您好,親愛的 TS 解決方案部落格讀者,我們將繼續撰寫有關 SMB 領域的 NGFW CheckPoint 解決方案的系列文章。為了方便起見,您可以熟悉型號範圍,研究其特徵和功能 ,然後我們建議使用真實 1590 Check Point 設備的範例進行拆解和初始設置 .
對於剛剛熟悉 SMB 型號系列的人 - 適用於最多 200 人的小型辦公室或分店(選擇型號 1590 時)。該系列的功能之一是支援無線通訊;當基礎設施中的設備配備 WiFi 適配器或 NGFW 需要透過行動通訊存取互聯網時,這項功能非常有用。對於列出的任務,您將需要以下技術:WiFi、LTE。這篇文章就是關於這個的,我們將看看:
- 啟用並配置NGFW WiFi模式。
- 使能並配置NGFW的LTE工作模式。
- 關於 NGFW 無線技術的一般結論。
新一代防火牆和WiFi
如果我們回到系列的第 2 部分,我們會停用無線使用者連線選項,因此您需要前往選項卡 設備 → 網路 → 無線
在我提供的螢幕截圖中,有兩種可能的 WiFi 工作模式:
- 2.4 GHz 是大多數各代無線裝置都支援的頻率。
- 5 GHz 頻率是無線設備的現代標準;所有現代智慧型手機、平板電腦和筆記型電腦均支援此頻率。
另外,從上面的螢幕截圖中您可以注意到,我已經啟用了 5 GHz 工作模式,讓我們一起設定 2.4 GHz,為此,請點擊 按鈕 “配置”.
在接入點建立視窗中,我們被要求指定一組標準參數。您可以使用密碼或 Radius 伺服器作為身份驗證方法。 「允許從此網路存取本機網路」選項負責無線用戶端對位於 Check Point NGFW 後面的內部資源的存取。配置好點後,您可以變更更多參數。
可用設置
待測設備連接到您的存取點後,我們可以確保它在我們的網路上,轉到選項卡: 日誌與監控 → 狀態 → 無線主動式設備
如果我們按一下具有名稱的對象,我們將看到連接的客戶端的屬性:
除了有關設備的資訊之外,我還考慮以下有用的選項:
- 保存物件以供規則(1)中使用;
- 阻止對此客戶端的存取 (2)。
此外,根據我們對應用程式刀片(在 CheckPoint 術語中,模組之一)的設置,禁止點擊潛在危險的連結。
我們嘗試透過 WiFi 連接到 NGFW Check Point 來在行動裝置上開啟其中一個類別,並相應地透過它存取網路。
結論: 使用者無法存取該網站,該網站屬於匿名程式類別。
因此,我們研究了使用 WiFi 連接用戶的基本設定;這在有大量無線設備的小型辦公室中很方便。同時,Check Point NGFW 解決方案可讓您保護您的使用者免受漏洞和惡意內容的侵害,並且您有靈活的選項來監控無線主機。我想單獨提及使用行動應用程式進行管理;該方法在我們的一篇文章中進行了描述 .
新一代防火牆和LTE
型號 1570、1590 配備 LTE 數據機,讓您可以使用 Micro/Nano SIM 卡建立 4G 連線。對於那些好奇的人,我們將在劇透下留下一個簡短的提醒。
SIM 卡安裝說明
所以你已經安裝了SIM卡,之後你需要回到Gaia Portal並進入下一部分 設備 → 網路 → 網路。預設情況下,您將有一個 WAN 連線;您需要按照紅色箭頭建立新連線。
我們需要設定連接名稱,確定介面類型(在我們的例子中是蜂窩)
另外,打開選項卡 “連線監控”,這裡可以自動發送:到預設路由的ARP請求,到指定來源的ICMP封包,我注意到你可以指定你的資源進行監控。
標籤 “蜂窩” 負責選擇 SIM 之間的優先級,並在需要時輸入身份驗證資料(APN、PIN)。
在選項卡中 “先進的” 可設定網路設定:
- 介面設定(MTU、MAC)
- 服務質量
- ISP 冗餘
- NAT
- 的DHCP
建立新的連線類型後,您將在下列位置找到一個 Internet 連接表: 設備 → 網路 → 網路:
在上面的螢幕截圖中,我們看到一個新連接“LTE_TELE2”,正如您可能已經猜到的,這是來自 Tele2 提供者的 SIM 卡。此表提供有關訊號電平的信息,顯示遺失百分比和延遲時間。另外,還可以開啟這個選項 連接監控。
在監控視窗中,我們可以看到向最多三台伺服器發送請求的結果,其中之一是自訂伺服器(ya.ru)。此處顯示:
- 丟包百分比;
- 網路錯誤百分比;
- 反應時間(平均、最小和最大);
- 抖動。
如果您對 NGFW Check Point 上的 LTE 數據機的系統資訊感興趣,那麼您應該訪問 日誌與監控→ 診斷 → 工具 → 監控蜂巢式調變解調器:
接下來,我們分析了終端主機的網路存取速度,終端主機透過 WiFi (5 GHz) 連接到 NGFW,而網關本身則使用 LTE 連接將資料包傳送到全球網路。我們將得到的數值與使用相同地理位置,但手機直接連接網路的情況進行了比較。為了方便起見,結果隱藏在擾流板下。
速度測試結果
當然,這些指標都有誤差和各自的特點,我們提出一個假設:NGFW 1590使用兩個外部天線放大傳入的蜂巢訊號的功率。 SpeedTest 的結果間接證實了這一說法,在相同條件下進行的速度測試顯示相同資源的 Ping 和延遲有所下降。
對象
下一代防火牆+LTE
移動+LTE
Ping(ms)
30
34
抖動(毫秒)
7.2
5.2
傳入速度(Mbps)
16.1
12
傳出速度(Mbp/秒)
10.9
2.97
為了評估 NGFW Check Point 1590 外接天線的有效性,我們測量了訊號接收水平,然後使用工程選單對手機進行了類似的測量。結果如下:
因此,當其負值趨於0時,訊號接收功率電平被認為是最佳的。電話獲得的值為(-109 dBm),調變解調器為(-61 dBm)。這總體上證實了我們的假設,並表明了 NGFW SMB 系列 LTE 通訊的穩定性。
一般結論
總結今天的部分,考慮了兩種技術:WiFi 和 LTE,1570、1590 Check Point 型號均支援這兩種技術。
對於小型辦公室和分支機構,並不總是可以安裝單獨的無線接入點,因此 NGFW 將幫助組織無線網絡,最重要的是保護此類用戶。
對於基於 NGFW 的 LTE 調變解調器,我認為以下用例將會受到需求:
- 缺乏與網路的有線連線。在這種情況下,您將被迫使用行動通訊來提供網路連線。這種情況也適用於特定公司,這些公司的活動類型需要「移動」放置其網路基礎設施,無論條件如何(地形、有線通訊的可用性等)。
- 預留主要有線接入通道。讓我提醒您,NGFW 支援使用兩個 SIM 卡,這可以提高您的基礎設施在其中一個有線鏈路發生事故時的容錯能力。您也可以根據您的使用場景手動啟用 LTE 連線。
。 敬請關注 (, , , , ).
來源: www.habr.com