Witajcie drodzy czytelnicy bloga TS Solution, kontynuujemy cykl artykułów poświęconych rozwiązaniom NGFW CheckPoint w segmencie SMB. Dla wygody możesz zapoznać się z gamą modeli, przestudiować cechy i możliwości , wówczas sugerujemy przejście do rozpakowania i wstępnej konfiguracji na przykładzie prawdziwego sprzętu 1590 Check Point .
Dla tych, którzy dopiero zapoznają się z gamą modeli SMB – nadają się do małych biur lub oddziałów do 200 osób (przy wyborze modelu 1590). Jedną z cech tej rodziny jest obsługa komunikacji bezprzewodowej, co może być przydatne, gdy w infrastrukturze znajdują się urządzenia posiadające kartę WiFi lub NGFW potrzebuje dostępu do Internetu za pośrednictwem komunikacji mobilnej. Do wymienionych zadań potrzebne będą technologie: WiFi, LTE. Ten artykuł jest o tym, gdzie przyjrzymy się:
- Włączanie i konfiguracja trybu WiFi NGFW.
- Włączenie i konfiguracja trybu pracy LTE NGFW.
- Ogólne wnioski dotyczące technologii bezprzewodowych dla NGFW.
NGFW i Wi-Fi
Jeśli wrócimy do drugiej części naszego cyklu, pozostawiliśmy opcję bezprzewodowego połączenia użytkownika wyłączoną, dlatego należy przejść do zakładki Urządzenie → Sieć → Bezprzewodowe
Na zrzucie ekranu, który podałem, istnieją dwa możliwe tryby pracy Wi-Fi:
- 2.4 GHz to częstotliwość obsługiwana przez większość generacji różnych urządzeń bezprzewodowych.
- 5 GHz to częstotliwość będąca nowoczesnym standardem pracy z urządzeniami bezprzewodowymi, wsparcie znajdują się we wszystkich nowoczesnych smartfonach, tabletach i laptopach.
Również ze zrzutu ekranu (powyżej) widać, że mam już włączony tryb pracy 5 GHz, ustawmy razem 2.4 GHz, w tym celu kliknij przycisk "Konfiguruj".
W oknie tworzenia punktu dostępowego jesteśmy proszeni o podanie standardowego zestawu parametrów. Jako metody uwierzytelniania możesz użyć hasła lub serwera Radius. Opcja „Zezwól na dostęp z tej sieci do sieci lokalnych” odpowiada za dostęp Twoich klientów bezprzewodowych do zasobów wewnętrznych, które znajdują się za Check Point NGFW. Po skonfigurowaniu punktu możesz zmienić więcej parametrów.
Dostępne ustawienia
Po podłączeniu testowanego urządzenia do Twojego punktu dostępowego możemy upewnić się, że znajduje się ono w naszej sieci, przejdź do zakładki: Dzienniki i monitorowanie → Stan → Aktywne urządzenia bezprzewodowe
Jeśli klikniemy obiekt z nazwą, zobaczymy właściwości podłączonego klienta:
Oprócz informacji o urządzeniu rozważam następujące przydatne opcje:
- zapisz obiekt do użycia w regułach (1);
- zablokuj dostęp do tego klienta (2).
Ponadto, w oparciu o nasze ustawienia dla Application Blade (w terminologii CheckPoint, jednego z modułów), klikanie potencjalnie niebezpiecznych linków jest zabronione.
Jedną z kategorii staramy się otworzyć na urządzeniu mobilnym, łącząc się przez Wi-Fi z Punktem Kontrolnym NGFW i odpowiednio uzyskując za jego pośrednictwem dostęp do Internetu.
Wnioski: Użytkownik nie mógł uzyskać dostępu do witryny, która należy do kategorii Anonimizator.
Dlatego przyjrzeliśmy się podstawowej konfiguracji łączenia użytkowników za pomocą Wi-Fi; jest to wygodne w małych biurach, w których znajduje się wiele urządzeń bezprzewodowych. Jednocześnie rozwiązanie Check Point NGFW pozwala chronić użytkowników przed lukami w zabezpieczeniach i złośliwą zawartością, a także oferuje elastyczne opcje monitorowania hostów bezprzewodowych. Osobno wspomnę o administracji za pomocą aplikacji mobilnej, sposób został opisany w jednym z naszych .
NGFW i LTE
Modele 1570, 1590 są wyposażone w modem LTE, który umożliwia korzystanie z karty Micro/Nano SIM i tym samym nawiązywanie połączenia 4G. Dla ciekawskich zostawimy pod spoilerem krótkie przypomnienie.
Instrukcja instalacji karty SIM
Więc zainstalowałeś kartę SIM, po czym musisz wrócić do Portalu Gaia i przejść do następnej sekcji Urządzenie → Sieć → Internet. Domyślnie będziesz mieć jedno połączenie WAN; musisz utworzyć nowe połączenie, postępując zgodnie z czerwoną strzałką.
