Serie SonicWALL Network Security Appliance (NSA)

Serie SonicWALL Network Security Appliance (NSA)
SI CU R E Z Z A D I R E T E
■
Sicurezza SonicWALL di
ultima generazione
■
Ispezione deep packet
reassembly-free con
architettura hardware
multi-core scalabile
■
Alta disponibilità stateful e
bilanciamento del carico
■
Prestazioni elevate e
riduzione del TCO
■
Servizi di routing e funzioni
di sicurezza avanzate
■
Funzionalità VoIP basate su
standard
■
Servizi Wireless LAN
distribuiti sicuri
■
Funzionalità QoS (Quality
of Service)
Protezione UTM (Unified Threat Management) di ultima generazione
Le aziende di qualsiasi dimensione dipendono dall'efficienza delle proprie reti per l'accesso alle
applicazioni interne ed esterne d'importanza strategica. I continui progressi nel settore del networking offrono immensi vantaggi alle aziende ma, allo stesso tempo, pongono nuovi problemi a
causa di attacchi sempre più sofisticati e motivati da interessi economici, realizzati allo scopo di
interrompere le comunicazioni, degradare le prestazioni e compromettere la sicurezza dei dati.
I tradizionali firewall con ispezione Stateful Packet non sono in grado di contrastare gli attacchi più
sofisticati, che sfruttano i livelli superiori della rete. L'implementazione di prodotti dedicati consente
di aumentare la sicurezza, ma questi prodotti sono costosi, difficili da gestire, offrono un controllo
limitato sull'uso improprio della rete e risultano inefficaci contro i più recenti attacchi su più fronti.
La serie SonicWALL® Network Security Appliance (NSA) rivoluziona la sicurezza di rete grazie
all‘innovativa architettura multi-core con la brevettata* tecnologia d‘ispezione Reassembly-Free
Deep Packet Inspection™ (RFDPI), che offre protezione completa senza compromettere le prestazioni della rete. Questa piattaforma, introdotta per la prima volta nella serie NSA di classe E di
SonicWALL, è ora disponibile per le aziende di medie dimensioni.
La serie NSA di SonicWALL supera le limitazioni delle soluzioni di sicurezza esistenti, eseguendo la
scansione in tempo reale di ogni pacchetto nella sua interezza, alla ricerca di minacce interne ed
esterne. Basata su una piattaforma di elaborazione a nuclei multipli ad alta velocità, la serie NSA
esegue l'ispezione approfondita dei pacchetti senza rallentare le prestazioni di reti e applicazioni
strategiche.
La serie NSA implementa la tecnologia UTM (Unified Threat Management) di ultima
generazione per proteggere le reti da svariati attacchi, combinando prevenzione delle
intrusioni, anti-virus, anti-spyware e controllo a livello di applicazione mediante il
SonicWALL Application Firewall. Le funzionalità di routing avanzato, alta disponibilità stateful e
tecnologia IPSec e SSL VPN ad alta velocità della serie NSA aumentano la sicurezza, l’affidabilità e la
produttività di uffici centrali, filiali e reti distribuite di aziende di medie dimensioni, riducendo al
minimo i costi e la complessità.
La serie NSA è composta dai modelli SonicWALL NSA 240, NSA 2400, NSA 3500, NSA 4500 e
NSA 5000, una gamma di soluzioni scalabili progettate per soddisfare le esigenze di sicurezza di
rete di qualsiasi azienda.
Caratteristiche e vantaggi
La sicurezza SonicWALL di ultima generazione offre
un nuovo livello di gestione unificata delle minacce UTM,
che integra prevenzione delle intrusioni, gateway
anti-virus e anti-spyware e la suite di strumenti
configurabili Application Firewall con prevenzione della
perdita di dati e controllo granulare delle applicazioni.
L'ispezione deep packet reassembly-free con
architettura hardware multi-core scalabile analizza
file di qualsiasi dimensione ed elimina ogni minaccia
rilevata, offrendo un numero virtualmente illimitato di
sessioni concorrenti senza compromessi sulla velocità. La
serie NSA 240 può essere configurata utilizzando un
modem primario o secondario o interfacce 3G wireless per
garantirne l‘espandibilità futura.
