我们希望从PFSense和CARP转移到一对configuration为主动/被动高可用性的SonicWALL NSA 2400 1 。
我以前从来没有和SonicWall打过交道,所以有什么我应该知道的,他们的销售人员不会告诉我?
我知道他们的许多设备因为许可证故障而closures了连接,而且他们有一个明显复杂的pipe理GUI(至less在旧设备上),但是还有其他什么大的“陷阱”在为这些设备投入大量资金之前,我需要知道这一点?
1如果您在美国之外,SonicWall全球站点吸球。 使用美国网站进行所有产品研究,然后在本地信息之后使用本地网站。
对于我们使用过的所有sonicwall机型,我一直都很高兴。 与您的设置最接近的匹配是我们的主要数据中心中的一对NSA 4500。 一旦设置,HA已经稳定。 我注意到的一个项目是确保在HA设置中设置单个pipe理IP。 它允许您login到备用防火墙而不影响主要(例如,分段固件更新)。
除了已经提到的内容之外,我可以补充一点关于IPS和内容过滤的内容。
我不知道你们为SonicWalls计划了什么,但是我们进入我们大楼的网关路由器是NSA 3500.我们是一个有85个用户的公司。 我们拥有内容过滤系统,入侵防护和应用程序stream程监视器的许可证,这些都非常出色。 我可以检查我们的带宽是多less潘多拉或youtube,我可以看到哪些文件正在离开大楼。 如果我拉起日志,并看到用户正在使用BitTorrent,我可以杀死会话,并通过两次点击屏蔽未来的BitTorrentstream量。 对于带宽pipe理和安全性,这是伟大的。
在我们的远程运输办公室以及我们的生产服务器所在的主机处,我们也有SonicWalls。 我们在这三个站点之间build立了VPN隧道(站点到站点),configuration起来非常容易。 在我们的托pipe中,我们有两个nsa 3500的HA对。 我们在首次设置时进行了一些故障转移testing,因此我们不必担心。 我们也正在考虑使用入侵防御技术来授权高可用性对,它将检测暴力攻击,SQL注入尝试等等,他们称之为“深度包检测”引擎。
我对SonicWalls已经满意了。
有些事情要注意,但是,许可。 有时感觉就像每次添加function时都花费了每一分钱。 我相信你唯一需要担心的许可是你想让它成为一个有状态的故障转移。 如果这是许可的,任何到主要sonicwall的连接都将在那里,并且在发生故障转移时备份,并且任何现有的连接都不会中断。 我认为就是这样。
SonicWalls的一个主要问题是目前的IPv6支持。 SonicOS(5.5.6)只有一个半支持的版本,可以使用任何IPv6function。 所有后来的版本(5.8.x是最新版本)都没有任何IPv6支持。 如果不重build所有的信息,不支持降级。 在这个迟到的日子里,这个水平对IPv6的支持是可笑的,你不应该从Sonicwall那里购买任何新的东西,除非它们在一般的支持版本中支持IPv6并且具有合理的function。
对于我们的NSA4500和NSA2400对,我们感到非常满意,否则HA就像广告一样工作,多个ISP的负载平衡也是如此。 CLIfunction很糟糕,但是SonicOS Enhanced web GUI比我遇到的任何其他防火墙都要好。 configuration文件是二进制的blob,所以你不能用GUI以外的任何东西编辑它们。 只要使用良好的版本控制,并导出您的configurationblob到SVN,Git,或任何更改后。
我有一个NSA 4500的VoIP问题 – 大量的乱序数据包。 他们的QoS版本(称为带宽pipe理)是针对SIPstream量实现的,但即使是支持呼叫也没有。 我终于把我们的SIP供应商的箱子放在4500以外,问题就消失了。 快速谷歌search将显示这是一个相当普遍的问题。 如果你要通过它运行VoIP,你可能想要寻找一个不同的解决scheme。