我们正在考虑从 PFSense 和 CARP 转向一对SonicWall NSA 24001配置为主动/被动,以实现高可用性。
我之前从未与 SonicWall 打过交道,那么我应该知道但他们的销售人员不会告诉我什么吗?
我知道他们有很多设备因为许可错误,并且它们具有过于复杂的管理 GUI(至少在旧设备上如此),但是在为这些设备投入大量资金之前,还有其他什么大“陷阱”需要我注意吗?
1如果您在美国境外,SonicWall 全球网站就很烂。使用美国网站进行所有产品研究,然后在寻找本地信息时使用本地网站。
答案1
我对我们使用的所有 SonicWall 型号的 HA 都非常满意。与您的设置最接近的是我们主数据中心的一对 NSA 4500。设置完成后,HA 非常稳定。我要注意的一点是一定要在 HA 设置中设置单独的管理 IP。它允许您登录备用防火墙而不影响主防火墙(例如,暂存固件更新)。
答案2
除了已经提到的内容之外,我还要补充一些有关他们的 IPS 和内容过滤的内容。
我不知道您对 SonicWalls 有什么计划,但我们大楼的网关路由器是 NSA 3500。我们公司大约有 85 名用户。我们拥有内容过滤系统、入侵防御和应用程序流量监控的许可证,这些都很棒。我可以检查有多少带宽用于 Pandora 或 youtube,我可以看到哪些文件正在离开大楼。如果我调出日志并看到用户正在使用 bittorrent,我只需单击两次即可终止会话并阻止未来的 bittorrent 流量。对于带宽管理和安全性来说,这很棒。
我们在远程运输办公室和生产服务器所在的主机托管处也安装了 SonicWalls。我们在三个站点之间建立了 VPN 隧道(站点到站点),配置起来非常简单。在我们的主机托管处,我们有两个 nsa 3500,组成一个 HA 对。我们在第一次设置它们时进行了一些故障转移测试,从那以后我们就不必担心这对了。我们还在考虑为 HA 对授予入侵防御许可,这将使用他们所谓的“深度数据包检测”引擎来检测暴力攻击、sql 注入尝试等。
我对我们的 SonicWalls 非常满意。
不过,需要注意的是许可问题。有时感觉每次添加功能时他们都会榨干你的每一分钱。我认为你唯一需要担心的 HA 许可问题是你是否希望它成为有状态故障转移。如果这是许可的,那么在发生故障转移时,与主 SonicWall 的任何连接都将存在并在备份上准备就绪,并且任何现有连接都不会中断。不过我想就是这样。
答案3
SonicWalls 目前的一个主要问题是 IPv6 支持。SonicOS 只有一个半支持版本 (5.5.6),其中有任何可用的 IPv6 功能。所有后续版本(当前为 5.8.x)都不支持 IPv6。如果不重建所有配置,则不支持降级。目前为止,这种级别的 IPv6 支持实在是太荒谬了,您不应该从 Sonicwall 购买任何新产品,直到他们在一般支持的版本中提供 IPv6 支持,并且功能相当合理。
我们对 NSA4500 和 NSA2400 对非常满意,除此之外,HA 的效果与宣传的一样好,来自多个 ISP 的负载平衡也很好。CLI 功能很糟糕,但 SonicOS Enhanced Web GUI 比我遇到的任何其他防火墙都要好。配置文件是二进制 blob,因此您无法使用 GUI 以外的任何工具来编辑它们。只需使用良好的版本控制,并在每次更改后将配置 blob 导出到 SVN、Git 或任何其他工具即可。
答案4
我在使用 NSA 4500 时遇到过 VoIP 问题 - 大量无序数据包。他们的 QoS(称为带宽管理)版本是为 SIP 流量实施的,但即使打了支持电话也无济于事。最后,我把我们的 SIP 供应商的盒子放在 4500 外面,问题就消失了。快速谷歌搜索就会显示这是一个相当常见的问题。如果您要通过它运行 VoIP,您可能需要寻找不同的解决方案。