией. У ГРАНД-Сметы, *.webinar.ru, archive.ubuntu.com и других сайтов есть много разных IP на одно имя сайта. Отечественные аппаратные МСЭ в прошлом году не умели работать с именами сайтов, только по IP могут работать в правилах МСЭ, хотя сегодня может что поменялось у них.
Причём у сайтов IP уйма и постоянно менялись без предупреждений. Техподдержка снова как обычно: "Разрешайте сайты по именам!"
Не реклама, но снова выручил шлюз Zyxel с поддержкой FQDN имён в правилах МСЭ. Как это реализовал - об этом в другой публикации расскажу.
У нас в Университете интернет есть на всех компьютерах в сети, но ДНС и сегментация сети умело режет не нужное.
А если студент без авторизации нашёл запрещённый ресурс, о котором никто не знает, и сёрфится там, пишет нехорошие комментарии? Как боретесь?
Но санкции могут подкрасться внезапно.
Санкции вроде подкрались, разве лицензии для Win Server и саму Win11 можно закупить? А вдруг завтра переустановленную Винду не получится активировать. Недавно Win7 с большим трудом активировал, ошибку выдавал.
Переходим на отечественное ПО, ему Microsoft вряд ли нужен.
а потом стали в Ф-Центр на Бабушкинской ездить. :)
Хороший магазин, полный прайс-лист, с подробным описанием. Раньше необходимое закупали в таких магазинах, не парились с подбором аналогов. Всегда можно было приехать и перед оплатой за товар удостовериться, что накопитель, RAID-контроллер или проц нужной ревизии. Сейчас розничных магазинов с широким ассортиментов за пределами Москвы почти нет. Почти вся торговля ИТ ушла в онлайн. Фото в каталогах не всегда сходится с настоящим товаром. Серверы быстро устаревали в модельном ряду, сложно было найти через 3-5 лет и докупить совместимые детали, так как доступные к продаже детали были свежее ревизиями и могли не подойти из-за несовместимости ревизий.
Ещё осмотр товара перед оплатой упразднили, сначала оплата в кассу, а потом осмотр. Если товар не устроил, оформляйте процедуру возврата денег за неподходящий товар. Это столько времени отнимает.
Мы же не из Москвы, все нужные товары находятся в основном в Москве и заказ товара обычно после полной 100% предоплаты.
Жаль, что в настоящее время в розницу ничего не купить, всё только через тендер (прямые закупки большая редкость, либо ограничение по бюджету). Причём перед работой с ТЗ, нужно ознакомиться с предлагаемыми товарами на рынке и в ТЗ суметь указать такие теххарактеристики , чтобы поставщик не подсунул аналог или несовместимые по ревизии детали. Но как показывает практика, всё равно найдётся аналог сильно дешевле, проходит по ТЗ, но не заработал по каким-нибудь причинам (прошивка, ревизия, рабочее напряжение).
Один из примеров по сетевому оборудованию, коммутаторы HP не хотят работать с неоригинальными SFP-модулями, хотя на бумаге по характеристикам SFP-модули HP и аналог ничем не отличаются. Такая же проблема и с дешёвыми китайскими ноунейм SFP-модулями для маршрутизаторов Элтекс, распознаются, но очень плохо работают.
Вообще, мне вся эта статья кажется притянутой за уши — изобрели проблему и теперь её решаете вместо того, чтобы оптимизировать работу хотя бы размещением дистрибутивов в локальной сети.
Да, есть проблема с оптимизацией работы, но чтобы поднять сервер с дистрибутивами в локальной сети - нужен специалист, который займётся этим и будет это поддерживать в актуальном состоянии. Такого спеца нет.
Мне хватает своей работы, связанная с СКС и сетевым оборудованием.
Недостатки наличия сервера тоже притянуты за уши. ИБП всё равно должны быть, термопасту серверам никто не меняет, накопители меняются на горячую если вдруг что, однорэковые сервера тоже бывают и т.п.
Термопаста со временем высыхает и хуже отводит тепло, соответственно, процы будут перегреваться и подвисать или автоматически снижать производительность.
Накопители для серверов и батареи нужно своевременно закупать, с этим тоже беда. Нужен толковый закупщик, который сумеет правильные и совместимые модели покупать на тендерах. Да и с годами подходящих накопителей может не оказаться в наличии.
