Hej, kære læsere af TS Solution-bloggen, vi fortsætter serien af artikler til NGFW CheckPoint-løsninger i SMB-segmentet. For nemheds skyld kan du gøre dig bekendt med modeludvalget, studere egenskaberne og mulighederne i , så foreslår vi, at du vender dig til udpakning og indledende opsætning ved at bruge eksemplet med ægte 1590 Check Point-udstyr i .
For dem, der lige skal stifte bekendtskab med SMB-modeludvalget - velegnet til små kontorer eller filialer på op til 200 personer (ved valg af model 1590). En af funktionerne i denne familie er understøttelse af trådløs kommunikation; dette kan være nyttigt, når infrastrukturen har enheder, der har en WiFi-adapter, eller NGFW har brug for internetadgang via mobilkommunikation. Til de anførte opgaver skal du bruge teknologier: WiFi, LTE. Denne artikel handler om dette, hvor vi vil se på:
- Aktivering og konfiguration af NGFW WiFi-tilstand.
- Aktivering og konfiguration af LTE-driftstilstanden for NGFW.
- Generelle konklusioner om trådløse teknologier til NGFW.
NGFW og WiFi
Hvis vi vender tilbage til del 2 af vores serie, lod vi muligheden for trådløs brugerforbindelse være deaktiveret, så du skal gå til fanen Enhed → Netværk → Trådløs
I det skærmbillede, jeg gav, er der to mulige WiFi-driftstilstande:
- 2.4 GHz er en frekvens, der understøttes af de fleste generationer af forskellige trådløse enheder.
- 5 GHz er en frekvens, der er den moderne standard for at arbejde med trådløse enheder; support findes i alle moderne smartphones, tablets og bærbare computere.
Også fra skærmbilledet (ovenfor) kan du bemærke, at jeg allerede har aktiveret 5 GHz-driftstilstanden, lad os konfigurere 2.4 GHz sammen, for at gøre dette skal du klikke på knappen "Konfigurer".
I vinduet til oprettelse af adgangspunkter bliver vi bedt om at angive et standardsæt af parametre. Du kan bruge en adgangskode eller Radius-server som en godkendelsesmetode. Indstillingen "Tillad adgang fra dette netværk til lokale netværk" er ansvarlig for dine trådløse klienters adgang til interne ressourcer, der er placeret bag Check Point NGFW. Når dit punkt er konfigureret, kan du ændre flere parametre.
Tilgængelige indstillinger
Efter at enheden under test har oprettet forbindelse til dit adgangspunkt, kan vi sikre os, at den er på vores netværk, gå til fanen: Logs og overvågning → Status → Trådløse aktive enheder
Hvis vi klikker på et objekt med et navn, vil vi se egenskaberne for den tilsluttede klient:
Ud over oplysninger om enheden overvejer jeg følgende nyttige muligheder:
- gem objekt til brug i regler (1);
- blokere adgang til denne klient (2).
Baseret på vores indstillinger for Application Blade (i CheckPoint-terminologi, et af modulerne), er det desuden forbudt at klikke på potentielt farlige links.
Vi forsøger at åbne en af kategorierne på en mobilenhed ved at oprette forbindelse via WiFi til NGFW Check Point og følgelig få adgang til internettet gennem det.
Konklusion: Brugeren kunne ikke få adgang til webstedet, som tilhører kategorien Anonymizer.
Derfor har vi set på den grundlæggende opsætning til at forbinde brugere ved hjælp af WiFi; dette er praktisk i små kontorer, hvor der er mange trådløse enheder. Samtidig giver Check Point NGFW-løsningen dig mulighed for at beskytte dine brugere mod sårbarheder og ondsindet indhold, og du har fleksible muligheder for at overvåge trådløse værter. Jeg vil gerne særskilt nævne administration ved hjælp af en mobilapplikation; metoden blev beskrevet i en af vores .
NGFW og LTE
Modellerne 1570, 1590 kommer med et LTE-modem, som giver dig mulighed for at bruge Micro/Nano SIM og derved etablere en 4G-forbindelse. Til de nysgerrige vil vi efterlade en kort påmindelse under spoileren.
Instruktioner til installation af SIM
Så du har installeret SIM-kortet, derefter skal du vende tilbage til Gaia Portal og gå til næste afsnit Enhed → Netværk → Internet. Som standard har du én WAN-forbindelse; du skal oprette en ny forbindelse ved at følge den røde pil.
