Мы стремимся перейти от PFSense и CARP к паре SonicWall NSA 24001 настроен как активный / пассивный для высокой доступности.
Я никогда раньше не имел дела с SonicWall, так что я должен знать что-нибудь, что мне не скажет их продавец?
Я знаю, что у них была проблема с отключением подключения многих устройств из-за лицензионная ошибка, и у них явно сложный графический интерфейс управления (по крайней мере, на старых устройствах), но есть ли еще какие-то серьезные «подводные камни», о которых мне нужно знать, прежде чем вкладывать немалую сумму денег в эти устройства?
1Если вы находитесь за пределами США, глобальные сайты SonicWall - отстой. Используйте сайт в США для всех исследований своей продукции, а затем используйте свой местный сайт, если вам нужна местная информация.
Я был очень доволен HA на всех моделях sonicwall, которые мы использовали. Наиболее близким к вашей установке является пара NSA 4500 в нашем основном центре обработки данных. После настройки HA работает как скала. Единственный пункт, который я хотел бы отметить, - обязательно настроить индивидуальные IP-адреса управления в настройке HA. Это позволяет вам войти в резервный брандмауэр, не затрагивая основной (например, промежуточные обновления прошивки).
В дополнение к тому, что уже было упомянуто, могу я добавить кое-что об их IPS и фильтрации контента.
Я не знаю, что вы запланировали для SonicWalls, но наш маршрутизатор шлюза в наше здание - это NSA 3500. Наша компания насчитывает около 85 пользователей. У нас есть лицензии на Систему фильтрации контента, Предотвращение вторжений и Монитор потока приложений, и все они превосходны. Я могу проверить, какая часть нашей полосы пропускания идет на Pandora или YouTube, я могу видеть, какие файлы покидают здание. Если я открываю журналы и вижу, что пользователь использует BitTorrent, я могу завершить сеанс и заблокировать будущий трафик BitTorrent в два клика. Для управления пропускной способностью и безопасности это прекрасно.
У нас также есть SonicWalls в нашем удаленном офисе доставки и в нашем месте, где находятся наши производственные серверы. У нас есть VPN-туннели (site-to-site) между тремя сайтами, и их до смешного легко настроить. В нашем colocation у нас есть два nsa 3500 в паре HA. Мы провели несколько тестов на отказоустойчивость, когда впервые установили их, и с тех пор нам не пришлось беспокоиться о паре. Мы также изучаем лицензирование пары HA с предотвращением вторжений, которая будет обнаруживать атаки методом перебора, попытки внедрения sql и т. Д. С помощью того, что они называют своим механизмом «глубокой проверки пакетов».
Я более чем доволен нашими SonicWalls.
Однако кое-что, на что следует обратить внимание, - это лицензирование. Иногда кажется, что они забирают все, что у вас есть, каждый раз, когда вы добавляете новую функцию. Я считаю, что единственное лицензирование, о котором вам нужно беспокоиться с HA, - это если вы хотите, чтобы это было переключением при отказе с отслеживанием состояния. Если это лицензировано, любые подключения к вашему основному sonicwall будут там и готовы к резервному копированию в случае аварийного переключения, и любые существующие подключения не будут прерваны. Я думаю, что это все.
Основная проблема с SonicWalls в настоящее время - поддержка IPv6. Существует ровно одна частично поддерживаемая версия SonicOS (5.5.6), в которой вообще доступны какие-либо функции IPv6. Все более поздние версии (текущая версия 5.8.x) вообще не поддерживают IPv6. Переход на более раннюю версию не поддерживается без восстановления всей вашей конфигурации. Это уровень поддержки IPv6, который в последнее время выглядит нелепо, и вы не должны покупать ничего нового у Sonicwall, пока у них не будет поддержки IPv6 в общем поддерживаемом выпуске с разумным паритетом функций.
Мы вполне довольны нашими парами NSA4500 и NSA2400, в противном случае HA работает так, как заявлено, как и балансировка нагрузки от нескольких интернет-провайдеров. Функциональность CLI воняет, но расширенный веб-интерфейс SonicOS лучше, чем любой другой брандмауэр, с которым я сталкивался. Файлы конфигурации представляют собой двоичные капли, поэтому вы не можете редактировать их ничем, кроме графического интерфейса. Просто используйте хороший контроль версий и экспортируйте свои конфигурационные большие двоичные объекты в SVN, Git или что-то еще после каждого изменения.
У меня были проблемы с VoIP с NSA 4500 - много пакетов вне очереди. Их версия QoS (называемая Bandwidth Management) была реализована для SIP-трафика, но даже звонок в службу поддержки не дал результатов. В конце концов я просто поставил коробку нашего поставщика SIP за пределы 4500, и проблема исчезла. Быстрый поиск в Google покажет, что это довольно распространенная проблема. Если вы собираетесь использовать через него VoIP, возможно, вам стоит поискать другое решение.