Dobrý den, milí čtenáři blogu TS Solution, pokračujeme v sérii článků pro řešení NGFW CheckPoint v segmentu SMB. Pro pohodlí se můžete seznámit s modelovou řadou, prostudovat vlastnosti a možnosti v , poté doporučujeme přejít k vybalení a počátečnímu nastavení na příkladu skutečného zařízení 1590 Check Point v .
Pro ty, kteří se s modelovou řadou SMB teprve seznamují - vhodné pro malé kanceláře nebo pobočky do 200 osob (při výběru modelu 1590). Jednou z funkcí této rodiny je podpora bezdrátové komunikace; to může být užitečné, když má infrastruktura zařízení, která mají WiFi adaptér nebo NGFW potřebuje přístup k internetu prostřednictvím mobilní komunikace. Pro uvedené úkoly budete potřebovat technologie: WiFi, LTE. O tom je tento článek, kde se podíváme na:
- Povolení a konfigurace režimu NGFW WiFi.
- Povolení a konfigurace provozního režimu LTE NGFW.
- Obecné závěry o bezdrátových technologiích pro NGFW.
NGFW a WiFi
Pokud se vrátíme k části 2 naší série, nechali jsme možnost bezdrátového připojení uživatele deaktivovanou, takže musíte přejít na kartu Zařízení → Síť → Bezdrátové
Na snímku obrazovky, který jsem poskytl, jsou dva možné provozní režimy WiFi:
- 2.4 GHz je frekvence, kterou podporuje většina generací různých bezdrátových zařízení.
- 5 GHz je frekvence, která je moderním standardem pro práci s bezdrátovými zařízeními, podporu mají všechny moderní smartphony, tablety a notebooky.
Také ze snímku obrazovky (výše) si můžete všimnout, že jsem již povolil provozní režim 5 GHz, pojďme společně nastavit 2.4 GHz, klikněte na tlačítko "Konfigurovat".
V okně vytvoření přístupového bodu jsme požádáni o zadání standardní sady parametrů. Jako metodu ověření můžete použít heslo nebo server Radius. Možnost „Povolit přístup z této sítě k místním sítím“ je zodpovědná za přístup vašich bezdrátových klientů k interním zdrojům, které jsou umístěny za Check Point NGFW. Jakmile je váš bod nakonfigurován, můžete změnit další parametry.
Dostupná nastavení
Poté, co se testované zařízení připojí k vašemu přístupovému bodu, můžeme se ujistit, že je v naší síti, přejděte na kartu: Protokoly a monitorování → Stav → Bezdrátová aktivní zařízení
Pokud klikneme na objekt s názvem, zobrazí se nám vlastnosti připojeného klienta:
Kromě informací o zařízení považuji za užitečné možnosti:
- uložit objekt pro použití v pravidlech (1);
- zablokovat přístup k tomuto klientovi (2).
Dále na základě našeho nastavení pro Application Blade (v terminologii CheckPoint jeden z modulů) je klikání na potenciálně nebezpečné odkazy zakázáno.
Snažíme se otevřít jednu z kategorií na mobilním zařízení připojením přes WiFi k NGFW Check Point a podle toho přes něj přistupovat k internetu.
Závěr: Uživateli se nepodařilo získat přístup k webu, který patří do kategorie Anonymizér.
Podívali jsme se tedy na základní nastavení pro připojení uživatelů pomocí WiFi, což se hodí v malých kancelářích, kde je mnoho bezdrátových zařízení. Řešení Check Point NGFW vám zároveň umožňuje chránit vaše uživatele před zranitelností a škodlivým obsahem a máte flexibilní možnosti monitorování bezdrátových hostitelů. Samostatně bych zmínil administraci pomocí mobilní aplikace, způsob byl popsán v jedné z našich .
NGFW a LTE
Modely 1570, 1590 jsou dodávány s LTE modemem, který umožňuje používat Micro/Nano SIM a navázat tak připojení 4G. Pro zvědavce necháme pod spoilerem krátkou připomínku.
Pokyny pro instalaci SIM karty
Takže jste nainstalovali SIM kartu, poté se musíte vrátit na portál Gaia a přejít k další části Zařízení → Síť → Internet. Ve výchozím nastavení budete mít jedno připojení WAN, nové připojení musíte vytvořit podle červené šipky.
