Салам, TS Solution блогунун урматтуу окурмандары, биз SMB сегментинде NGFW CheckPoint чечимдери үчүн макалалардын сериясын улантабыз. Ыңгайлуу болуу үчүн, сиз моделдердин диапазону менен таанышып, өзгөчөлүктөрүн жана мүмкүнчүлүктөрүн изилдей аласыз , анда биз чыныгы 1590 Check Point жабдууларынын мисалын колдонуп, таңгактан чыгарууга жана баштапкы орнотууга өтүүнү сунуштайбыз. .
SMB моделдеринин ассортименти менен жаңыдан таанышып жаткандар үчүн - 200 адамга чейин чакан кеңселерге же филиалдарга ылайыктуу (1590 моделин тандоодо). Бул үй-бүлөнүн өзгөчөлүктөрүнүн бири зымсыз байланышты колдоо болуп саналат; бул инфраструктурада WiFi адаптери бар же NGFW мобилдик байланыш аркылуу Интернетке кирүүгө муктаж болгондо пайдалуу болушу мүмкүн. Сандалган тапшырмалар үчүн сизге технологиялар керек болот: WiFi, LTE. Бул макалада бул жөнүндө, биз карап көрөлү:
- NGFW WiFi режимин иштетүү жана конфигурациялоо.
- NGFW LTE иштөө режимин иштетүү жана конфигурациялоо.
- NGFW үчүн зымсыз технологиялар жөнүндө жалпы корутундулар.
NGFW жана WiFi
Сериябыздын 2-бөлүгүнө кайтып келсек, зымсыз колдонуучу туташуу опциясын өчүрүп койдук, андыктан өтмөккө өтүшүңүз керек. Түзмөк → Тармак → Зымсыз
Мен берген скриншотто эки мүмкүн болгон WiFi иштөө режими бар:
- 2.4 ГГц ар кандай зымсыз түзүлүштөрдүн көпчүлүк муундары тарабынан колдоого алынган жыштык.
- 5 GHz жыштыгы зымсыз түзүлүштөр менен иштөө үчүн заманбап стандарт болуп саналат; колдоо бардык заманбап смартфондордо, планшеттерде жана ноутбуктарда бар.
Ошондой эле скриншоттон (жогоруда) мен 5 ГГц иштөө режимин иштеткенимди белгилей аласыз, келгиле, 2.4 ГГцти чогуу орнотобуз, бул үчүн баскычты чыкылдатыңыз "Конфигурациялоо".
Кирүү чекитин түзүү терезесинде бизден стандарттык параметрлер топтомун көрсөтүүнү суранышат. Аутентификация ыкмасы катары сырсөздү же Radius серверин колдоно аласыз. "Бул тармактан жергиликтүү тармактарга кирүүгө уруксат берүү" опциясы зымсыз кардарларыңыздын Check Point NGFW артында жайгашкан ички ресурстарга кирүүсүнө жооп берет. Сиздин чекит конфигурациялангандан кийин, сиз көбүрөөк параметрлерди өзгөртө аласыз.
Жеткиликтүү орнотуулар
Сыноодон өтүп жаткан түзмөк сиздин кирүү чекитиңизге туташкандан кийин, анын биздин тармагыбызда экенин текшере алабыз, өтмөккө өтүңүз: Журналдар жана мониторинг → Статус → Зымсыз активдүү түзмөктөр
Эгерде биз аты бар объектти чыкылдатсак, биз туташкан кардардын касиеттерин көрөбүз:
Аппарат тууралуу маалыматтан тышкары, мен төмөнкү пайдалуу ыкмаларды карап көрөлү:
- эрежелерде колдонуу үчүн объектти сактоо (1);
- бул кардарга кирүүгө бөгөт коюу (2).
Андан тышкары, Application Blade үчүн орнотууларыбыздын негизинде (CheckPoint терминологиясында, модулдардын бири) потенциалдуу кооптуу шилтемелерди басууга тыюу салынат.
Биз мобилдик түзүлүштөгү категориялардын бирин Wi-Fi аркылуу NGFW текшерүү пунктуна туташып, ошого жараша ал аркылуу Интернетке кирүүгө аракет кылабыз.
корутундусу: Колдонуучу Анонимайзер категориясына кирген сайтка кире алган жок.
Ошентип, биз колдонуучуларды WiFi аркылуу туташтыруу үчүн негизги орнотууну карап чыктык, бул зымсыз аппараттар көп болгон чакан кеңселерде ыңгайлуу. Ошол эле учурда, Check Point NGFW чечими колдонуучуларыңызды алсыздыктардан жана зыяндуу мазмундан коргоого мүмкүндүк берет жана сизде зымсыз хостторду көзөмөлдөө үчүн ийкемдүү варианттар бар. Мобилдик тиркемени колдонуу менен башкарууну өзүнчө белгилеп кетким келет, бул ыкма биздин биринде сүрөттөлгөн .
NGFW жана LTE
1570, 1590 моделдери LTE модеми менен келет, бул сизге Micro/Nano SIMди колдонууга жана ошону менен 4G байланышын орнотууга мүмкүндүк берет. Кызыккандар үчүн спойлердин астына кыскача эскертүү калтырабыз.
SIM орнотуу боюнча нускамалар
Ошентип, сиз SIM орнотконсуз, андан кийин Gaia порталына кайтып келип, кийинки бөлүмгө өтүшүңүз керек Түзмөк → Тармак → Интернет. Демейки боюнча, сизде бир WAN байланышы болот; кызыл жебени ээрчип жаңы туташууну түзүшүңүз керек.