Проще необслуживаемую железку поставить, чем с серверами и закупками возиться.
Про флешки забудьте, учреждение не покупает и изнашиваются быстро.Техперсонал восстанавливать софт из образа не желает, софт сильно меняется или начинка ПК поменялась после ремонта и надоедает переписывать образы каждый раз. Им проще всё с нуля быстро всё установить, но увы, для этого нужен хороший интернет на месте.
Для быстрой работы фаервола все адреса допустим из России хранятся в памяти? Сколько они места в RAM занимают? И на сколько стран хватит памяти Zyxel USG Flex 500 что рассмотрен в обзоре?
У USG Flex 500 4 гб оперативки. База всех адресов хранится локально и периодически обновляется. Сколько места занимает, не знаю.
Часть того, о чем вы спрашиваете, написана в нашей статье вот тут.
И тут можно найти.
Чтобы появился IP reputation, нужна лицензия Gold Security Pack.
Артикулы можно найти тут.
С полной версией IP reputation можно ознакомиться на https://atp500demo.zyxel.com.
Это ссылки на мои статьи, там подробные примеры как работаю с межсетевым экраном и другими функциями, связанные с информационной безопасностью в различных сценариях ИТ инфраструктуры в реальных условиях.
Делаем гостевую Wi-Fi сеть в ВУЗе, часть 2. Функции для гостевой Wi-Fi сети
Сервис Гео-IP по версии Zyxel: зачем нужен, функциональность, как настроить?
Университет: как техперсоналу получить полный доступ в интернет в любой точке сети
Университет: как разрешить доступ к сайту по URL в любой точке сети
Трафик, статистика, логи на шлюзах Zyxel
Настройка Wi-Fi «из коробки»
.
.
К сожалению нет. Делали прозрачный прокси на прокси-сервере, потом работали с ним на железке, поддерживающую функционал прозрачного прокси. В обоих случаях ГРАНД-Смета не выкачивала обновления, выдавала ошибку про невозможность выкачать файл через HTTP.
У вебинаров на базе BBB микрофон и звук отваливался.
Помог только полный перевод на МСЭ без всяких проксирований. Но, как потом выяснилось, доступ к веб-ресурсам нужно осуществлять по URL, о чём и повествует статья.
Парк ПК большой и при установке Линукс с апдейтами каждый раз прописывать прокси занимает время. Чтобы техперсонал не тратил время на настройку прокси, доступ по URL до *.ubuntu.com разрешён правилом файрволла на шлюзе и апдейты автоматически сами выкачиваются.
Спасибо за ваш комментарий. Бухгалтерская бюрократия на закупку сетевой карты (или сервера) + отсутствие нужной штатной единицы (сисадмина) приводят к тому, что решаем вопрос имеющимися средствами.
В большинстве случаев на коробках присутствует маркировка, не требуется вскрытие упаковки.
Если RAID-контроллер или накопитель неожиданно вышел из строя. Ищешь нужную модель в наличии, запрашиваешь три коммерческих предложения одного и того же товара у разных магазинов и запускаешь процедуру размещения на аукционе.
Но проблемы сразу начинаются при запросе коммерческого предложения. Либо не присылают коммерческое предложение, либо нет в наличии у кого-нибудь. Предлагают аналог, а уверенности в совместимости нет.
Это так растягивает время. Если смог собрать все три коммерческих предложения (уходит 1-2 недели), потом неделю собираешь подписи у бухов и руководства на одобрение закупки (уходит 1 неделя). Закупку размещают на аукционе, но никто не приходит участвовать, т.к. товар исчез на складах, либо курс скакнул.
Почему долго? У меня же свои обязанности по монтажу и поддержанию СКС, сетевого оборудования, реально некогда заниматься закупкой.
Сразу нужно было покупать...поэтому избегаю серверов, по возможности )
Все ПК с Windows? ПК с Linux есть?
Это хороший вариант. Были сложности с реализацией. У ГРАНД-Сметы, *.webinar.ru, archive.ubuntu.com и других сайтов есть много разных IP на одно имя сайта. Отечественные аппаратные МСЭ в прошлом году не умели работать с именами сайтов, только по IP могут работать в правилах МСЭ, хотя сегодня может что поменялось у них.