Kde budeme potřebovat nastavit název připojení, určit typ rozhraní (v našem případě Cellular)
Kromě toho otevřete kartu "Monitorování připojení", zde je možné automaticky odeslat: požadavek ARP na výchozí trasu, pakety ICMP do zadaných zdrojů, podotýkám, že můžete určit své zdroje pro monitorování.
Tab "Buněčný" je odpovědný za volbu priorit mezi SIM, případně zadání autentizačních údajů (APN, PIN).
V záložce "Pokročilý" Je možné nastavit síťová nastavení:
- nastavení rozhraní (MTU, MAC)
- QOS
- Redundance ISP
- NAT
- DHCP
Po vytvoření nového typu připojení najdete tabulku připojení k Internetu Zařízení → Síť → Internet:
Na výše uvedeném snímku obrazovky vidíme nové připojení „LTE_TELE2“, jak jste možná uhodli, jedná se o SIM od poskytovatele Tele2. Tabulka poskytuje informace o úrovni signálu, ukazuje procento ztrát a dobu zpoždění. Navíc je možné otevřít volbu Sledování připojení.
V monitorovacím okně vidíme výsledky odesílání požadavků až na tři servery, jeden z nich je vlastní (ya.ru). Zobrazeno zde:
- procento ztráty paketů;
- procento síťových chyb;
- doba odezvy (průměrná, minimální a maximální);
- nervozita.
Pokud vás zajímají systémové informace o LTE modemu na NGFW Check Point, měli byste jít na Protokoly a monitorování→ Diagnostika → Nástroje → Monitorovat mobilní modem:
Dále jsme analyzovali rychlost přístupu k internetu pro koncového hostitele, který je připojen k NGFW přes WiFi (5 GHz) a samotná brána využívá LTE připojení k odesílání paketů do Global Network. Získané hodnoty jsme porovnali se situací, kdy je použita stejná geografická poloha, ale telefon se připojuje přímo k internetu. Pro větší pohodlí jsou výsledky skryty pod spoilerem.
Výsledky SpeedTest
Tyto indikátory mají samozřejmě chyby a své vlastní charakteristiky, předložme hypotézu: NGFW 1590 zesiluje výkon příchozího celulárního signálu pomocí dvou externích antén. Toto tvrzení nepřímo potvrzují výsledky testu SpeedTest provedeného za stejných podmínek a vykazující snížení pingu a latence na stejný zdroj.
Zařízení
NGFW+LTE
Mobil + LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Příchozí rychlost (Mbp/s)
16.1
12
Odchozí rychlost (Mbp/s)
10.9
2.97
Abychom mohli vyhodnotit účinnost externích antén NGFW Check Point 1590, změřili jsme úroveň příjmu signálu a poté jsme pomocí inženýrského menu provedli podobné měření pro telefon. Výsledky jsou uvedeny níže:
V souladu s tím je úroveň výkonu příjmu signálu považována za nejlepší, když její záporná hodnota směřuje k 0. Hodnota získaná pro telefon byla (-109 dBm), pro modem (-61 dBm). Což obecně potvrzuje naši hypotézu a ukazuje na stabilitu LTE komunikace rodiny NGFW SMB.
Obecné závěry
Shrneme-li dnešní díl, uvažovalo se o dvou technologiích: WiFi a LTE, které podporují modely 1570, 1590 Check Point.
Pro malé kanceláře a pobočky není vždy možné instalovat samostatné bezdrátové přístupové body, takže NGFW pomůže zorganizovat bezdrátovou síť, a co je nejdůležitější, ochrání takové uživatele.
Pokud jde o modem LTE založený na NGFW, podle mého názoru budou požadovány následující případy použití:
- Chybí kabelové připojení k internetu. V takovém případě budete nuceni k poskytování internetového připojení použít mobilní komunikaci. Tento scénář je relevantní i pro konkrétní společnosti, jejichž typ činnosti vyžaduje „mobilní“ umístění své síťové infrastruktury bez ohledu na podmínky (terén, dostupnost kabelové komunikace atd.).
- Rezervace hlavního kanálu pro kabelový přístup. Dovolte mi připomenout, že NGFW podporuje práci se dvěma SIM, což zvyšuje odolnost vaší infrastruktury proti chybám v případě nehody s jedním z kabelových spojů. V závislosti na scénáři použití můžete také ručně povolit připojení LTE.
. Zůstaňte naladěni (, , , , ).
Zdroj: www.habr.com