Le funzioni di alta disponibilità statefule
bilanciamento del carico del sistema SonicOS 5.0
Enhanced massimizzano l'ampiezza di banda complessiva
della rete e garantiscono un uptime costante, offrendo
accesso ininterrotto alle risorse mission critical e
assicurando che i tunnel VPN e il resto del traffico di rete
non subiscano interruzioni in caso di failover.
Prestazioni elevate e riduzione del costo totale di
proprietà (TCO) grazie all'uso parallelo di diversi nuclei di
elaborazione per aumentare drasticamente i livelli di
throughput e la potenza d’ispezione, riducendo al
contempo i consumi energetici.
I servizi di routing e le funzioni di sicurezza
avanzate integrano innovative tecnologie di networking
tra cui supporto per 802.1q VLAN, failover WAN/WAN,
gestione basata su zone e oggetti, bilanciamento del
carico, modalità NAT avanzate e molte altre funzioni per
una configurazione flessibile e granulare a discrezione
dell'amministratore.
Le funzionalità VoIP (Voice over IP) basate su
standard garantiscono la massima sicurezza possibile per
ogni elemento dell’infrastruttura VoIP, dagli apparecchi di
comunicazione ai dispositivi VoIP, come ad esempio SIP
Proxy, H.323 Gatekeeper e call server.
Grazie ai servizi Wireless LAN distribuiti sicuri,
l’appliance può essere utilizzata come un controller e
switch wireless sicuro, in grado di rilevare e configurare
automaticamente i SonicPoint™ (punti di accesso wireless
SonicWALL) per un accesso remoto sicuro alle reti
distribuite.
Le funzionalità QoS (Quality of Service) utilizzano lo
standard 802.1p e il supporto CoS (Class of Service) per
DSCP (Differentiated Services Code Points) per fornire una
gestione potente e flessibile della larghezza di banda,
requisito essenziale per i servizi VoIP (Voice over IP), i
contenuti multimediali e le applicazioni mission critical.
*Brevetto USA 7310815 – A method and apparatus for data stream analysis and blocking
(Metodo e dispositivo per l‘analisi e il bloccaggio di flussi di dati).
Architettura di gestione a sicurezza dinamica
1
Clean VPN
Controllo applicazioni
Filtraggio dei contenuti
Firewall
Anti-Spyware
3
Gateway Anti-Virus
Gestione unificata delle
minacce SonicWALL in
tempo reale
Prevenzione intrusioni
Architettura di ispezione approfondita dei pacchetti SonicWALL Minacce e traffico
extralavorativo eliminati
Aggiornamento
automatico
del database
delle minacce
Traffico “pulito”
Minacce miste
emergenti
Virus
Routing
Exploit
PROT
L7
L4
Gestione larghezza
di banda
L3
Spyware
L2
Traffico
in ingresso
Motore
d'inoltro
Motore
I/O di rete
Traffico
in uscita
Gestione larghezza
di banda
QoS
Defrag
Classificazione e trasformazione stateful
Normale
Presentazione
Ordine flusso
2
Motore di
aggiornamento
Protezione di alto livello contro le minacce
1 L’ispezione approfondita dei pacchetti SonicWALL
protegge la rete da virus, worm, Trojan, spyware, attacchi
phishing, nuove minacce emergenti e da un uso improprio di Internet. L'Application Firewall fornisce controlli
ad alta configurabilità che permettono di prevenire la
perdita di dati e gestire la larghezza di banda a livello di
applicazioni.
reale senza processarli in memoria. In tal modo è possibile identificare ed eliminare le minacce, senza alcuna
interruzione, in file di qualsiasi dimensione e con un
numero illimitato di connessioni concorrenti.
3 La serie NSA (Network Security Appliance) fornisce
una protezione dinamica della rete contro le minacce
emergenti e in continua evoluzione grazie ai costanti aggiornamenti di sicurezza automatizzati, senza richiedere
alcun intervento dell’amministratore di rete.
Clean VPN
Controllo applicazioni
Filtraggio dei contenuti
Anti-Spyware
Processore
Bilanciamento
del carico UTM
Architettura d'ispezione Deep Packet
Prevenzione intrusioni
Nucleo processori multipli con
Deep Packet Inspection
Firewall
Bilanciamento del carico UTM (Unified
Threat Management)
Le soluzioni a singolo processore dotate di
tecnologie di protezione multiple sono fortemente limitate dalla presenza di un unico
processore centralizzato. Il bilanciamento del
carico UTM di SonicWALL integra l'ispezione
deep packet ad alta velocità e un motore di
classificazione del traffico con più nuclei di
sicurezza per ispezionare applicativi, file e
traffico basato sui contenuti in tempo reale
senza impatti significativi sulla performance o
la scalabilità del sistema. Ciò rende possibile
la scansione e il controllo delle minacce nelle
reti che gestiscono applicazioni ad elevato
consumo di banda e sensibili ai ritardi.
