Доброго дня, шановні читачі блогу TS Solution, ми продовжуємо цикл статей для рішень NGFW СheckPoint сегменту SMB. Для зручності ви можете ознайомитися з модельним рядом, вивчити характеристики та можливості , далі пропонуємо звернутися до розпакування та первинного налаштування на прикладі реального обладнання 1590 Check Point .
Для тих хто тільки знайомиться з модельним рядом SMB - підходить до малих офісів або філій до 200 осіб (при виборі моделі 1590). Однією з особливостей цього сімейства є підтримка бездротового зв'язку, це може бути корисно, коли в інфраструктурі є пристрої, які мають WiFi-адаптер або NGFW, потрібен вихід в Інтернет за допомогою мобільного зв'язку. Для цих завдань вам будуть необхідні технології: WiFi, LTE. Про це дана стаття, де розглянемо:
- Увімкнення та налаштування WiFi-режиму роботи NGFW.
- Увімкнення та налаштування LTE-режиму роботи NGFW.
- Загальні висновки про бездротові технології для NGFW.
NGFW та WiFi
Якщо повернутися до 2 частини нашого циклу, ми залишили опцію бездротового підключення користувачів вимкненою, тому необхідно перейти у вкладку Device → Network → Wireless
На наведеному мною скріншоті є два можливі режими роботи WiFi:
- 2.4 ГГц – частота, яка підтримується більшістю поколінь різних бездротових пристроїв.
- 5 ГГц – частота, яка є сучасним стандартом для роботи з бездротовими пристроями, підтримка є у всіх сучасних смартфонах, планшетах та ноутбуках.
Також зі скріншота (вище) можна відзначити, що я вже ввімкнув 5 ГГц режим роботи, давайте спільно налаштуємо 2.4 ГГц, для цього натисніть кнопку "Configure".
У вікні створення точки доступу нам пропонують вказати стандартний набір параметрів. Як метод аутентифікації можна використовувати пароль або Radius-сервер. Опція “Allow access from this network to local networks” відповідає за доступ ваших бездротових клієнтів до внутрішніх ресурсів, які знаходяться за Check Point NGFW. Після того, як ваша точка буде налаштована, ви зможете змінювати більше параметрів.
Доступні установки
Після того, як тестований пристрій підключився до вашої точки доступу, ми можемо переконатися, що воно в нашій мережі, перейдіть у вкладку: Logs & Monitoring → Status → Wireless Active Devices
Якщо натиснути об'єкт з ім'ям, то ми побачимо властивості підключеного клієнта:
Окрім інформації про пристрій, вважаю корисні опції:
- зберегти об'єкт для використання у правилах (1);
- блокувати доступ цього клієнта (2).
Далі, виходячи з наших налаштувань по Application Blade (у термінології СheckPoint один з модулів) — заборонено перехід за потенційно небезпечними посиланнями.
Пробуємо відкрити одну з категорій на мобільному пристрої, підключившись за допомогою WiFi до NGFW Check Point і виходячи через нього в Інтернет.
Висновок: Користувач не зміг отримати доступ до сайту, який відноситься до категорії Anonymizer.
Таким чином, ми з вами розглянули базове налаштування для підключення користувачів за допомогою WiFi, це зручно в невеликих офісах, де багато бездротових пристроїв. При цьому рішення Check Point NGFW дозволяє захистити ваших користувачів від уразливостей та шкідливого вмісту, ви маєте гнучкі можливості контролю за бездротовими хостами. Окремо згадаю адміністрування за допомогою мобільного додатка, спосіб був описаний в одній із наших .
NGFW та LTE
Моделі 1570, 1590 йдуть з LTE-модемом, який дозволяє використовувати Micro/Nano SIM та встановлювати за рахунок цього 4G з'єднання. Для допитливих під спойлером залишимо коротку пам'ятку.
Інструкція для встановлення SIM
Отже, ви встановили SIM, після цього необхідно повернутися до Gaia Portal і перейти до наступного розділу Device → Network → Internet. За замовчуванням у вас буде встановлено одне WAN-з'єднання, необхідно створити нове підключення, перейшовши за червоною стрілкою.
