Вопрос: SonicWall "gotchas"?


Мы стремимся отойти от PFSense и CARP до пары SonicWall NSA 24001 настроен в Active / Passive для высокой доступности.

Я никогда не занимался SonicWall раньше, так что я должен знать, что их продавец не скажет мне?

Я знаю, что у них была проблема с большим количеством устройств, отключающих подключение из-за ошибка лицензирования, и у них есть откровенно сложный GUI управления (по крайней мере на более старых устройствах), но есть ли какие-либо другие большие «ошибки», о которых мне нужно знать, прежде чем совершать не несущественную сумму денег по отношению к этим устройствам?

1Если вы находитесь за пределами США, глобальные сайты SonicWall сосать шарики. Используйте сайт США для всех исследований своих продуктов, а затем используйте свой локальный сайт, когда вы будете получать локальную информацию.


6
2018-02-18 04:11


Источник




Ответы:


Я был очень доволен HA на всех моделях sonicwall, которые мы использовали. Самое близкое совпадение с вашей установкой - это пара NSA 4500 в нашем основном центре обработки данных. После настройки, HA был твердым. Один из пунктов, которые я хотел бы отметить, - это установить индивидуальные IP-адреса управления в настройке HA. Он позволяет вам войти в резервный брандмауэр, не затрагивая первичный (например, обновление промежуточных прошивок).


6
2018-06-30 18:33



В SonicOS Enhanced пара HA является точной копией друг друга. Любые изменения (в том числе обновления прошивки), которые производятся на первичном, немедленно реплицируются на второй. Поэтому, если вы создадите IP-адрес управления в резервном блоке, он будет отменен после того, как вы соедините две и синхронизацию конфигураций. Я ошибаюсь? - Safado
Ты прав. IP-адреса управления являются частью конфигурации HA (HA-> Monitoring). Здесь вы можете назначить отдельные IP-адреса для первичных и резервных блоков. На резервном блоке нет отдельной конфигурации. Это просто позволяет вам войти в резервное устройство, если это необходимо. Он также используется для мониторинга зонда. - Jim G.
+1 - Я согласен во всем. Устройства SonicWall удивительно гибкие и очень стабильные. У нас есть пары NSA 4500 вокруг нашей сети и раздача TZ 100s нашим сотрудникам удаленного / домашнего офиса для туннеля с автоматическим VPN. До сих пор они никогда не подводили нас и довольно просты в настройке. - Cypher
О, вот что это! +1 для головок. - Safado


В дополнение к тому, что уже упоминалось, могу ли я добавить немного о своей IPS и фильтрации контента.

Я не знаю, что вы запланировали для SonicWalls, но наш шлюзовый маршрутизатор в нашем здании NSA 3500. Мы являемся компанией из 85 пользователей. У нас есть лицензии для системы фильтрации контента, предотвращения вторжений и монитора потока приложений, которые все превосходны. Я могу проверить, сколько из нашей полосы пропускания идет на Pandora или youtube, я могу видеть, какие файлы покидают здание. Если я вытащу журналы, и я вижу, что пользователь использует bittorrent, я могу убить сессию и заблокировать будущий трафик bittorrent за два клика. Для управления пропускной способностью и безопасности это здорово.

У нас также есть SonicWalls в нашем удаленном офисе по доставке и в нашем офисе, где находятся наши серверы производства. У нас есть VPN-туннели (сайт-сайт) между тремя сайтами, и это смешно легко настроить. В нашем клубе есть два nsa 3500 в паре HA. Мы выполнили несколько тестов при отказоустойчивости, когда мы их впервые установили, и нам не пришлось беспокоиться о паре с тех пор. Мы также изучаем лицензирование пары HA с помощью системы предотвращения вторжений, которая будет обнаруживать атаки с использованием грубой силы, попытки внедрения sql и т. Д. С тем, что они называют движком «глубокой проверки пакетов».

Я был более чем доволен нашими SonicWalls.

