我们正在升级我们的网络结构; 其中一个主要部分包括从 SonicWall 网络安全设备 (NSA) 中端防火墙系列迁移到 NSA 3600。 该防火墙系列是中小型企业环境的理想之选,以其先进的自动化威胁防御技术而著称。 以前,我们使用 Sonicwall 的 TZ500W,一种易于部署的一体式 SMB 桌面防火墙解决方案,非常适合小型网络。 转向入门级企业机架平台,NSA 3600 在我们的实验室中起到了重要的升级作用,它通过 SFP+ 端口提供 10G 支持并支持巨型帧。
我们正在升级我们的网络结构; 其中一个主要部分包括从 SonicWall 网络安全设备 (NSA) 中端防火墙系列迁移到 NSA 3600。 该防火墙系列是中小型企业环境的理想之选,以其先进的自动化威胁防御技术而著称。 以前,我们使用 Sonicwall 的 TZ500W,一种易于部署的一体式 SMB 桌面防火墙解决方案,非常适合小型网络。 转向入门级企业机架平台,NSA 3600 在我们的实验室中起到了重要的升级作用,它通过 SFP+ 端口提供 10G 支持并支持巨型帧。
NSA 3600 由 SonicOS 提供支持,这是一个配置简单且易于使用的综合操作系统。 SonicOS 有助于简化管理,并通过应用程序智能和控制、实时可视化和入侵防御系统等功能为管理员提供大量的网络控制和多功能性。
凭借其全面的控制选项、实时可视化和 WLAN 管理,我们将能够轻松监控整个网络的活动。 此外,NSA 3600 配备了 SonicWall 的免重组深度包检测技术,该技术扫描流量中的所有威胁(已知和未知)并在它们能够感染网络之前将其消除。 Capture Advanced Threat Protection Service 还为企业提供基于云的多引擎沙盒,可阻止未知和零日网关攻击。 该技术的工作原理是扫描各种文件大小和类型的所有流量,然后提取任何可疑代码以供进一步分析。 SYN 洪水保护通过第 3 层 SYN 代理和第 2 层 SYN 黑名单技术提供针对 DoS 攻击的保护,同时使用 UDP/ICMP 洪水保护和连接速率限制来防御 DOS/DDoS。 这款 NSA 中档系列防火墙还提供威胁 API、状态数据包检测、WAN 负载平衡、生物识别身份验证等。 通过所有这些防御措施,NSA 3600 能够分别提供 3.4 Gbps、1.1 Gbps 和 600 Mbps 的防火墙、IPS 和反恶意软件吞吐量。
SonicWall NSA 3600 规格
- 操作系统:SonicOS 6.2.9
- 安全处理核心:6个
- 接口:2 x 10-GbE SFP+、4 x 1-GbE SFP、12 x 1 GbE、1 GbE 管理、1 个控制台
- 内存(RAM):2.0 GB
- 扩展:1个扩展槽(后置),SD卡
- 管理:CLI、SSH、GUI、GMS
- SSO 用户:40,000
- 支持的最大 SonicPoints:48
- 记录:分析器、本地日志、系统日志
- 防火墙/VPN 性能:
- 防火墙检查吞吐量:3.4 Gbps
- 全 DPI 吞吐量:500 Mbps
- 应用检查吞吐量:1.1 Gbps 2.0 Gbps 3.0 Gbps 4.5 Gbps
- IPS 吞吐量:1.1 Gbps
- 反恶意软件检查吞吐量:600 Mbps
- IMIX 吞吐量:900 Mbps
- SSL 检查和解密 (DPI SSL):300 Mbps
- VPN 吞吐量:1.5 Gbps
- 每秒连接数:20,000/秒
- 最大连接数 (SPI):750,000
- 最大连接数 (DPI):375,000
- 默认/最大连接数 (DPI SSL):2,000/2,750
- VPN
- 站点到站点隧道:1,000
- IPSec VPN 客户端(最多):50 (1,000)
- SSL VPN NetExtender 客户端(最大):2 (350)
- 加密/身份验证:DES、3DES、AES(128、192、256 位)/MD5、SHA-1、Suite B 加密
- 密钥交换:Diffie Hellman 组 1、2、5、14v
- 基于路由:VPN RIP、OSPF