Туташуу атын коюшубуз керек болгон жерде, интерфейстин түрүн аныктаңыз (биздин учурда Уюлдук)
Мындан тышкары, өтмөктү ачыңыз "Туташуу мониторинги", бул жерде автоматтык түрдө жөнөтүүгө болот: демейки маршрутка ARP суроо-талабы, көрсөтүлгөн булактарга ICMP пакеттери, мониторинг жүргүзүү үчүн ресурстарыңызды көрсөтсөңүз болот.
Tab "Уюлдук" SIM-карталардын ортосундагы артыкчылыктарды тандоого, зарыл болсо аутентификация маалыматтарын киргизүүгө жооптуу (APN, PIN).
Өтмөктө "Өркүндөтүлгөн" Тармак орнотууларын коюуга болот:
- интерфейс үчүн орнотуулар (MTU, MAC)
- QOS
- ISP ашыкча
- NAT
- DHCP
Жаңы туташуу түрүн түзгөндөн кийин, сиз даректен Интернет байланыштарынын таблицасын табасыз Түзмөк → Тармак → Интернет:
Жогоруда көрсөтүлгөн скриншотто биз жаңы "LTE_TELE2" байланышын көрүп жатабыз, сиз ойлогондой, бул Tele2 провайдеринин SIM картасы. Таблица сигналдын деңгээли жөнүндө маалымат берет, жоготуулардын пайызын жана кечигүү убактысын көрсөтөт. Мындан тышкары, бул параметрди ачууга болот Туташуу мониторинги.
Мониторинг терезесинде биз үч серверге чейин суроо-талаптарды жөнөтүүнүн натыйжаларын көрөбүз, алардын бири салт болуп саналат (ya.ru). Бул жерде көрсөтүлгөн:
- пакет жоготуу пайызы;
- тармак каталарынын пайызы;
- жооп берүү убактысы (орточо, минималдуу жана максималдуу);
- титирөө.
Эгерде сизди NGFW Check Point боюнча LTE модеми жөнүндө тутумдук маалымат кызыктырса, анда сиз барышыңыз керек Журналдар жана мониторинг → Диагностика → Куралдар → Монитор уюлдук модем:
Андан кийин биз NGFWге WiFi (5 ГГц) аркылуу туташкан акыркы хост үчүн Интернетке кирүү ылдамдыгын талдап чыктык жана шлюз өзү глобалдык тармакка пакеттерди жөнөтүү үчүн LTE байланышын колдонот. Биз алынган баалуулуктарды ошол эле географиялык жайгашкан, бирок телефон түздөн-түз Интернетке туташкан кырдаал менен салыштырдык. Ыңгайлуулук үчүн, натыйжалар спойлердин астында жашырылган.
SpeedTest натыйжалары
Албетте, бул көрсөткүчтөрдүн каталары жана өзүнүн өзгөчөлүктөрү бар, келгиле, бир гипотезаны айталы: NGFW 1590 эки тышкы антеннаны колдонуу менен келген уюлдук сигналдын күчүн күчөтөт. Бул билдирүү кыйыр түрдө ошол эле шарттарда жүргүзүлгөн SpeedTestтин натыйжалары менен ырасталган жана ошол эле ресурстун Ping жана кечигүү азайгандыгын көрсөткөн.
зат
NGFW+LTE
Мобилдик+LTE
Пинг (мс)
30
34
Життер (мс)
7.2
5.2
Кирүүчү ылдамдык (Мбит/с)
16.1
12
Чыгуучу ылдамдык (Мбит/с)
10.9
2.97
NGFW Check Point 1590 тышкы антенналарынын эффективдүүлүгүн баалоо үчүн биз сигналды кабыл алуу деңгээлин өлчөгөнбүз, андан кийин инженердик менюнун жардамы менен телефон үчүн ушундай өлчөө жүргүздүк. Жыйынтыктар төмөндө келтирилген:
Демек, сигналды кабыл алуу кубаттуулугу деңгээли анын терс мааниси 0гө тенденцияда эң жакшы деп эсептелет. Телефон үчүн алынган маани (-109 дБм), модем үчүн (-61 дБм) болгон. Бул жалпысынан биздин гипотезаны тастыктайт жана NGFW SMB үй-бүлөсүнүн LTE байланышынын туруктуулугун көрсөтөт.
Жалпы тыянактар
Бүгүнкү бөлүмдү жыйынтыктоо үчүн эки технология каралды: 1570, 1590 Check Point моделдери тарабынан колдоого алынган WiFi жана LTE.
Чакан кеңселер жана филиалдар үчүн өзүнчө зымсыз кирүү чекиттерин орнотуу дайыма эле мүмкүн боло бербейт, ошондуктан NGFW зымсыз тармакты уюштурууга жардам берет, эң негизгиси, мындай колдонуучуларды коргойт.
NGFW негизиндеги LTE модемине келсек, менин оюмча, төмөнкү колдонуу учурлары суроо-талапка ээ болот:
- Интернетке зымдуу байланыштын жоктугу. Бул учурда, сиз интернет байланышын камсыз кылуу үчүн мобилдик байланышты колдонууга аргасыз болосуз. Бул сценарий ошондой эле шарттарга (рельеф, зымдуу байланыштын болушу ж.
- Негизги зымдуу кирүү каналын резервдөө. Эске сала кетейин, NGFW эки SIM-карта менен иштөөнү колдойт, бул зымдуу шилтемелердин бири менен авария болгон учурда инфраструктураңыздын катачылыкка чыдамдуулугун жогорулатат. Колдонуу сценарийиңизге жараша LTE байланышын кол менен иштетсеңиз да болот.
. Байланыштуу болуңуз (, , , , ).
Source: www.habr.com