Однако некоторые вещи, на которые нужно обратить внимание, это лицензирование. Иногда кажется, что они берут каждый пенни, который у вас есть каждый раз, когда вы добавляете функцию. Я считаю, что единственное лицензирование, с которым вам приходится беспокоиться, - это, если вы хотите, чтобы это было отказоустойчивым с точки зрения состояния. Если это лицензировано, любые подключения к вашему основному sonicwall будут доступны и готовы к резервному копированию в случае сбоя при сбое, а любые существующие соединения не будут прерваны. Я думаю, что все.


3
2018-06-30 22:46



Хорошо знать. Мы рассмотрели их параметры DPI и контента, но у нас нет немедленного использования для них, поскольку у нас есть брандмауэр Microsoft TMG, который находится за пограничным шлюзом, который делает все это для нас. Я согласен с лицензированием, но он довольно стандартный на этом конце рынка. Cisco так же плоха. - Mark Henderson♦


В настоящее время главная поддержка SonicWalls - поддержка IPv6. Существует только один полуподдерживаемый релиз SonicOS (5.5.6), в котором есть все доступные функции IPv6. Все последующие версии (5.8.x являются текущими) не имеют поддержки IPv6. Переходы не поддерживаются, не восстанавливая всю вашу конфиденциальность. Это уровень поддержки IPv6 в этой поздней версии, и вы не должны покупать ничего нового у Sonicwall до тех пор, пока у них не будет поддержки IPv6 в общедоступной версии с разумным паритетом характеристик.

Мы довольны нашими парами NSA4500 и NSA2400 в противном случае, HA работает как рекламируется, равно как и балансировка нагрузки от нескольких интернет-провайдеров. Функциональность CLI воняет, но улучшенный веб-интерфейс SonicOS лучше, чем любой другой брандмауэр, с которым я столкнулся. Файлы конфигурации являются двоичными блоками, поэтому вы не можете редактировать их ни с чем, кроме графического интерфейса. Просто используйте хороший контроль версий и экспортируйте свои конфигурационные капли в SVN, Git или что-то другое после каждого изменения.


3
2018-02-15 16:37



FYI, почти полный год спустя, а старая версия 5.5.6 «feature» по-прежнему остается единственной поддержкой IPv6, доступной от Sonicwall. Я зарегистрирован для бета-канала, и у них до сих пор нет бета-версии новой прошивки, включающей поддержку IPv6. Они обещают это для 5.9, однако, «в ближайшем будущем», о которых они говорили годами. - rmalayter
По состоянию на май 2013 года еще не выпущено 5.9 ipv6-совместимое прошивку. Я уверен, что причина, по которой он занимает много времени, - это то, что они хотят получить бесплатный продукт.
Последние выпуски Sonicwall NSA 4500 Firmware 5.9.0.2. Он поддерживает IPv6. software.sonicwall.com/Firmware/Documentation/...
@bob_i Похоже, что многие функции отключены для IPv6 в 5.9.x ... любой опыт с ним лично? Мы рассматриваем это, но, конечно, теперь у нас есть только одна пара брандмауэров HA в каждом месте, поэтому нет возможности проверить их разумно. Я не думаю, что они предлагают версию на базе VM для тестирования в серии NSA (хотя они имеют их для других устройств Sonicwall). - rmalayter


У меня были проблемы с VoIP с NSA 4500 - много пакетов вне очереди. Их версия QoS (называемая Bandwidth Management) была реализована для трафика SIP, но даже звонок поддержки не получил нигде. Я, наконец, просто поставил окно поставщика SIP за пределами 4500, и проблема исчезла. Быстрый поиск в Google покажет, что это довольно распространенная проблема. Если вы собираетесь запускать VoIP через него, вам может понадобиться найти другое решение.


0
2018-05-22 14:30



Просто другой POV - мне сказали то же самое. VoIP не работает. Проблема в том, что у меня уже была система Sonicwall NSA 2400 и 3CX. Это заняло немного больше времени, но он отлично работает уже более года. 170 телефонов - IMAbev