Hallo, liebe Leser des TS Solution Blogs, wir setzen die Artikelreihe zu NGFW CheckPoint-Lösungen im SMB-Segment fort. Der Einfachheit halber können Sie sich mit der Modellpalette vertraut machen und deren Eigenschaften und Fähigkeiten studieren , dann empfehlen wir Ihnen, sich dem Auspacken und der Ersteinrichtung am Beispiel echter 1590 Check Point-Geräte zuzuwenden .
Für Einsteiger in die SMB-Modellreihe – geeignet für kleine Büros oder Filialen mit bis zu 200 Personen (bei Wahl des Modells 1590). Eines der Merkmale dieser Familie ist die Unterstützung der drahtlosen Kommunikation. Dies kann nützlich sein, wenn die Infrastruktur über Geräte verfügt, die über einen WLAN-Adapter verfügen, oder NGFW einen Internetzugang über mobile Kommunikation benötigt. Für die aufgeführten Aufgaben benötigen Sie Technologien: WLAN, LTE. In diesem Artikel geht es darum, wo wir uns mit Folgendem befassen werden:
- Aktivieren und Konfigurieren des NGFW-WLAN-Modus.
- Aktivieren und Konfigurieren des LTE-Betriebsmodus der NGFW.
- Allgemeine Schlussfolgerungen zu drahtlosen Technologien für NGFW.
NGFW und WLAN
Wenn wir zu Teil 2 unserer Serie zurückkehren, haben wir die Option für die drahtlose Benutzerverbindung deaktiviert gelassen, Sie müssen also zur Registerkarte gehen Gerät → Netzwerk → Drahtlos
In dem von mir bereitgestellten Screenshot gibt es zwei mögliche WLAN-Betriebsmodi:
- 2.4 GHz ist eine Frequenz, die von den meisten Generationen verschiedener drahtloser Geräte unterstützt wird.
- 5 GHz ist eine Frequenz, die den modernen Standard für die Arbeit mit drahtlosen Geräten darstellt und von allen modernen Smartphones, Tablets und Laptops unterstützt wird.
Auch aus dem Screenshot (oben) können Sie erkennen, dass ich den 5-GHz-Betriebsmodus bereits aktiviert habe. Lassen Sie uns gemeinsam 2.4 GHz einrichten. Klicken Sie dazu auf die Schaltfläche "Konfigurieren".
Im Fenster zur Erstellung des Zugangspunkts werden wir aufgefordert, einen Standardsatz von Parametern anzugeben. Als Authentifizierungsmethode können Sie ein Passwort oder einen Radius-Server verwenden. Die Option „Zugriff von diesem Netzwerk auf lokale Netzwerke zulassen“ ist für den Zugriff Ihrer WLAN-Clients auf interne Ressourcen verantwortlich, die sich hinter dem Check Point NGFW befinden. Sobald Ihr Punkt konfiguriert ist, können Sie weitere Parameter ändern.
Verfügbare Einstellungen
Nachdem sich das zu testende Gerät mit Ihrem Access Point verbunden hat, können wir sicherstellen, dass es sich in unserem Netzwerk befindet. Gehen Sie zur Registerkarte: Protokolle und Überwachung → Status → Drahtlose aktive Geräte
Wenn wir auf ein Objekt mit einem Namen klicken, sehen wir die Eigenschaften des verbundenen Clients:
Zusätzlich zu den Informationen zum Gerät halte ich die folgenden nützlichen Optionen für sinnvoll:
- Objekt zur Verwendung in Regeln speichern (1);
- Blockieren Sie den Zugriff auf diesen Client (2).
Darüber hinaus ist das Klicken auf potenziell gefährliche Links aufgrund unserer Einstellungen für Application Blade (in der CheckPoint-Terminologie eines der Module) verboten.
Wir versuchen, eine der Kategorien auf einem mobilen Gerät zu öffnen, indem wir uns über WLAN mit dem NGFW Check Point verbinden und dementsprechend über diesen auf das Internet zugreifen.
Fazit: Der Benutzer konnte nicht auf die Website zugreifen, die zur Kategorie „Anonymisierer“ gehört.
Daher haben wir uns die grundlegende Einrichtung für die Verbindung von Benutzern über WLAN angesehen; dies ist praktisch in kleinen Büros, in denen es viele drahtlose Geräte gibt. Gleichzeitig können Sie mit der Check Point NGFW-Lösung Ihre Benutzer vor Schwachstellen und schädlichen Inhalten schützen und verfügen über flexible Möglichkeiten zur Überwachung drahtloser Hosts. Die Verwaltung über eine mobile Anwendung möchte ich gesondert erwähnen, die Methode wurde in einer unserer Beschreibungen beschrieben .
NGFW und LTE
Die Modelle 1570, 1590 verfügen über ein LTE-Modem, mit dem Sie Micro-/Nano-SIM nutzen und so eine 4G-Verbindung aufbauen können. Für alle Neugierigen hinterlassen wir unter dem Spoiler eine kurze Erinnerung.
Anleitung zur SIM-Installation
Sie haben also die SIM-Karte installiert. Anschließend müssen Sie zum Gaia-Portal zurückkehren und mit dem nächsten Abschnitt fortfahren Gerät → Netzwerk → Internet. Standardmäßig verfügen Sie über eine WAN-Verbindung. Sie müssen eine neue Verbindung erstellen, indem Sie dem roten Pfeil folgen.
Wo wir den Verbindungsnamen festlegen müssen, bestimmen Sie den Schnittstellentyp (in unserem Fall Mobilfunk).
