Добры дзень, паважаныя чытачы блога TS Solution, мы працягваем цыкл артыкулаў для рашэнняў NGFW СheckPoint сегмента SMB. Для выгоды вы можаце азнаёміцца з мадэльным побач, вывучыць характарыстыкі і магчымасці ў , далей прапануем звярнуцца да распакавання і першаснай наладзе на прыкладзе рэальнага абсталявання 1590 Check Point ва .
Для тых хто толькі знаёміцца з мадэльным побач SMB падыходзіць у малыя офісы або філіялы да 200 чалавек (пры выбары мадэлі 1590). Адной з асаблівасцяў дадзенага сямейства з'яўляецца падтрымка бесправадной сувязі, гэта можа быць карысна, калі ў інфраструктуры ёсць прылады, якія маюць WiFi-адаптар або NGFW патрэбен выхад у Інтэрнэт з дапамогай мабільнай сувязі. Для пералічаных задач вам будуць неабходныя тэхналогіі: WiFi, LTE. Аб гэтым дадзены артыкул, дзе разгледзім:
- Уключэнне і настройка WiFi-рэжыму працы NGFW.
- Уключэнне і настройка LTE-рэжыму працы NGFW.
- Агульныя высновы аб бесправадных тэхналогіях для NGFW.
NGFW і WiFi
Калі вярнуцца да 2 часткі нашага цыклу, то мы пакінулі опцыю бесправаднога падлучэння карыстачоў выключанай, таму неабходна перайсці ва ўкладку Device → Network → Wireless
На прыведзеным мною скрыншоце маецца два магчымыя рэжыму працы WiFi:
- 2.4/XNUMX Ггц - частата, якая падтрымліваецца большасцю пакаленняў розных бесправадных прылад.
- 5 Ггц - частата, якая з'яўляецца сучасным стандартам для працы з бесправаднымі прыладамі, падтрымка ёсць ва ўсіх сучасных смартфонах, планшэтах і наўтбуках.
Таксама з скрыншота (вышэй) можна адзначыць, што я ўжо ўключыў 5 Ггц рэжым працы, давайце сумесна наладзім 2.4/XNUMX Ггц, для гэтага націсніце на кнопку "Configure".
У акне стварэння кропкі доступу нам прапануюць пазначыць стандартны набор параметраў. У якасці метаду аўтэнтыфікацыі можна выкарыстоўваць пароль або Radius-сервер. Опцыя "Allow access from this network to local networks" адказвае за доступ вашых бесправадных кліентаў да ўнутраных рэсурсаў, якія знаходзяцца за Check Point NGFW. Пасля таго як ваша кропка будзе сканфігуравана, вы зможаце змяняць больш параметраў.
Даступныя наладкі
Пасля таго, як тэставаная прылада падлучылася да вашай кропкі доступу, мы можам пераканацца што яно ў нашай сетцы, перайдзіце ва ўкладку: Logs & Monitoring → Status → Wireless Active Devices
Калі націснуць па аб'екце з імем, то мы ўбачым уласцівасці падлучанага кліента:
Акрамя інфармацыі аб прыладзе, лічу карысныя опцыі:
- захаваць аб'ект для выкарыстання ў правілах (1);
- блакаваць доступ дадзенаму кліенту (2).
Далей зыходзячы з нашых налад па Application Blade (у тэрміналогіі СheckPoint адзін з модуляў) - забаронены пераход па патэнцыйна небяспечных спасылках.
Спрабуем адкрыць адну з катэгорый на мабільнай прыладзе, падлучыўшыся з дапамогай WiFi да NGFW Check Point і адпаведна выходзячы праз яго ў Інтэрнэт.
Выснову: Карыстальнік не змог атрымаць доступ да сайта, які адносіцца да катэгорыі - Anonymizer.
Такім чынам, мы з вамі разгледзелі базавую наладу для падлучэння карыстальнікаў з дапамогай WiFi, гэта зручна ў невялікіх офісах, дзе дастаткова шмат бесправадных прылад. Пры гэтым рашэнне Check Point NGFW дазваляе абараніць вашых карыстачоў ад уразлівасцяў і шкоднаснага змесціва, вы маеце гнуткія магчымасці па кантролі за бесправаднымі хастамі. Асобна згадаю адміністраванне з дапамогай мабільнага прыкладання, спосаб быў апісаны ў адной з нашых .
NGFW і LTE
Мадэлі 1570, 1590 ідуць з LTE-мадэмам, які дазваляе выкарыстоўваць Micro/Nano SIM і ўсталёўваць за рахунак гэтага 4G злучэнне. Для дапытлівых пад спойлерам пакінем кароткую памятку.
Інструкцыя для ўстаноўкі SIM
Такім чынам вы ўстанавілі SIM, пасля гэтага неабходна вярнуцца ў Gaia Portal і перайсці ў наступны раздзел Device → Network → Internet. Па змаўчанні ў вас будзе ўсталявана адно WAN-злучэнне, неабходна стварыць новае падлучэнне пяройдучы па чырвонай стрэлцы.
