您好,亲爱的 TS 解决方案博客读者,我们将继续撰写有关 SMB 领域的 NGFW CheckPoint 解决方案的系列文章。 为了方便起见,您可以熟悉型号范围,研究其特征和功能 ,然后我们建议使用真实 1590 Check Point 设备的示例进行拆包和初始设置 .
对于那些刚刚熟悉 SMB 型号系列的人 - 适用于最多 200 人的小型办公室或分支机构(选择型号 1590 时)。 该系列的功能之一是支持无线通信;当基础设施中的设备配备 WiFi 适配器或 NGFW 需要通过移动通信访问互联网时,这一功能非常有用。 对于列出的任务,您将需要以下技术:WiFi、LTE。 这篇文章就是关于这个的,我们将看看:
- 启用并配置NGFW WiFi模式。
- 使能并配置NGFW的LTE工作模式。
- 关于 NGFW 无线技术的一般结论。
下一代防火墙和WiFi
如果我们返回到系列的第 2 部分,我们会禁用无线用户连接选项,因此您需要转到选项卡 设备 → 网络 → 无线
在我提供的屏幕截图中,有两种可能的 WiFi 工作模式:
- 2.4 GHz 是大多数各代无线设备都支持的频率。
- 5 GHz 频率是无线设备的现代标准;所有现代智能手机、平板电脑和笔记本电脑均支持该频率。
另外,从上面的屏幕截图中您可以注意到,我已经启用了 5 GHz 工作模式,让我们一起设置 2.4 GHz,为此,请单击 按钮 “配置”.
在接入点创建窗口中,我们被要求指定一组标准参数。 您可以使用密码或 Radius 服务器作为身份验证方法。 “允许从此网络访问本地网络”选项负责无线客户端对位于 Check Point NGFW 后面的内部资源的访问。 配置好点后,您可以更改更多参数。
可用设置
待测设备连接到您的接入点后,我们可以确保它在我们的网络上,转到选项卡: 日志和监控 → 状态 → 无线有源设备
如果我们单击具有名称的对象,我们将看到连接的客户端的属性:
除了有关设备的信息之外,我还考虑以下有用的选项:
- 保存对象以供规则(1)中使用;
- 阻止对此客户端的访问 (2)。
此外,根据我们对应用程序刀片(在 CheckPoint 术语中,模块之一)的设置,禁止单击潜在危险的链接。
我们尝试通过 WiFi 连接到 NGFW Check Point 来在移动设备上打开其中一个类别,并相应地通过它访问互联网。
结论: 用户无法访问该网站,该网站属于匿名程序类别。
因此,我们研究了使用 WiFi 连接用户的基本设置;这在有大量无线设备的小型办公室中很方便。 同时,Check Point NGFW 解决方案允许您保护您的用户免受漏洞和恶意内容的侵害,并且您有灵活的选项来监控无线主机。 我想单独提及使用移动应用程序进行管理;该方法在我们的一篇文章中进行了描述 .
下一代防火墙和LTE
型号 1570、1590 配备 LTE 调制解调器,允许您使用 Micro/Nano SIM 卡并建立 4G 连接。 对于那些好奇的人,我们将在剧透下留下一个简短的提醒。
SIM 卡安装说明
所以你已经安装了SIM卡,之后你需要返回Gaia Portal并进入下一部分 设备 → 网络 → 互联网。 默认情况下,您将有一个 WAN 连接;您需要按照红色箭头创建一个新连接。
我们需要设置连接名称,确定接口类型(在我们的例子中是蜂窝)
另外,打开选项卡 “连接监控”,这里可以自动发送:到默认路由的ARP请求,到指定源的ICMP数据包,我注意到你可以指定你的资源进行监控。
插页 “蜂窝” 负责选择 SIM 之间的优先级,并在需要时输入身份验证数据(APN、PIN)。
在标签中 “先进的” 可以设置网络设置:
- 接口设置(MTU、MAC)
- QOS
- ISP 冗余
- NAT
- DHCP
创建新的连接类型后,您将在以下位置找到一个 Internet 连接表: 设备 → 网络 → 互联网:
在上面的屏幕截图中,我们看到一个新连接“LTE_TELE2”,正如您可能已经猜到的,这是来自 Tele2 提供商的 SIM 卡。 该表提供有关信号电平的信息,显示丢失百分比和延迟时间。 另外,还可以打开这个选项 连接监控。
在监控窗口中,我们可以看到向最多三台服务器发送请求的结果,其中之一是自定义服务器(ya.ru)。 此处显示:
- 丢包百分比;
- 网络错误百分比;
- 响应时间(平均、最小和最大);
- 抖动。
如果您对 NGFW Check Point 上的 LTE 调制解调器的系统信息感兴趣,那么您应该访问 日志和监控→ 诊断 → 工具 → 监控蜂窝调制解调器:
接下来,我们分析了终端主机的互联网访问速度,终端主机通过 WiFi (5 GHz) 连接到 NGFW,网关本身使用 LTE 连接将数据包发送到全球网络。 我们将得到的值与使用相同地理位置,但手机直接连接互联网的情况进行了比较。 为了方便起见,结果隐藏在扰流板下。
速度测试结果
当然,这些指标都有误差和各自的特点,我们提出一个假设:NGFW 1590使用两个外部天线放大传入的蜂窝信号的功率。 SpeedTest 的结果间接证实了这一说法,在相同条件下进行的速度测试显示同一资源的 Ping 和延迟有所下降。
设施
下一代防火墙+LTE
移动+LTE
Ping (ms)
30
34
抖动(毫秒)
7.2
5.2
传入速度(Mbps)
16.1
12
传出速度(Mbp/秒)
10.9
2.97
为了评估 NGFW Check Point 1590 外置天线的有效性,我们测量了信号接收水平,然后使用工程菜单对手机进行了类似的测量。 结果如下:
因此,当其负值趋于0时,信号接收功率电平被认为是最佳的。电话获得的值为(-109 dBm),调制解调器为(-61 dBm)。 这总体上证实了我们的假设,并表明了 NGFW SMB 系列 LTE 通信的稳定性。
一般结论
总结今天的部分,考虑了两种技术:WiFi 和 LTE,1570、1590 Check Point 型号均支持这两种技术。
对于小型办公室和分支机构,并不总是可以安装单独的无线接入点,因此 NGFW 将帮助组织无线网络,最重要的是保护此类用户。
对于基于 NGFW 的 LTE 调制解调器,我认为以下用例将会受到需求:
- 缺乏与互联网的有线连接。 在这种情况下,您将被迫使用移动通信来提供互联网连接。 这种情况也适用于特定公司,这些公司的活动类型需要“移动”放置其网络基础设施,无论条件如何(地形、有线通信的可用性等)。
- 预留主要有线接入通道。 让我提醒您,NGFW 支持使用两个 SIM 卡,这可以提高您的基础设施在其中一个有线链路发生事故时的容错能力。 您也可以根据您的使用场景手动启用 LTE 连接。
。 敬请关注 (, , , , ).
来源: habr.com