Öffnen Sie außerdem die Registerkarte „Verbindungsüberwachung“, hier ist es möglich, automatisch zu senden: eine ARP-Anfrage an die Standardroute, ICMP-Pakete an bestimmte Quellen, ich stelle fest, dass Sie Ihre Ressourcen für die Überwachung angeben können.
Tab „Mobilfunk“ ist für die Auswahl der Prioritäten zwischen SIMs verantwortlich und gibt bei Bedarf Authentifizierungsdaten ein (APN, PIN).
Der Reiter "Erweitert" Es ist möglich, Netzwerkeinstellungen festzulegen:
- Einstellungen für die Schnittstelle (MTU, MAC)
- QOS
- ISP-Redundanz
- NAT
- DHCP
Nachdem Sie einen neuen Verbindungstyp erstellt haben, finden Sie eine Tabelle mit Internetverbindungen in Gerät → Netzwerk → Internet:
Im oben dargestellten Screenshot sehen wir eine neue Verbindung „LTE_TELE2“, wie Sie vielleicht vermutet haben, handelt es sich hierbei um eine SIM-Karte des Tele2-Anbieters. Die Tabelle gibt Auskunft über den Signalpegel, zeigt den Verlustanteil und die Verzögerungszeit an. Zusätzlich besteht die Möglichkeit, die Option zu öffnen Verbindungsüberwachung.
Im Überwachungsfenster sehen wir die Ergebnisse des Sendens von Anfragen an bis zu drei Server, einer davon ist benutzerdefiniert (ya.ru). Hier angezeigt:
- Prozentsatz des Paketverlusts;
- Prozentsatz der Netzwerkfehler;
- Reaktionszeit (Durchschnitt, Minimum und Maximum);
- Jitter.
Wenn Sie an Systeminformationen zum LTE-Modem am NGFW Check Point interessiert sind, gehen Sie zu Protokolle und Überwachung → Diagnose → Tools → Mobilfunkmodem überwachen:
Als nächstes analysierten wir die Geschwindigkeit des Internetzugangs für den Endhost, der über WLAN (5 GHz) mit der NGFW verbunden ist, und das Gateway selbst nutzt eine LTE-Verbindung, um Pakete an das globale Netzwerk zu senden. Wir haben die erhaltenen Werte mit der Situation verglichen, in der derselbe geografische Standort verwendet wird, das Telefon jedoch direkt mit dem Internet verbunden ist. Der Einfachheit halber sind die Ergebnisse unter einem Spoiler versteckt.
SpeedTest-Ergebnisse
Natürlich haben diese Indikatoren Fehler und ihre eigenen Eigenschaften. Lassen Sie uns eine Hypothese aufstellen: NGFW 1590 verstärkt die Leistung des eingehenden Mobilfunksignals mithilfe von zwei externen Antennen. Diese Aussage wird indirekt durch die Ergebnisse von SpeedTest bestätigt, der unter denselben Bedingungen durchgeführt wurde und einen Rückgang des Pings und der Latenz bei derselben Ressource zeigt.
Objekt
NGFW+LTE
Mobilfunk+LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Eingehende Geschwindigkeit (Mbit/s)
16.1
12
Ausgehende Geschwindigkeit (Mbit/s)
10.9
2.97
Um die Wirksamkeit der externen Antennen des NGFW Check Point 1590 zu bewerten, haben wir den Signalempfangspegel gemessen und anschließend über das Engineering-Menü eine ähnliche Messung für das Telefon durchgeführt. Nachfolgend werden die Ergebnisse dargestellt:
Dementsprechend gilt der Signalempfangsleistungspegel als am besten, wenn sein negativer Wert gegen 0 tendiert. Der erhaltene Wert betrug für das Telefon (-109 dBm), für das Modem (-61 dBm). Dies bestätigt im Großen und Ganzen unsere Hypothese und weist auf die Stabilität der LTE-Kommunikation der NGFW-SMB-Familie hin.
Allgemeine Schlussfolgerungen
Um den heutigen Teil zusammenzufassen, wurden zwei Technologien betrachtet: WiFi und LTE, die von den Check Point-Modellen 1570 und 1590 unterstützt werden.
Für kleine Büros und Zweigstellen ist es nicht immer möglich, separate drahtlose Zugangspunkte zu installieren. Daher hilft NGFW bei der Organisation eines drahtlosen Netzwerks und vor allem beim Schutz dieser Benutzer.
Was das NGFW-basierte LTE-Modem betrifft, werden meiner Meinung nach folgende Anwendungsfälle gefragt sein:
- Fehlende kabelgebundene Verbindung zum Internet. In diesem Fall sind Sie gezwungen, für die Bereitstellung einer Internetverbindung den Mobilfunk zu nutzen. Dieses Szenario ist auch für bestimmte Unternehmen relevant, deren Tätigkeitstyp die „mobile“ Platzierung ihrer Netzwerkinfrastruktur unabhängig von den Bedingungen (Gelände, Verfügbarkeit kabelgebundener Kommunikation usw.) erfordert.
- Reservierung des Hauptkanals für den kabelgebundenen Zugang. Ich möchte Sie daran erinnern, dass NGFW die Arbeit mit zwei SIM-Karten unterstützt. Dies erhöht die Fehlertoleranz Ihrer Infrastruktur im Falle eines Unfalls mit einer der kabelgebundenen Verbindungen. Abhängig von Ihrem Nutzungsszenario können Sie die LTE-Verbindung auch manuell aktivieren.
. Bleiben Sie dran (, , , , ).
Source: habr.com