- 网络:
- IP 地址分配:静态(DHCP PPPoE、L2TP 和 PPTP 客户端)、内部 DHCP 服务器、DHCP 中继
- NAT 模式:1:1、many:1、1:many、灵活 NAT(重叠 IPS)、PAT、透明模式
- VLAN接口:256
- 路由协议:BGP、OSPF、RIPv1/v2、静态路由、策略路由、组播
- QoS:带宽优先级、最大带宽、保证带宽、DSCP 标记、802.1p
- 身份验证:XAUTH/RADIUS、Active Directory、SSO、LDAP、Novell、内部用户数据库、终端服务、Citrix、通用访问卡 (CAC)
- 网络电话:完整的 H323-v1-5、SIP
- 标准:TCP/IP、ICMP、HTTP、HTTPS、IPSec、ISAKMP/IKE、SNMP、DHCP、PPPoE、L2TP、PPTP、RADIUS、IEEE 802.3
- 认证:ICSA 防火墙、ICSA 防病毒、FIPS 140-2、通用标准 NDPP(防火墙和 IPS)、UC APL
- 高可用性:
- 带状态同步的主动/被动
- 主动/主动集群
- 电源:单个,固定 250W
- 输入电源:100-240 伏交流电,60-50 赫兹
- 最大功耗(W):74.3
- MTBF @25ºC 小时:146,789
- MTBF @25ºC 年:16.76
- 外形:1U 机架式
- 尺寸:1.75 x 19.1 x 17 英寸(4.5 x 48.5 x 43 厘米)
- 重量:13.56 磅(6.15 千克)
- WEEE 重量:14.24 磅(6.46 千克)
- 装运重量:20.79 磅(9.43 千克)
- 主要监管:FCC A 类、CE(EMC、LVD、RoHS)、C-Tick、VCCI A 类、MSIP/KCC A 类、UL、cUL、TUV/GS、CB、
- 墨西哥 CoC 由 UL、WEEE、REACH、ANATEL、BSMI、CU
- 环境:32-105 华氏度,0-40 摄氏度
- 湿度:10-90% 非冷凝
设计与建造
SonicWall NSA 3600 采用 1U 机架外形,并具有与 4600 和 5600 型号相同的连接布局。 前面板左侧是控制台端口(通过随附的串行 CLI 电缆连接时可以访问 SonicOS CLI)、一个 SDHC 端口、两个 USB 端口和一个安全模式按钮(按下直到闪烁以访问)。 还有四个 LED 状态指示灯: Power LED,蓝色表示电源正常工作,黄色表示电源已断开; 测试 LED,显示初始化、测试、安全模式状态; 红色报警 LED; 和 M0 LED,显示扩展模块 0 活动。
状态指示灯旁边是管理端口 (1 GE)、两个 X16-X17 (10 GE SFP+) 热插拔端口、四个用于高速光纤或铜缆以太网通信的 X12-X15 (1 GE SFP) 端口,以及十二个X0-X11 (1 GE) 高速铜质千兆以太网端口。
后面板是扩展托架的所在地,它支持“SonicWall 认可”的扩展模块,以及双自动节流风扇和电源端口/开关。
升级过程
SonicWall 使升级防火墙的过程变得非常简单。 在我们从 TZ500W 转移到 NSA 3600 的案例中,我们能够从一个中获取保存的配置文件并将其导入另一个,无需进行额外的转换。 这对我们来说非常重要,因为虽然部署防火墙很简单,但手动添加所有现有的防火墙规则将是一个耗时的过程。 在这种情况下,一旦 NSA 3600 升级到与 TZ3600W 相同(或更新)的固件版本,我们就在文件导入后的几分钟内将网络环境切换到 NSA 500。
在升级过程中,我们保持相同的接口连接; 通过 1GbE 连接到防火墙。 升级的主要原因是 NSA 10 提供的 SFP+ 3600GbE 端口,允许我们在新的 48 端口 10G Dell S4048 或 32 端口 100G Dell Z9100 交换机上线时将其直接上行链接到它们。 此次升级是一项艰巨的任务,因为我们将 40GbE 结构迁移到 100G 以用于下一代存储和计算硬件。 NSA 3600 部署是这个过程中简单的第一步,尽管我们正在努力使我们的网络现代化。