Gateway Anti-Virus
2 La tecnologia Reaseembly-Free Deep Packet Inspection
di SonicWALL utilizza l'architettura multi-core di
SonicWALL per scansionare i pacchetti di dati in tempo
Processore
Traffico
in ingresso
Traffico
in uscita
Processore
Processore
Prestazioni
d'ispezione
Processore
Minacce
eliminate
Fornitori
Internet
Traffico “pulito”
Utenti mobili
Motore UTM
Rete
interna
Telelavoratori
SonicWALL Clean VPN™
L'innovativa tecnologia SonicWALL Clean VPN™,
integrata nelle appliance della serie NSA, blocca
ogni vulnerabilità e codice maligno “filtrando”
le connessioni degli utenti mobili e il traffico
proveniente dalle sedi remote/filiali prima che
entrino nella rete aziendale, senza alcuna necessità
d’intervento da parte dell'utente.
Gestione centralizzata delle policy
Le appliance della serie NSA (Network Security Appliance)
possono essere gestite con il Global Management
System di SonicWALL, che fornisce una serie di strumenti
potenti, flessibili e intuitivi per gestire centralmente
le configurazioni, elaborare i dati di monitoraggio
centralizzato in tempo reale e integrare le policy e i report
sulla conformità.
Implementazione flessibile e personalizzabile – La serie NSA in breve
Le soluzioni NSA (Network Security Appliance) di
SonicWALL forniscono una protezione UTM
(Unified Threat Management) di ultima
generazione basata sull'innovativa architettura
multi-core con tecnologia d'ispezione
Reassembly-Free Deep Packet Inspection, senza
rallentare le prestazioni della rete. Tutti i
prodotti della serie NSA offrono servizi di fascia
alta come prevenzione delle intrusioni ad alta
velocità, ispezione di file e contenuti, un potente
Application Firewall, funzionalità di networking
avanzate e flessibilità di configurazione. Le
appliance della serie NSA hanno un prezzo
accessibile e possono essere implementate e
gestite in diverse tipologie di reti aziendali, filiali
e ambienti di rete distribuiti.
■
■
■
SonicWALL NSA 5000, il prodotto di punta
della linea, è ideale per reti aziendali e
universitarie ed ambienti distribuiti.
SonicWALL NSA 4500 è ideale per reti aziendali
a gestione centralizzata e grandi ambienti
distribuiti che richiedono elevate prestazioni e
capacità di throughput.
Internet
Reporting
e analisi
Telelavoratore
fisso
Serie NSA
Server GMS
VoIP
Desktop aziendale
Gestione
centralizzata
SonicWALL NSA 2400 è ideale per reti
aziendali di piccole e medie dimensioni e per
filiali con l‘esigenza di maggiori prestazioni e
throughput.
■
SonicWALL NSA 240 è ideale per reti aziendali
di piccole e medie dimensioni e per filiali.
Desktop aziendale
Desktop aziendale
Server
VLAN reparto finanza
SonicPoint
Laptop wireless
Sede centrale / filiale
Server Anti-Virus and
Anti-Spyware
Protezione attacchi
per i server
SonicWALL NSA 3500 è ideale per reti
aziendali, filiali e ambienti distribuiti che
richiedono solide prestazioni e capacità di
throughput.
■
Desktop aziendale
VLAN reparto marketing
Enforced Client
Anti-Virus
and Anti-Spyware
Protezione attacchi
per i PC client
VPN
Global
VPN
Client
Servizio di
filtraggio contenuti
Controllo siti Web
e utilizzo contenuti
Gateway Anti-Virus
Anti-Spyware and Intrusion
Prevention Service
Protezione del perimetro
e della rete
Caratteristiche principali
La soluzione Gateway Anti-Virus, Anti-Spyware and
Intrusion Prevention Service con Application Firewall
offre una protezione intelligente e in tempo reale della rete
contro attacchi sofisticati a livello di applicazione e basati su
contenuti tra cui virus, spyware, worm, Trojan e vulnerabilità
software (buffer overflow). Application Firewall è dotato di
funzionalità di controllo granulare e di numerosi strumenti configurabili per
prevenire la perdita di dati.