Gdzie będziemy musieli ustawić nazwę połączenia, określ typ interfejsu (w naszym przypadku komórkowy)
Dodatkowo otwórz zakładkę „Monitorowanie połączenia”, tutaj możliwe jest automatyczne wysyłanie: żądania ARP na trasę domyślną, pakietów ICMP do określonych źródeł, zaznaczam, że możesz określić swoje zasoby do monitorowania.
Patka "Komórkowy" odpowiada za wybór priorytetów pomiędzy kartami SIM, w razie potrzeby wprowadzając dane uwierzytelniające (APN, PIN).
W zakładce "Zaawansowane" Możliwe jest ustawienie ustawień sieciowych:
- ustawienia interfejsu (MTU, MAC)
- QOS
- Redundancja dostawcy usług internetowych
- NAT
- DHCP
Po utworzeniu nowego typu połączenia znajdziesz w nim tabelę połączeń internetowych Urządzenie → Sieć → Internet:
Na zrzucie ekranu przedstawionym powyżej widzimy nowe połączenie „LTE_TELE2”, jak można się domyślić, jest to karta SIM od dostawcy Tele2. Tabela dostarcza informacji o poziomie sygnału, pokazuje procent strat i czas opóźnienia. Dodatkowo istnieje możliwość otwarcia opcji Monitorowanie połączenia.
W oknie monitorowania widzimy wyniki wysłania żądań do maksymalnie trzech serwerów, jeden z nich jest niestandardowy (ya.ru). Wyświetlane tutaj:
- procent utraty pakietów;
- procent błędów sieciowych;
- czas reakcji (średni, minimalny i maksymalny);
- drganie.
Jeśli interesują Cię informacje systemowe dotyczące modemu LTE w NGFW Check Point to powinieneś udać się na stronę Dzienniki i monitorowanie → Diagnostyka → Narzędzia → Monitoruj modem komórkowy:
Następnie przeanalizowaliśmy prędkość dostępu do Internetu dla hosta końcowego, który jest podłączony do NGFW poprzez WiFi (5 GHz), a sama bramka wykorzystuje połączenie LTE do wysyłania pakietów do sieci globalnej. Uzyskane wartości porównaliśmy z sytuacją, gdy korzystamy z tej samej lokalizacji geograficznej, ale telefon łączy się bezpośrednio z Internetem. Dla wygody wyniki ukryte są pod spoilerem.
Wyniki SpeedTestu
Oczywiście wskaźniki te mają błędy i mają swoją własną charakterystykę, postawmy hipotezę: NGFW 1590 wzmacnia moc przychodzącego sygnału komórkowego za pomocą dwóch anten zewnętrznych. Stwierdzenie to pośrednio potwierdzają wyniki SpeedTestu, przeprowadzonego w tych samych warunkach i pokazującego spadek Pingu i opóźnień do tego samego zasobu.
przedmiot
NGFW+LTE
Komórka+LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Prędkość przychodząca (Mb/s)
16.1
12
Prędkość wychodząca (Mb/s)
10.9
2.97
Aby ocenić skuteczność anten zewnętrznych NGFW Check Point 1590 zmierzyliśmy poziom odbioru sygnału, a następnie korzystając z menu inżynieryjnego wykonaliśmy podobny pomiar dla telefonu. Wyniki przedstawiono poniżej:
Odpowiednio, poziom mocy odbioru sygnału uważa się za najlepszy, gdy jego wartość ujemna dąży do 0. Wartość uzyskana dla telefonu wyniosła (-109 dBm), dla modemu (-61 dBm). Co generalnie potwierdza naszą hipotezę i wskazuje na stabilność komunikacji LTE rodziny NGFW SMB.
Ogólne wnioski
Podsumowując dzisiejszą część, wzięto pod uwagę dwie technologie: WiFi i LTE, które wspierają modele 1570, 1590 Check Point.
W przypadku małych biur i oddziałów nie zawsze jest możliwe zainstalowanie oddzielnych punktów dostępu bezprzewodowego, dlatego NGFW pomoże zorganizować sieć bezprzewodową, a co najważniejsze, ochroni takich użytkowników.
Jeśli chodzi o modem LTE oparty na NGFW, moim zdaniem pożądane będą następujące przypadki użycia:
- Brak przewodowego połączenia z Internetem. W takim przypadku będziesz zmuszony skorzystać z komunikacji mobilnej, aby zapewnić połączenie z Internetem. Scenariusz ten dotyczy także konkretnych firm, których rodzaj działalności wymaga „mobilnego” rozmieszczenia infrastruktury sieciowej, niezależnie od warunków (teren, dostępność komunikacji przewodowej itp.).
- Rezerwacja głównego przewodowego kanału dostępu. Przypomnę, że NGFW obsługuje pracę z dwoma kartami SIM, zwiększa to odporność na awarie Twojej infrastruktury w przypadku awarii jednego z łączy przewodowych. Możesz także ręcznie włączyć połączenie LTE, w zależności od scenariusza użytkowania.
. Czekać na dalsze informacje (, , , , ).
Źródło: www.habr.com