我們正在升級我們的網絡結構; 其中一個主要部分包括從 SonicWall 網絡安全設備 (NSA) 中端防火牆系列遷移到 NSA 3600。 該防火牆系列是中小型企業環境的理想之選,以其先進的自動化威脅防禦技術而著稱。 以前,我們使用 Sonicwall 的 TZ500W,一種易於部署的一體式 SMB 桌面防火牆解決方案,非常適合小型網絡。 轉向入門級企業機架平台,NSA 3600 在我們的實驗室中起到了重要的升級作用,它通過 SFP+ 端口提供 10G 支持並支持巨型幀。
我們正在升級我們的網絡結構; 其中一個主要部分包括從 SonicWall 網絡安全設備 (NSA) 中端防火牆系列遷移到 NSA 3600。 該防火牆系列是中小型企業環境的理想之選,以其先進的自動化威脅防禦技術而著稱。 以前,我們使用 Sonicwall 的 TZ500W,一種易於部署的一體式 SMB 桌面防火牆解決方案,非常適合小型網絡。 轉向入門級企業機架平台,NSA 3600 在我們的實驗室中起到了重要的升級作用,它通過 SFP+ 端口提供 10G 支持並支持巨型幀。
NSA 3600 由 SonicOS 提供支持,這是一個配置簡單且易於使用的綜合操作系統。 SonicOS 有助於簡化管理,並通過應用程序智能和控制、實時可視化和入侵防禦系統等功能為管理員提供大量的網絡控制和多功能性。
憑藉其全面的控制選項、實時可視化和 WLAN 管理,我們將能夠輕鬆監控整個網絡的活動。 此外,NSA 3600 配備了 SonicWall 的免重組深度包檢測技術,該技術掃描流量中的所有威脅(已知和未知)並在它們能夠感染網絡之前將其消除。 Capture Advanced Threat Protection Service 還為企業提供基於雲的多引擎沙盒,可阻止未知和零日網關攻擊。 該技術的工作原理是掃描各種文件大小和類型的所有流量,然後提取任何可疑代碼以供進一步分析。 SYN 洪水保護通過第 3 層 SYN 代理和第 2 層 SYN 黑名單技術提供針對 DoS 攻擊的保護,同時使用 UDP/ICMP 洪水保護和連接速率限制來防禦 DOS/DDoS。 這款 NSA 中檔系列防火牆還提供威脅 API、狀態數據包檢測、WAN 負載平衡、生物識別身份驗證等。 通過所有這些防禦措施,NSA 3600 能夠分別提供 3.4 Gbps、1.1 Gbps 和 600 Mbps 的防火牆、IPS 和反惡意軟件吞吐量。
SonicWall NSA 3600 規格
- 操作系統:SonicOS 6.2.9
- 安全處理核心:6
- 接口:2 x 10-GbE SFP+、4 x 1-GbE SFP、12 x 1 GbE、1 GbE 管理、1 個控制台
- 存儲器(RAM):2.0 GB
- 擴展:1個擴展槽(後置),SD卡
- 管理:CLI、SSH、GUI、GMS
- SSO 用戶:40,000
- 支持的最大 SonicPoints:48
- 記錄:分析器、本地日誌、系統日誌
- 防火牆/VPN 性能:
- 防火牆檢查吞吐量:3.4 Gbps
- 全 DPI 吞吐量:500 Mbps
- 應用檢查吞吐量:1.1 Gbps 2.0 Gbps 3.0 Gbps 4.5 Gbps
- IPS 吞吐量:1.1 Gbps
- 反惡意軟件檢查吞吐量:600 Mbps
- IMIX 吞吐量:900 Mbps
- SSL 檢查和解密 (DPI SSL):300 Mbps
- VPN 吞吐量:1.5 Gbps
- 每秒連接數:20,000/秒
- 最大連接數 (SPI):750,000
- 最大連接數 (DPI):375,000
- 默認/最大連接數 (DPI SSL):2,000/2,750
- VPN
- 站點到站點隧道:1,000
- IPSec VPN 客戶端(最多):50 (1,000)
- SSL VPN NetExtender 客戶端(最大):2 (350)
- 加密/身份驗證:DES、3DES、AES(128、192、256 位)/MD5、SHA-1、Suite B 加密
- 密鑰交換:Diffie Hellman 組 1、2、5、14v
- 基於路由:VPN RIP、OSPF
