Buongiorno cari lettori del blog TS Solution, continuiamo la serie di articoli per le soluzioni NGFW CheckPoint nel segmento SMB. Per comodità, puoi familiarizzare con la gamma di modelli, studiarne le caratteristiche e le capacità , quindi suggeriamo di passare al disimballaggio e alla configurazione iniziale utilizzando l'esempio di un'apparecchiatura 1590 Check Point reale .
Per coloro che stanno appena iniziando a conoscere la gamma di modelli SMB, adatta per piccoli uffici o filiali fino a 200 persone (quando si sceglie il modello 1590). Una delle caratteristiche di questa famiglia è il supporto per la comunicazione wireless; questo può essere utile quando l'infrastruttura dispone di dispositivi dotati di adattatore WiFi o NGFW necessita di accesso a Internet tramite comunicazione mobile. Per le attività elencate avrai bisogno delle tecnologie: WiFi, LTE. Questo articolo parla di questo, dove vedremo:
- Abilitazione e configurazione della modalità WiFi NGFW.
- Abilitazione e configurazione della modalità operativa LTE dell'NGFW.
- Conclusioni generali sulle tecnologie wireless per NGFW.
NGFW e Wi-Fi
Se torniamo alla parte 2 della nostra serie, abbiamo lasciato disabilitata l'opzione per la connessione utente wireless, quindi è necessario andare alla scheda Dispositivo → Rete → Wireless
Nello screenshot che ho fornito ci sono due possibili modalità di funzionamento del WiFi:
- 2.4 GHz è una frequenza supportata dalla maggior parte delle generazioni di vari dispositivi wireless.
- 5 GHz è una frequenza che rappresenta lo standard moderno per lavorare con dispositivi wireless; il supporto si trova in tutti i moderni smartphone, tablet e laptop.
Inoltre dallo screenshot (sopra) potete notare che ho già abilitato la modalità operativa 5 GHz, impostiamo insieme i 2.4 GHz, per fare ciò cliccate sul pulsante "Configura".
Nella finestra di creazione del punto di accesso, ci viene chiesto di specificare un set standard di parametri. È possibile utilizzare una password o un server Radius come metodo di autenticazione. L'opzione "Consenti accesso da questa rete alle reti locali" è responsabile dell'accesso dei client wireless alle risorse interne che si trovano dietro Check Point NGFW. Una volta configurato il punto, puoi modificare più parametri.
Impostazioni disponibili
Dopo che il dispositivo in prova si è connesso al tuo punto di accesso, possiamo assicurarci che sia sulla nostra rete, vai alla scheda: Registri e monitoraggio → Stato → Dispositivi attivi wireless
Se clicchiamo su un oggetto con un nome, vedremo le proprietà del client connesso:
Oltre alle informazioni sul dispositivo, considero le seguenti opzioni utili:
- salva l'oggetto da utilizzare nelle regole (1);
- bloccare l'accesso a questo client (2).
Inoltre, in base alle nostre impostazioni per Application Blade (nella terminologia di CheckPoint, uno dei moduli), è vietato fare clic su collegamenti potenzialmente pericolosi.
Proviamo ad aprire una delle categorie su un dispositivo mobile collegandoci tramite WiFi al Check Point NGFW e, di conseguenza, accedendo a Internet tramite esso.
Conclusione: L'utente non è riuscito ad accedere al sito, che appartiene alla categoria Anonymizer.
Pertanto, abbiamo esaminato la configurazione di base per connettere gli utenti tramite WiFi; questo è conveniente nei piccoli uffici dove sono presenti molti dispositivi wireless. Allo stesso tempo, la soluzione Check Point NGFW ti consente di proteggere i tuoi utenti da vulnerabilità e contenuti dannosi e disponi di opzioni flessibili per il monitoraggio degli host wireless. Vorrei menzionare separatamente l'amministrazione tramite un'applicazione mobile; il metodo è stato descritto in uno dei nostri .
NGFW e LTE
I modelli 1570, 1590 sono dotati di modem LTE, che consente di utilizzare Micro/Nano SIM e quindi di stabilire una connessione 4G. Per chi fosse curioso, lasceremo un breve promemoria sotto lo spoiler.
Istruzioni per l'installazione della SIM
Quindi hai installato la SIM, dopodiché devi tornare su Gaia Portal e passare alla sezione successiva Dispositivo → Rete → Internet. Per impostazione predefinita, avrai una connessione WAN; dovrai creare una nuova connessione seguendo la freccia rossa.