Дзе нам трэба будзе задаць імя злучэння, вызначыць тып інтэрфейсу (у нашым выпадку Cellular)
Дадаткова адкрыем ўкладку "Connection Monitoring", тут ёсць магчымасць аўтаматычна адпраўляць: ARP-запыт да маршруту па змаўчанні, ICMP-пакеты да ўказаных крыніц, заўважу што вы можаце ўказваць свае рэсурсы для маніторынгу.
ўкладка "Cellular" адказвае за выбар прыярытэтаў паміж SIM, увод дадзеных аўтэнтыфікацыі, калі гэта патрабуецца ( APN, PIN).
Ва ўкладцы «Пашыраны» ёсць магчымасць задаць сеткавыя наладкі:
- настройкі для інтэрфейсу ( MTU, MAC)
- QOS
- ISP Redundancy
- NAT
- DHCP
Пасля таго як вы створыце новы від падлучэння, вы выявіце табліцу Internet-злучэнняў у Device → Network → Internet:
На скрыншоце прадстаўленым вышэй мы бачым новае злучэнне "LTE_TELE2", як вы ўжо здагадаліся гэта SIM ад правайдэра Tele2. У табліцы даступная інфармацыя аб узроўні сігналу, паказаны працэнт страт і час затрымкі. Дадаткова магчыма адкрыць опцыю Connection Monitoring.
У акне маніторынгу мы бачым вынікі адпраўкі запытаў да трох сервераў, адзін з іх кастамны (ya.ru). Тут адлюстроўваецца:
- працэнт страты пакетаў;
- працэнт сеткавых памылак;
- час водгуку ( сярэдняе, мінімальнае і максімальнае);
- джытэр.
Калі вас цікавіць сістэмная інфармацыя аб LTE-мадэме на NGFW Check Point, тое варта перайсці ў Logs & Monitoring→ Diagnostics → Tools → Monitor Cellular Modem:
Далей мы прааналізавалі хуткасць выхаду ў Інтэрнэт для канчатковага хаста, які падлучаны да NGFW па WiFi (5 Ггц), а сам шлюз выкарыстоўвае LTE падлучэнне для адпраўкі пакетаў у Глабальную сетку. Атрыманыя значэння мы параўналі з сітуацыяй, калі выкарыстоўваецца тое ж геаграфічнае месца, але тэлефон падключаецца ў Інтэрнэт напрамую. Вынікі для зручнасці схаваныя пад спойлер.
Вынікі SpeedTest
Вядома дадзеныя паказчыкі маюць хібнасць і свае асаблівасці, давайце вылучым гіпотэзу: NGFW 1590 узмацняе магутнасць уваходнага сотавага сігналу за рахунак двух вонкавых антэн. Ускосна гэтае сцвярджэнне пацвярджаюць вынікі SpeedTest, праведзеныя ў аднолькавых умовах і паказваюць памяншэнне Ping і чакай затрымкі да аднолькавага рэсурсу.
аб'ект
NGFW + LTE
Mobile + LTE
Пінг (мс)
30
34
Jitter (ms)
7.2
5.2
Уваходная хуткасць (Mbp/s)
16.1
12
Выходная хуткасць (Mbp/s)
10.9
2.97
Для таго каб ацаніць эфектыўнасць вонкавых антэн NGFW Check Point 1590 мы вымералі ўзровень прыёму сігналу, пасля чаго з дапамогай інжынернага меню выконваем аналагічны замер для тэлефона. Вынікі прадстаўлены ніжэй:
Адпаведна ўзровень магутнасці прыёму сігналу лічыцца лепшым, калі яго адмоўнае значэнне імкнецца да 0. Для тэлефона атрымана значэнне (-109 ДБм), для мадэма (-61 ДБм). Што ў цэлым пацвярджае нашу гіпотэзу і кажа аб стабільнасці LTE-сувязі NGFW сямейства SMB.
агульныя высновы
Падводзячы вынік сённяшняй часткі, былі разгледжаны дзве тэхналогіі WiFi і LTE, якія падтрымліваюцца мадэлямі 1570, 1590 і Check Point.
Для малых офісаў і філіялаў не заўсёды ёсць магчымасць устанавіць асобныя бесправадныя кропкі доступу, таму NGFW дапаможа арганізаваць бесправадную сетку, а самае галоўнае абараніць такіх карыстальнікаў.
Што тычыцца LTE-мадэма на базе NGFW, на мой погляд наступныя сцэнары выкарыстання будуць запатрабаваны:
- Адсутнасць магчымасці праваднога падлучэння для выхаду ў Інтэрнэт. У такім выпадку вы будзеце змушаныя выкарыстоўваць мабільную сувязь для забеспячэння злучэння Інтэрнэт. Таксама дадзены сцэнар актуальны для спецыфічных кампаній, род дзейнасці якіх патрабуе "мабільнага" размяшчэння сваёй сеткавай інфраструктуры, незалежна ад умоў (мясцовасць, наяўнасць правадной сувязі і г.д).
- Рэзерваванне асноўнага праваднога канала доступу. Нагадаю, што NGFW падтрымлівае працу з двума SIM, гэта павялічвае адмоваўстойлівасць вашай інфраструктуры ў выпадку аварыі з адным з правадных лінкаў. Таксама вы можаце ўручную ўключаць LTE-падлучэнне, у залежнасці ад сцэнара выкарыстання.
. Сачыце за абнаўленнямі (, , , , ).
Крыніца: habr.com