Причём у сайтов IP уйма и постоянно менялись без предупреждений. Техподдержка снова как обычно: "Разрешайте сайты по именам!"
Не реклама, но снова выручил шлюз Zyxel с поддержкой FQDN имён в правилах МСЭ. Как это реализовал - об этом в другой публикации расскажу.
А если студент без авторизации нашёл запрещённый ресурс, о котором никто не знает, и сёрфится там, пишет нехорошие комментарии? Как боретесь?
Санкции вроде подкрались, разве лицензии для Win Server и саму Win11 можно закупить? А вдруг завтра переустановленную Винду не получится активировать. Недавно Win7 с большим трудом активировал, ошибку выдавал.
Переходим на отечественное ПО, ему Microsoft вряд ли нужен.
Руководство можно понять, его первым допросят в случае чего. Были случаи. Поэтому халявного интернета без учётки нигде не должно быть.
Чтобы никто без авторизации не смог строчить нехорошие комментарии, не загружал запрещённые материалы.
Хороший магазин, полный прайс-лист, с подробным описанием. Раньше необходимое закупали в таких магазинах, не парились с подбором аналогов. Всегда можно было приехать и перед оплатой за товар удостовериться, что накопитель, RAID-контроллер или проц нужной ревизии. Сейчас розничных магазинов с широким ассортиментов за пределами Москвы почти нет. Почти вся торговля ИТ ушла в онлайн. Фото в каталогах не всегда сходится с настоящим товаром. Серверы быстро устаревали в модельном ряду, сложно было найти через 3-5 лет и докупить совместимые детали, так как доступные к продаже детали были свежее ревизиями и могли не подойти из-за несовместимости ревизий.
Ещё осмотр товара перед оплатой упразднили, сначала оплата в кассу, а потом осмотр. Если товар не устроил, оформляйте процедуру возврата денег за неподходящий товар. Это столько времени отнимает.
Мы же не из Москвы, все нужные товары находятся в основном в Москве и заказ товара обычно после полной 100% предоплаты.
Жаль, что в настоящее время в розницу ничего не купить, всё только через тендер (прямые закупки большая редкость, либо ограничение по бюджету). Причём перед работой с ТЗ, нужно ознакомиться с предлагаемыми товарами на рынке и в ТЗ суметь указать такие теххарактеристики , чтобы поставщик не подсунул аналог или несовместимые по ревизии детали. Но как показывает практика, всё равно найдётся аналог сильно дешевле, проходит по ТЗ, но не заработал по каким-нибудь причинам (прошивка, ревизия, рабочее напряжение).
Один из примеров по сетевому оборудованию, коммутаторы HP не хотят работать с неоригинальными SFP-модулями, хотя на бумаге по характеристикам SFP-модули HP и аналог ничем не отличаются. Такая же проблема и с дешёвыми китайскими ноунейм SFP-модулями для маршрутизаторов Элтекс, распознаются, но очень плохо работают.
Да, есть проблема с оптимизацией работы, но чтобы поднять сервер с дистрибутивами в локальной сети - нужен специалист, который займётся этим и будет это поддерживать в актуальном состоянии. Такого спеца нет.
Мне хватает своей работы, связанная с СКС и сетевым оборудованием.
Термопаста со временем высыхает и хуже отводит тепло, соответственно, процы будут перегреваться и подвисать или автоматически снижать производительность.
Накопители для серверов и батареи нужно своевременно закупать, с этим тоже беда. Нужен толковый закупщик, который сумеет правильные и совместимые модели покупать на тендерах. Да и с годами подходящих накопителей может не оказаться в наличии.
Проще необслуживаемую железку поставить, чем с серверами и закупками возиться.
Из публикации цитирую.
Windows GPO не применишь для Linux рабочих станций.
Удалённое управление не поможет, если ОС с нуля переустанавливается.
Руководство не разрешает удалённое управление, техперсонал по заявкам должен на месте присутствовать.
У USG Flex 500 4 гб оперативки. База всех адресов хранится локально и периодически обновляется. Сколько места занимает, не знаю.
Такому пользователю правило-исключение можно создать в файрволле или отдельную учётку для веб-аутентификации, если руководитель и отдел ИБ разрешают.