Tere, kallid TS Solutioni ajaveebi lugejad, jätkame SMB segmendi NGFW CheckPointi lahenduste artiklite sarja. Mugavuse huvides saate tutvuda mudelivalikuga, uurida selle omadusi ja võimalusi , siis soovitame pöörduda lahtipakkimise ja algseadistuse poole, kasutades tõelise 1590 Check Pointi varustuse näidet .
Neile, kes alles tutvuvad SMB mudelivalikuga - sobib kuni 200 inimesega väikestesse kontoritesse või filiaalidesse (mudeli 1590 valikul). Selle perekonna üks omadusi on traadita side tugi; see võib olla kasulik, kui infrastruktuuril on WiFi-adapteriga seadmeid või NGFW vajab mobiilside kaudu Interneti-ühendust. Loetletud ülesannete jaoks vajate tehnoloogiaid: WiFi, LTE. See artikkel räägib sellest, kus me vaatame järgmist:
- NGFW WiFi režiimi lubamine ja konfigureerimine.
- NGFW LTE töörežiimi lubamine ja konfigureerimine.
- Üldised järeldused NGFW traadita tehnoloogiate kohta.
NGFW ja WiFi
Kui pöördume tagasi oma sarja 2. osa juurde, jätsime traadita kasutajaühenduse valiku keelatuks, nii et peate minema vahekaardile Seade → Võrk → Traadita ühendus
Minu esitatud ekraanipildil on kaks võimalikku WiFi töörežiimi:
- 2.4 GHz on sagedus, mida toetab enamik erinevate juhtmevabade seadmete põlvkondi.
- 5 GHz on sagedus, mis on traadita seadmetega töötamise kaasaegne standard; tugi on olemas kõigis kaasaegsetes nutitelefonides, tahvelarvutites ja sülearvutites.
Ka ekraanipildilt (ülal) võib märkida, et olen juba lubanud 5 GHz töörežiimi, paneme koos 2.4 GHz paika, selleks vajuta nuppu "Seadista".
Pöörduspunkti loomise aknas palutakse meil määrata standardne parameetrite komplekt. Autentimismeetodina saate kasutada parooli või Radiuse serverit. Valik „Luba juurdepääs sellest võrgust kohalikele võrkudele” vastutab teie traadita klientide juurdepääsu eest sisemistele ressurssidele, mis asuvad Check Point NGFW taga. Kui teie punkt on konfigureeritud, saate muuta rohkem parameetreid.
Saadaolevad seaded
Kui testitav seade on teie pääsupunktiga ühenduse loonud, saame veenduda, et see on meie võrgus, minge vahekaardile: Logid ja jälgimine → Olek → Juhtmeta aktiivsed seadmed
Kui klõpsame nimega objektil, näeme ühendatud kliendi atribuute:
Lisaks seadme kohta käivale teabele pean ma järgmisi kasulikke valikuid:
- salvesta objekt kasutamiseks reeglites (1);
- blokeerige juurdepääs sellele kliendile (2).
Lisaks on meie rakenduse Blade (CheckPointi terminoloogias üks moodulitest) sätete põhjal potentsiaalselt ohtlikel linkidel klõpsamine keelatud.
Proovime avada mobiilseadmes ühe kategooria, luues WiFi kaudu ühenduse NGFW kontrollpunktiga ja vastavalt sellele pääsedes selle kaudu Internetti.
Järeldus: Kasutajal ei õnnestunud anonüümseks muutja kategooriasse kuuluvale saidile juurde pääseda.
Seega oleme vaadanud põhiseadet kasutajate ühendamiseks WiFi kaudu; see on mugav väikestes kontorites, kus on palju traadita seadmeid. Samas võimaldab Check Point NGFW lahendus kaitsta oma kasutajaid haavatavuste ja pahatahtliku sisu eest ning teil on paindlikud võimalused juhtmevabade hostide jälgimiseks. Eraldi tahaksin mainida mobiilirakenduse abil haldamist, meetodit kirjeldati ühes meie .
NGFW ja LTE
Mudelitel 1570, 1590 on kaasas LTE-modem, mis võimaldab kasutada Micro/Nano SIM-kaarti ja seeläbi luua 4G-ühendust. Uudishimulikele jätame spoileri alla lühikese meeldetuletuse.
SIM-kaardi paigaldamise juhised
Nii et olete SIM-kaardi installinud, pärast seda peate naasma Gaia portaali ja minema järgmisse jaotisesse Seade → Võrk → Internet. Vaikimisi on teil üks WAN-ühendus; peate looma uue ühenduse, järgides punast noolt.