Dove dovremo impostare il nome della connessione, determinare il tipo di interfaccia (nel nostro caso Cellulare)
Inoltre, apri la scheda "Monitoraggio della connessione", qui è possibile inviare automaticamente: una richiesta ARP al percorso predefinito, pacchetti ICMP a fonti specificate, noto che puoi specificare le tue risorse per il monitoraggio.
Inserire "Cellulare" è responsabile della scelta delle priorità tra le SIM, inserendo i dati di autenticazione se richiesti (APN, PIN).
Nella scheda "Avanzate" È possibile configurare le impostazioni di rete:
- impostazioni per l'interfaccia (MTU, MAC)
- QOS
- Ridondanza dell'ISP
- NAT
- DHCP
Dopo aver creato un nuovo tipo di connessione, troverai una tabella delle connessioni Internet in Dispositivo → Rete → Internet:
Nello screenshot presentato sopra vediamo una nuova connessione “LTE_TELE2”, come avrai intuito, si tratta di una SIM del provider Tele2. La tabella fornisce informazioni sul livello del segnale, mostra la percentuale di perdite e il tempo di ritardo. Inoltre è possibile aprire l'opzione Monitoraggio della connessione.
Nella finestra di monitoraggio vediamo i risultati dell'invio di richieste a un massimo di tre server, uno dei quali è personalizzato (ya.ru). Visualizzato qui:
- percentuale di perdita di pacchetti;
- percentuale di errori di rete;
- tempo di risposta (medio, minimo e massimo);
- jitter.
Se sei interessato alle informazioni di sistema sul modem LTE su NGFW Check Point, dovresti andare su Registri e monitoraggio→ Diagnostica → Strumenti → Monitora modem cellulare:
Successivamente, abbiamo analizzato la velocità di accesso a Internet per l'host finale, che è connesso all'NGFW tramite WiFi (5 GHz), e il gateway stesso utilizza una connessione LTE per inviare pacchetti alla rete globale. Abbiamo confrontato i valori ottenuti con la situazione in cui viene utilizzata la stessa posizione geografica, ma il telefono si connette direttamente a Internet. Per comodità i risultati sono nascosti sotto spoiler.
Risultati dello SpeedTest
Naturalmente questi indicatori hanno errori e caratteristiche proprie, avanziamo un'ipotesi: NGFW 1590 amplifica la potenza del segnale cellulare in arrivo utilizzando due antenne esterne. Questa affermazione è indirettamente confermata dai risultati dello SpeedTest, condotto nelle stesse condizioni e che mostra una diminuzione del Ping e della latenza sulla stessa risorsa.
oggetto
NGFW+LTE
Cellulare+LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Velocità in entrata (Mbps/s)
16.1
12
Velocità in uscita (Mbps/s)
10.9
2.97
Per valutare l'efficacia delle antenne esterne NGFW Check Point 1590, abbiamo misurato il livello di ricezione del segnale e poi, utilizzando il menu di progettazione, abbiamo eseguito una misurazione simile per il telefono. I risultati sono presentati di seguito:
Pertanto il livello di potenza di ricezione del segnale è considerato ottimale quando il suo valore negativo tende a 0. Il valore ottenuto per il telefono è stato (-109 dBm), per il modem (-61 dBm). Ciò conferma generalmente la nostra ipotesi e indica la stabilità della comunicazione LTE della famiglia NGFW SMB.
Conclusioni generali
Per riassumere la parte odierna sono state prese in considerazione due tecnologie: WiFi e LTE, supportate dai modelli Check Point 1570 e 1590.
Per i piccoli uffici e le filiali, non è sempre possibile installare punti di accesso wireless separati, quindi NGFW aiuterà a organizzare una rete wireless e, soprattutto, a proteggere tali utenti.
Per quanto riguarda il modem LTE basato su NGFW, a mio avviso saranno richiesti i seguenti casi d'uso:
- Mancanza di connessione cablata a Internet. In questo caso, sarai costretto a utilizzare la comunicazione mobile per fornire una connessione Internet. Questo scenario è rilevante anche per aziende specifiche il cui tipo di attività richiede il posizionamento “mobile” della propria infrastruttura di rete, indipendentemente dalle condizioni (terreno, disponibilità di comunicazioni cablate, ecc.).
- Prenotazione del canale di accesso cablato principale. Lascia che ti ricordi che NGFW supporta il lavoro con due SIM, questo aumenta la tolleranza ai guasti della tua infrastruttura in caso di incidente con uno dei collegamenti cablati. Puoi anche abilitare manualmente la connessione LTE, a seconda dello scenario di utilizzo.
. Rimani sintonizzato (, , , , ).
Fonte: habr.com