Hei, kjære lesere av TS Solution-bloggen, vi fortsetter artikkelserien for NGFW CheckPoint-løsninger i SMB-segmentet. For enkelhets skyld kan du gjøre deg kjent med modellutvalget, studere egenskapene og egenskapene i , så foreslår vi at du går til utpakking og innledende oppsett ved å bruke eksemplet med ekte 1590 Check Point-utstyr i .
For de som nettopp skal bli kjent med SMB-modellutvalget - egnet for små kontorer eller filialer på opptil 200 personer (når du velger modell 1590). En av funksjonene i denne familien er støtte for trådløs kommunikasjon; dette kan være nyttig når infrastrukturen har enheter som har en WiFi-adapter eller NGFW trenger Internett-tilgang via mobilkommunikasjon. For de oppførte oppgavene trenger du teknologier: WiFi, LTE. Denne artikkelen handler om dette, hvor vi skal se på:
- Aktivering og konfigurering av NGFW WiFi-modus.
- Aktivering og konfigurering av LTE-driftsmodusen til NGFW.
- Generelle konklusjoner om trådløse teknologier for NGFW.
NGFW og WiFi
Hvis vi går tilbake til del 2 av serien vår, la vi alternativet for trådløs brukertilkobling deaktivert, så du må gå til fanen Enhet → Nettverk → Trådløst
I skjermbildet jeg ga, er det to mulige WiFi-driftsmoduser:
- 2.4 GHz er en frekvens som støttes av de fleste generasjoner av ulike trådløse enheter.
- 5 GHz er en frekvens som er den moderne standarden for arbeid med trådløse enheter; støtte finnes i alle moderne smarttelefoner, nettbrett og bærbare datamaskiner.
Også fra skjermbildet (over) kan du merke at jeg allerede har aktivert 5 GHz-driftsmodus, la oss sette opp 2.4 GHz sammen, for å gjøre dette, klikk på knappen "Konfigurer".
I vinduet for opprettelse av tilgangspunkt blir vi bedt om å spesifisere et standardsett med parametere. Du kan bruke et passord eller Radius-server som en autentiseringsmetode. Alternativet "Tillat tilgang fra dette nettverket til lokale nettverk" er ansvarlig for dine trådløse klienters tilgang til interne ressurser som er plassert bak Check Point NGFW. Når punktet ditt er konfigurert, kan du endre flere parametere.
Tilgjengelige innstillinger
Etter at enheten som testes har koblet til tilgangspunktet ditt, kan vi forsikre oss om at den er på nettverket vårt, gå til fanen: Logger og overvåking → Status → Trådløse aktive enheter
Hvis vi klikker på et objekt med et navn, vil vi se egenskapene til den tilkoblede klienten:
I tillegg til informasjon om enheten, vurderer jeg følgende nyttige alternativer:
- lagre objekt for bruk i regler (1);
- blokkere tilgang til denne klienten (2).
Videre, basert på våre innstillinger for Application Blade (i CheckPoint-terminologi, en av modulene), er det forbudt å klikke på potensielt farlige lenker.
Vi prøver å åpne en av kategoriene på en mobilenhet ved å koble til via WiFi til NGFW Check Point og følgelig få tilgang til Internett gjennom det.
Konklusjon: Brukeren kunne ikke få tilgang til nettstedet, som tilhører kategorien Anonymizer.
Derfor har vi sett på det grunnleggende oppsettet for å koble til brukere ved hjelp av WiFi; dette er praktisk på små kontorer hvor det er mange trådløse enheter. Samtidig lar Check Point NGFW-løsningen deg beskytte brukerne dine mot sårbarheter og skadelig innhold, og du har fleksible muligheter for å overvåke trådløse verter. Jeg vil nevne separat administrasjon ved hjelp av en mobilapplikasjon; metoden ble beskrevet i en av våre .
NGFW og LTE
Modellene 1570, 1590 kommer med et LTE-modem, som lar deg bruke Micro/Nano SIM og dermed etablere en 4G-forbindelse. For de som er nysgjerrige legger vi igjen en kort påminnelse under spoileren.
Instruksjoner for installasjon av SIM
Så du har installert SIM-kortet, etter det må du gå tilbake til Gaia Portal og gå til neste seksjon Enhet → Nettverk → Internett. Som standard vil du ha én WAN-tilkobling; du må opprette en ny tilkobling ved å følge den røde pilen.