- 網絡:
- IP 地址分配:靜態(DHCP PPPoE、L2TP 和 PPTP 客戶端)、內部 DHCP 服務器、DHCP 中繼
- NAT 模式:1:1、many:1、1:many、靈活 NAT(重疊 IPS)、PAT、透明模式
- VLAN接口:256
- 路由協議:BGP、OSPF、RIPv1/v2、靜態路由、策略路由、組播
- QoS:帶寬優先級、最大帶寬、保證帶寬、DSCP 標記、802.1p
- 身份驗證:XAUTH/RADIUS、Active Directory、SSO、LDAP、Novell、內部用戶數據庫、終端服務、Citrix、通用訪問卡 (CAC)
- 網絡電話:完整的 H323-v1-5、SIP
- 標準:TCP/IP、ICMP、HTTP、HTTPS、IPSec、ISAKMP/IKE、SNMP、DHCP、PPPoE、L2TP、PPTP、RADIUS、IEEE 802.3
- 認證:ICSA 防火牆、ICSA 防病毒、FIPS 140-2、通用標準 NDPP(防火牆和 IPS)、UC APL
- 高可用性:
- 帶狀態同步的主動/被動
- 主動/主動集群
- 電源:單個,固定 250W
- 輸入電源:100-240 伏交流電,60-50 赫茲
- 最大功耗(W):74.3
- MTBF @25ºC 小時:146,789
- MTBF @25ºC 年:16.76
- 外形:1U 機架式
- 尺寸:1.75 x 19.1 x 17 英寸(4.5 x 48.5 x 43 厘米)
- 重量:13.56 磅(6.15 千克)
- WEEE 重量:14.24 磅(6.46 千克)
- 裝運重量:20.79 磅(9.43 千克)
- 主要監管:FCC A 類、CE(EMC、LVD、RoHS)、C-Tick、VCCI A 類、MSIP/KCC A 類、UL、cUL、TUV/GS、CB、
- 墨西哥 CoC 由 UL、WEEE、REACH、ANATEL、BSMI、CU
- 環境:32-105 華氏度,0-40 攝氏度
- 濕度:10-90% 非冷凝
設計和建造
SonicWall NSA 3600 採用 1U 機架外形,並具有與 4600 和 5600 型號相同的連接佈局。 前面板左側是控制台端口(通過隨附的串行 CLI 電纜連接時可以訪問 SonicOS CLI)、一個 SDHC 端口、兩個 USB 端口和一個安全模式按鈕(按下直到閃爍以訪問)。 還有四個 LED 狀態指示燈: Power LED,藍色表示電源正常工作,黃色表示電源已斷開; 測試 LED,顯示初始化、測試、安全模式狀態; 紅色報警 LED; 和 M0 LED,顯示擴展模塊 0 活動。
狀態指示燈旁邊是管理端口 (1 GE)、兩個 X16-X17 (10 GE SFP+) 熱插拔端口、四個用於高速光纖或銅纜以太網通信的 X12-X15 (1 GE SFP) 端口,以及十二個X0-X11 (1 GE) 高速銅質千兆以太網端口。
後面板是擴展托架的所在地,它支持“SonicWall 認可”的擴展模塊,以及雙自動節流風扇和電源端口/開關。
升級過程
SonicWall 使升級防火牆的過程變得非常簡單。 在我們從 TZ500W 轉移到 NSA 3600 的案例中,我們能夠從一個中獲取保存的配置文件並將其導入另一個,無需進行額外的轉換。 這對我們來說非常重要,因為雖然部署防火牆很簡單,但手動添加所有現有的防火牆規則將是一個耗時的過程。 在這種情況下,一旦 NSA 3600 升級到與 TZ3600W 相同(或更新)的固件版本,我們就在文件導入後的幾分鐘內將網絡環境切換到 NSA 500。
在升級過程中,我們保持相同的接口連接; 通過 1GbE 連接到防火牆。 升級的主要原因是 NSA 10 提供的 SFP+ 3600GbE 端口,允許我們在新的 48 端口 10G Dell S4048 或 32 端口 100G Dell Z9100 交換機上線時將其直接上行鏈接到它們。 此次升級是一項艱鉅的任務,因為我們將 40GbE 結構遷移到 100G 以用於下一代存儲和計算硬件。 NSA 3600 部署是這個過程中簡單的第一步,儘管我們正在努力實現網絡現代化。