Де нам потрібно буде задати ім'я з'єднання, визначити тип інтерфейсу (у нашому випадку Cellular)
Додатково відкриємо вкладку "Connection Monitoring", тут можна автоматично відправляти: ARP-запит до маршруту за замовчуванням, ICMP-пакети до зазначених джерел, зауважу що ви можете вказувати свої ресурси для моніторингу.
Вкладка «Стільниковий» відповідає за вибір пріоритетів між SIM, введення даних аутентифікації, якщо це потрібно (APN, PIN).
У вкладці «Розширений» є можливість задати мережеві налаштування:
- налаштування для інтерфейсу (MTU, MAC)
- QOS
- ISP Redundancy
- NAT
- DHCP
Після того як ви створите новий вид підключення, ви знайдете таблицю Інтернет-з'єднань Device → Network → Internet:
На скріншоті, представленому вище, ми бачимо нове з'єднання “LTE_TELE2”, як ви вже здогадалися це SIM від провайдера Tele2. У таблиці є інформація про рівень сигналу, показаний відсоток втрат і час затримки. Додатково можна відкрити опцію Connection Monitoring.
У вікні моніторингу ми бачимо результати надсилання запитів до трьох серверів, один із них кастомний (ya.ru). Тут відображається:
- відсоток втрати пакетів;
- відсоток мережевих помилок;
- час відгуку (середнє, мінімальне та максимальне);
- джиттер.
Якщо вас цікавить системна інформація про LTE-модем на NGFW Check Point, слід перейти в Logs & Monitoring→ Diagnostics → Tools → Monitor Cellular Modem:
Далі ми проаналізували швидкість виходу в Інтернет для кінцевого хоста, який підключений до NGFW WiFi (5 ГГц), а сам шлюз використовує LTE підключення для відправки пакетів до Глобальної мережі. Отримані значення ми порівняли із ситуацією, коли використовується те саме географічне місце, але телефон підключається до Інтернету безпосередньо. Результати зручності заховані під спойлер.
Результати SpeedTest
Звичайно дані показники мають похибку та свої особливості, давайте висунемо гіпотезу: NGFW 1590 посилює потужність вхідного стільникового сигналу за рахунок двох зовнішніх антен. Побічно це твердження підтверджують результати SpeedTest, проведені за однакових умов і показують зменшення Ping та часу затримки до однакового ресурсу.
Об'єкт
NGFW + LTE
Mobile + LTE
Пінг (мс)
30
34
Jitter (ms)
7.2
5.2
Вхідна швидкість (Mbp/s)
16.1
12
Вихідна швидкість (Mbp/s)
10.9
2.97
Для того щоб оцінити ефективність зовнішніх антен NGFW Check Point 1590, ми виміряли рівень прийому сигналу, після чого за допомогою інженерного меню виконуємо аналогічний вимір для телефону. Результати представлені нижче:
Відповідно, рівень потужності прийому сигналу вважається кращим, коли його негативне значення прагне до 0. Для телефону отримано значення (-109 ДБм), для модему (-61 ДБм). Що загалом підтверджує нашу гіпотезу і свідчить про стабільність LTE-зв'язку NGFW сімейства SMB.
загальні висновки
Підсумовуючи сьогоднішню частину, були розглянуті дві технології WiFi та LTE, які підтримуються моделями 1570, 1590 Check Point.
Для малих офісів та філій не завжди є можливість встановити окремі бездротові точки доступу, тому NGFW допоможе організувати бездротову мережу, а найголовніше – захистити таких користувачів.
Що стосується LTE-модему на базі NGFW, на мій погляд наступні сценарії використання будуть потрібні:
- Відсутність можливості дротового підключення для виходу до Інтернету. У такому разі ви будете змушені використовувати мобільний зв'язок для забезпечення підключення до Інтернету. Також цей сценарій актуальний для специфічних компаній, рід діяльності яких вимагає "мобільного" розміщення своєї мережевої інфраструктури, незалежно від умов (місцевість, наявність дротового зв'язку тощо).
- Резервування основного проводового каналу доступу. Нагадаю, що NGFW підтримує роботу з двома SIM, це збільшує відмовостійкість вашої інфраструктури у разі аварії з одним із провідних лінків. Також можна вручну включати LTE-підключення, залежно від сценарію використання.
. Слідкуйте за оновленнями (, , , , ).
Джерело: habr.com