Hvor vi bliver nødt til at indstille forbindelsesnavnet, skal du bestemme interfacetypen (i vores tilfælde Cellular)
Åbn desuden fanen "Forbindelsesovervågning", her er det muligt automatisk at sende: en ARP-anmodning til standardruten, ICMP-pakker til specificerede kilder, jeg bemærker, at du kan angive dine ressourcer til overvågning.
Tab "Mobil" er ansvarlig for at vælge prioriteter mellem SIM-kort, indtastning af godkendelsesdata, hvis det kræves (APN, PIN-kode).
I fanen "Fremskreden" Det er muligt at indstille netværksindstillinger:
- indstillinger for grænsefladen (MTU, MAC)
- QOS
- ISP redundans
- NAT
- DHCP
Når du har oprettet en ny forbindelsestype, vil du finde en tabel over internetforbindelser i Enhed → Netværk → Internet:
I skærmbilledet ovenfor ser vi en ny forbindelse "LTE_TELE2", som du måske har gættet, er dette et SIM-kort fra Tele2-udbyderen. Tabellen giver information om signalniveauet, viser procentdelen af tab og forsinkelsestid. Derudover er det muligt at åbne muligheden Forbindelsesovervågning.
I overvågningsvinduet ser vi resultaterne af at sende anmodninger til op til tre servere, en af dem er brugerdefineret (ya.ru). Vist her:
- pakketabsprocent;
- procentdel af netværksfejl;
- responstid (gennemsnit, minimum og maksimum);
- ryste.
Hvis du er interesseret i systemoplysninger om LTE-modemmet på NGFW Check Point, så skal du gå til Logfiler og overvågning → Diagnostik → Værktøjer → Overvåg mobilmodem:
Dernæst analyserede vi hastigheden af internetadgang for slutværten, som er forbundet til NGFW via WiFi (5 GHz), og selve gatewayen bruger en LTE-forbindelse til at sende pakker til det globale netværk. Vi sammenlignede de opnåede værdier med situationen, når den samme geografiske placering bruges, men telefonen opretter direkte forbindelse til internettet. For nemheds skyld er resultaterne skjult under en spoiler.
SpeedTest resultater
Selvfølgelig har disse indikatorer fejl og deres egne karakteristika, lad os fremsætte en hypotese: NGFW 1590 forstærker styrken af det indkommende cellulære signal ved hjælp af to eksterne antenner. Denne erklæring er indirekte bekræftet af resultaterne af SpeedTest, udført under de samme forhold og viser et fald i Ping og latens til den samme ressource.
objekt
NGFW+LTE
Mobil+LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Indgående hastighed (Mbp/s)
16.1
12
Udgående hastighed (Mbp/s)
10.9
2.97
For at evaluere effektiviteten af de eksterne NGFW Check Point 1590-antenner målte vi signalmodtagelsesniveauet, og ved hjælp af ingeniørmenuen udførte vi en lignende måling for telefonen. Resultaterne er præsenteret nedenfor:
Følgelig anses signalmodtagelseseffektniveauet for at være bedst, når dets negative værdi har tendens til 0. Den opnåede værdi for telefonen var (-109 dBm), for modemmet (-61 dBm). Hvilket generelt bekræfter vores hypotese og indikerer stabiliteten af LTE-kommunikationen i NGFW SMB-familien.
Generelle konklusioner
For at opsummere dagens del blev to teknologier overvejet: WiFi og LTE, som understøttes af 1570, 1590 Check Point-modellerne.
For små kontorer og filialer er det ikke altid muligt at installere separate trådløse adgangspunkter, så NGFW vil hjælpe med at organisere et trådløst netværk og vigtigst af alt beskytte sådanne brugere.
Med hensyn til det NGFW-baserede LTE-modem vil efter min mening følgende brugstilfælde være efterspurgt:
- Manglende kablet forbindelse til internettet. I dette tilfælde vil du blive tvunget til at bruge mobilkommunikation til at levere en internetforbindelse. Dette scenarie er også relevant for specifikke virksomheder, hvis type aktivitet kræver "mobil" placering af deres netværksinfrastruktur, uanset forholdene (terræn, tilgængelighed af kablet kommunikation osv.).
- Reservation af den vigtigste kablede adgangskanal. Lad mig minde dig om, at NGFW understøtter arbejde med to SIM-kort, dette øger din infrastrukturs fejltolerance i tilfælde af en ulykke med en af de kablede links. Du kan også manuelt aktivere LTE-forbindelse, afhængigt af dit brugsscenarie.
. Bliv hængende (, , , , ).
Kilde: www.habr.com