這臺SonicWALL NSA 2400內建兩顆500MHz的Octeon處理器(Mips64 Based),利用分散式的架構處理設備解析封包內容時所產生的大量運算需求,不僅如此,設備本身也有ASIC晶片負責VPN的加、解密工作,防火牆的效能為775Mbps,是這次借測設備中吞吐量最高的一臺,不過同時間可以負載的連線數略少,只有48,000個。

NSA 2400內建7組GbE埠,有6組是網路埠,1組則是管理專用的Console埠。網路埠的前2組分別是預設的LAN及WAN埠,供基本設定完成之後,再隨著企業需求,彈性調整網路埠的角色。

設備本身提供了設定精靈的功能,可以在簡短的幾個步驟內,完成網路連線、VPN,及應用層防火牆的設定,表單的設計相當直覺,只需依照要求輸入各項資料,就能很輕易地完成上述各項功能的設定。

Web管理介面使用TCP 80及443做為連接埠,但由於我們在DMZ設置了一臺Exchange伺服器,才能從外部存取OWA的網頁郵件頁面,因此需要手動修改Web管理介面的HTTP連線埠號。

提供IPsec VPN、SSL VPN兩種通道模式

NSA 2400提供IPsec VPN及SSL VPN兩種通道模式,可透過本機帳號,或者是整合LDAP、RADIUS來檢查連線使用者身分的真實性。

就此次的測試環境來說,主要是整合LDAP,也就是Windows AD做為帳號資料庫的來源。

原廠提供了Global VPN Client軟體,做為IPsec VPN的用戶端程式,可從mysonicwall網站免費下載,該軟體使用上很簡單,只需要定義好IPsec VPN的伺服器位址、Preshared Key,以及帳號、密碼之後,就能完成連線的設定。

SSL VPN是NSA系列的基本功能,不需要額外付費就能使用,預設允許2位使用者同時透過SSL協定建立VPN通道,最多可擴充到15人同時上線。

和單一功能的SSL VPN設備不同的是,個人端要使用NSA的SSL VPN,必須透過連接器(Connector)連線,驗證通過之後,使用者即可點選網頁當中的「NetExtender」圖示,安裝連接器的Active X元件。

安全過濾功能完整

NSA 2400的安全過濾功能相當完整,包含了UTM定義的所有項目,除了傳統的第4層防火牆之外,也能透過應用層防火牆的機制,從封包內容下手,實施深層檢測。應用層防火牆的政策規則可透過設定精靈完成,控管HTTP、Mail及FTP三種服務的流量,在連接埠開啟的情況下,精確控管通訊埠內部的資料傳輸。

NSA系列採用SonicWALL自家的閘道防毒引擎,可檢查HTTP、FTP、M、CIFS/NetBIOS TCP Stream四種進出設備的封包。

和大多數的UTM設備一樣,由於NSA 2400本機並未內建硬碟,因此主要是透過RBL過濾郵件IP來源的方式阻擋垃圾郵件,除了利用設備內建的sbl-xbl.spamhaus.org及dnsbl.sorbs.net兩個RBL資料庫之外,也可以自行新增網路上其他的RBL資料庫來源。

設備預先建立了「RBL User White List」,及「RBL User Black List」兩個伺服器群組,對於想要透過這臺UTM設備過濾垃圾郵件的企業來說,可以將郵件伺服器列入RBL User Black List群組,就可以透過UTM過濾垃圾郵件。

在單純開啟防火牆功能(應用層防火牆關閉)的情況下,透過傳檔方式所測得的速度可達45.1Mbps,加入IPS功能之後,設備的效能並沒有產生太大變化,仍可維持在35Mbps以上的水準,相當不錯,不過在啟用防毒功能之後,效能出現明顯下滑,為8.11Mbps。至於全部啟用上述的三項功能之後,效能則下降至7.62Mbps,顯見設備的確針對封包進行兩次檢查。

可透過原廠或第三方工具軟體收集報表記錄

利用原廠,或者是第三方廠商所開發的工具軟體,透過TCP 514埠,將資料匯出到報表伺服器儲存。

原廠提供了ViewPoint及Global Management System(GMS)兩種工具軟體,ViewPoint的功能較為單純,主要用來收集設備所產生的記錄,並產生報表,除了UTM設備之外,View Point支援的範圍還包括了同廠牌的SSL VPN,以及SonicPoint基地臺。

GMS不但具備ViewPoint的完整功能,更可以透過此軟體的Web介面,遠端設定SonicWALL設備的組態,及實施韌體更新。

富揚資訊的SonicReport也可以用來收集、產出SonicWALL防火牆及基地臺的事件報表,相較於原廠的工具軟體,Sonic Report具備中文介面及即時報表的能力,後者可以產出從現在往前推一個小時的圖形報表,原廠工具則無此能力,預設固定每一小時產出一次報表。

兼具無線網路交換器功能,可一併控管無線網路的連線安全

除了做為一臺閘道端的過濾設備,NSA系列也具備無線網路交換器的功能,可控管同廠牌的SonicPoint基地臺,透過UTM的網頁介面,能夠設定基地臺設備的SSID、無線訊號強度,及IDS(Intrusion Detection System)入侵偵測等項目,以一臺NSA系列設備來說,最多可以控管內部網路當中的180部的基地臺。

View Point主要用來收集設備所產生的記錄,並產生報表,除了UTM設備,還支援同廠牌的SSL VPN,及SonicPoint基地臺兩種設備。

 

 NSA 2400效能實測結果 

處理器的架構,使得設備擁有不錯的防火牆效能,加入IPS之後也沒有出現很大的效能變化,不過加入閘道防毒之後,立刻出現明顯的效能波動。

 

產品規格 

SonicWALL NSA 2400           

●代理商:富揚科技、零壹資訊

●網址:www.sonicwall.com

●電話:(02) 2306-7818

●建議售價:334,260元

●尺寸:1U

●處理器:Octeon 500MHz×2

●Flash:512MB

●記憶體:512GB

●部署模式:NAT模式、透通模式

●防火牆效能:775Mbps

●VPN效能:300Mbpsˉ

●連線數:48,000個

●網路介面:GbE×7(內含1組Console埠)

內建功能 

●閘道防毒:SonicWALL掃毒引擎

●網址/關鍵字過濾:可選用Websense資料庫服務

●其他:P2P/IM過濾、垃圾郵件過濾、線路備援、QoS

●VPN通道類型:L2TP VPN、IPsec VPN、SSL VPN

 

【相關報導請參考「UTM設備採購大特輯」】


熱門新聞

Advertisement