Hvor vi må angi tilkoblingsnavnet, bestemmer grensesnitttypen (i vårt tilfelle Cellular)
I tillegg åpner du fanen "Tilkoblingsovervåking", her er det mulig å automatisk sende: en ARP-forespørsel til standardruten, ICMP-pakker til spesifiserte kilder, jeg legger merke til at du kan spesifisere ressursene dine for overvåking.
Tab "Mobil" er ansvarlig for å velge prioriteringer mellom SIM-er, legge inn autentiseringsdata om nødvendig (APN, PIN).
I fanen "Avansert" Det er mulig å angi nettverksinnstillinger:
- innstillinger for grensesnittet (MTU, MAC)
- QOS
- ISP-redundans
- NAT
- DHCP
Etter at du har opprettet en ny tilkoblingstype, vil du finne en tabell over Internett-tilkoblinger i Enhet → Nettverk → Internett:
I skjermbildet presentert ovenfor ser vi en ny tilkobling "LTE_TELE2", som du kanskje har gjettet, er dette et SIM-kort fra Tele2-leverandøren. Tabellen gir informasjon om signalnivået, viser prosentandel av tap og forsinkelsestid. I tillegg er det mulig å åpne alternativet Tilkoblingsovervåking.
I overvåkingsvinduet ser vi resultatene av å sende forespørsler til opptil tre servere, en av dem er tilpasset (ya.ru). Vist her:
- pakketap prosent;
- prosentandel av nettverksfeil;
- responstid (gjennomsnitt, minimum og maksimum);
- jitter.
Hvis du er interessert i systeminformasjon om LTE-modemet på NGFW Check Point, bør du gå til Logger og overvåking → Diagnostikk → Verktøy → Overvåk mobilmodem:
Deretter analyserte vi hastigheten på Internett-tilgang for sluttverten, som er koblet til NGFW via WiFi (5 GHz), og selve gatewayen bruker en LTE-tilkobling for å sende pakker til det globale nettverket. Vi sammenlignet de oppnådde verdiene med situasjonen når den samme geografiske plasseringen brukes, men telefonen kobles direkte til Internett. For enkelhets skyld er resultatene skjult under en spoiler.
SpeedTest resultater
Selvfølgelig har disse indikatorene feil og sine egne egenskaper, la oss legge frem en hypotese: NGFW 1590 forsterker kraften til det innkommende cellulære signalet ved hjelp av to eksterne antenner. Denne uttalelsen bekreftes indirekte av resultatene fra SpeedTest, utført under de samme forholdene og viser en reduksjon i Ping og latens til samme ressurs.
objekt
NGFW+LTE
Mobil+LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Innkommende hastighet (Mbp/s)
16.1
12
Utgående hastighet (Mbp/s)
10.9
2.97
For å evaluere effektiviteten til de eksterne NGFW Check Point 1590-antennene, målte vi signalmottaksnivået, og deretter ved å bruke ingeniørmenyen utførte vi en lignende måling for telefonen. Resultatene presenteres nedenfor:
Følgelig anses signalmottakseffektnivået som best når dens negative verdi har en tendens til 0. Verdien oppnådd for telefonen var (-109 dBm), for modemet (-61 dBm). Som generelt bekrefter hypotesen vår og indikerer stabiliteten til LTE-kommunikasjonen til NGFW SMB-familien.
Generelle konklusjoner
For å oppsummere dagens del, så vi på to teknologier: WiFi og LTE, som støttes av 1570, 1590 Check Point-modellene.
For små kontorer og filialer er det ikke alltid mulig å installere separate trådløse tilgangspunkter, så NGFW vil hjelpe til med å organisere et trådløst nettverk, og viktigst av alt, beskytte slike brukere.
Når det gjelder det NGFW-baserte LTE-modemet, vil etter min mening følgende brukstilfeller være etterspurt:
- Mangel på kablet tilkobling til Internett. I dette tilfellet vil du bli tvunget til å bruke mobilkommunikasjon for å tilby en Internett-tilkobling. Dette scenariet er også relevant for spesifikke selskaper hvis type aktivitet krever "mobil" plassering av nettverksinfrastrukturen deres, uavhengig av forholdene (terreng, tilgjengelighet av kablet kommunikasjon, etc.).
- Reservasjon av hovedkanalen for kablet tilgang. La meg minne deg på at NGFW støtter arbeid med to SIM-er, dette øker feiltoleransen til infrastrukturen din i tilfelle en ulykke med en av de kablede koblingene. Du kan også aktivere LTE-tilkobling manuelt, avhengig av bruksscenarioet ditt.
. Følg med (, , , , ).
Kilde: www.habr.com