Kui peame määrama ühenduse nime, määrake liidese tüüp (meie puhul Cellular)
Lisaks avage vahekaart "Ühenduse jälgimine", siin on võimalik automaatselt saata: ARP-päring vaikemarsruudile, ICMP-paketid määratud allikatele, märgin, et saate määrata oma ressursid jälgimiseks.
Tab "Mobiil" vastutab SIM-ide vahel prioriteetide valimise, vajadusel autentimisandmete (APN, PIN) sisestamise eest.
Vahekaardil "Täiustatud" Võrguseadeid on võimalik määrata:
- liidese sätted (MTU, MAC)
- QOS
- ISP koondamine
- NAT
- DHCP
Pärast uue ühenduse tüübi loomist leiate Interneti-ühenduste tabeli Seade → Võrk → Internet:
Ülaltoodud ekraanipildil näeme uut ühendust "LTE_TELE2", nagu võite arvata, on see Tele2 pakkuja SIM-kaart. Tabel annab teavet signaali taseme kohta, näitab kadude protsenti ja viivitusaega. Lisaks on võimalik avada valik Ühenduse jälgimine.
Järelevalveaknas näeme päringute saatmise tulemusi kuni kolmele serverile, üks neist on kohandatud (ya.ru). Kuvatakse siin:
- pakettide kadumise protsent;
- võrguvigade protsent;
- reageerimisaeg (keskmine, minimaalne ja maksimaalne);
- värisemine.
Kui olete huvitatud süsteemiteabest LTE-modemi kohta NGFW Check Pointis, peaksite minema aadressile Logid ja jälgimine → Diagnostika → Tööriistad → Mobiilside modemi jälgimine:
Järgmisena analüüsisime Interneti-juurdepääsu kiirust lõpphosti jaoks, mis on ühendatud NGFW-ga WiFi (5 GHz) kaudu ja lüüs ise kasutab pakettide saatmiseks globaalsesse võrku LTE ühendust. Võrdlesime saadud väärtusi olukorraga, kui kasutatakse sama geograafilist asukohta, kuid telefon ühendub otse Internetti. Mugavuse huvides on tulemused peidetud spoileri alla.
SpeedTesti tulemused
Loomulikult on neil indikaatoritel vigu ja oma omadused, esitame hüpoteesi: NGFW 1590 võimendab sissetuleva mobiilsidesignaali võimsust kahe välise antenni abil. Seda väidet kinnitavad kaudselt SpeedTesti tulemused, mis viidi läbi samadel tingimustel ja mis näitavad sama ressursi pingi ja latentsuse vähenemist.
Objekt
NGFW+LTE
Mobiil+LTE
Ping (ms)
30
34
värin (ms)
7.2
5.2
Sissetulev kiirus (Mbp/s)
16.1
12
Väljumise kiirus (Mbp/s)
10.9
2.97
NGFW Check Point 1590 välisantennide efektiivsuse hindamiseks mõõtsime signaali vastuvõtutaset ning seejärel insenerimenüüd kasutades teostasime telefoni jaoks sarnase mõõtmise. Tulemused on esitatud allpool:
Sellest lähtuvalt peetakse signaali vastuvõtu võimsustaset parimaks, kui selle negatiivne väärtus kipub olema 0. Telefoni jaoks saadi väärtus (-109 dBm), modemi puhul (-61 dBm). Mis üldiselt kinnitab meie hüpoteesi ja näitab NGFW SMB perekonna LTE-side stabiilsust.
Üldised järeldused
Tänase osa kokkuvõtteks võeti vaatluse alla kaks tehnoloogiat: WiFi ja LTE, mida toetavad 1570, 1590 Check Point mudelid.
Väikeste kontorite ja filiaalide jaoks ei ole alati võimalik eraldi traadita pääsupunkte installida, nii et NGFW aitab korraldada traadita võrku ja mis kõige tähtsam - kaitsta selliseid kasutajaid.
Mis puutub NGFW-põhisesse LTE-modemisse, siis minu arvates on nõudlus järgmiste kasutusjuhtude järele:
- Traadiga Interneti-ühenduse puudumine. Sel juhul olete Interneti-ühenduse loomiseks sunnitud kasutama mobiilsidet. See stsenaarium on asjakohane ka konkreetsete ettevõtete puhul, kelle tegevuse liik eeldab nende võrguinfrastruktuuri "mobiilset" paigutust, olenemata tingimustest (maastik, juhtmega side kättesaadavus jne).
- Peamise juhtmega juurdepääsukanali reserveerimine. Tuletan meelde, et NGFW toetab tööd kahe SIM-iga, see suurendab teie infrastruktuuri tõrketaluvust ühe juhtmega lingiga õnnetuse korral. Sõltuvalt kasutusstsenaariumist saate LTE-ühenduse ka käsitsi lubada.
. Jääge lainel (, , , , ).
Allikas: www.habr.com