Enforced Client and Server Anti-Virus and AntiSpyware fornisce una protezione completa contro virus e
spyware tramite un semplice client, integrabile nei computer
sia fissi che portatili, forzando la distribuzione automatizzata
di policy anti-virus e anti-spyware, nuove definizioni e
aggiornamenti software nell'intera rete.
Content Filtering Service consente di potenziare le
policy di protezione e produttività grazie all’innovativa
architettura di valutazione integrata che, attraverso un
database dinamico, è in grado di bloccare e impedire
l’accesso a un massimo di 56 categorie di contenuti ritenuti
non idonei.
ViewPoint Reporting è un tool facile da utilizzare e basato
sul Web che offre agli amministratori una panoramica
immediata e completa sulle prestazioni e la sicurezza della
rete. ViewPoint permette ad aziende di qualsiasi dimensione
di monitorare l'utilizzo di Internet, garantire la conformità del
sistema alle normative e sorvegliare lo stato di sicurezza della
rete per mezzo di report storici creati attraverso dashboard e sommari dettagliati.
I servizi di Supporto Dinamico, disponibili nel formato 8x5
o 24x7 a seconda delle esigenze dei clienti, includono
assistenza tecnica a livello internazionale, aggiornamenti
firmware specifici, accesso a tool elettronici avanzati e
sostituzione tempestiva dell'hardware in caso di guasti,
offrendo un supporto professionale adeguato all'investimento
delle aziende nella tecnologia SonicWALL.
Gli upgrade per Global VPN Client, realizzati tramite un
client software installato sui computer Windows, aumentano la
produttività della forza lavoro remota fornendo un accesso
sicuro a posta elettronica, file, intranet e applicazioni. Le licenze
di upgrade, disponibili per svariati numeri di utenti, rendono la
soluzione scalabile secondo le esigenze reali dell’azienda.
Gli upgrade per l’accesso remoto SSL VPN forniscono
l’accesso a reti remote in modalità clientless per PC, Mac e
sistemi basati su Linux. Le appliance SonicWALL UTM con
tecnologia SSL VPN integrata offrono un accesso remoto
trasparente e sicuro a posta elettronica, file, intranet e
applicativi da svariate piattaforme client tramite NetExtender, un leggerissimo client che viene inviato al computer degli utenti. NetExtender viene
installato e configurato automaticamente, senza richiedere l’intervento
dell’utente.
Specifiche tecniche
NSA 240
NSA 2400
600 Mbps
115 Mbps
195 Mbps
110 Mbps
195 Mbps
25.000/35.0002
2.000
775 Mbps
160 Mbps
275 Mbps
150 Mbps
235 Mbps
48.000
4.000
16
32
150 Mbps
25/502
2 (25)
2 (15)
300 Mbps
75
10 (250)
2 (25)
NSA 3500
NSA 4500
NSA 5000
Firewall
Versione SonicOS
Throughput stateful1
Prestazioni GAV1
Prestazioni IPS1
Prestazioni UTM1
Prestazioni IMIX
Connessioni (max.)3
Nuove connessioni/Sec
Nodi supportati
Prevenzione attacchi Denial of Service
SonicPoint supportati (max.)
Network Security Appliance 5000
01-SSC-7042
SonicOS Enhanced 5.0 (o superiore)
1,5 Gbps
2,75 Gbps
350 Mbps
690 MBps
750 Mbps
1,4 Gbps
240 Mbps
600 Mbps
580 Mbps
700 Mbps
128.000
450.000
7.000
10.000
Illimitati
22 classi di attacchi DoS, DdoS e scanning
32
64
3,5 Gbps
800 Mbps
1,7 Gbps
800 Mbps
950 Mbps
600.000
12.000
64
VPN
Network Security Appliance 4500
01-SSC-7012
NSA 4500 TotalSecure (1 anno)
01-SC-7032
Throughput 3DES/AES1
Tunnel VPN site-to-site
Licenze Global VPN Client in bundle (max.)
Licenze SSL VPN in bundle (max.)
Crittografia / autenticazione
Scambio delle chiavi
L2TP/IPSec
Supporto certificati
Dead Peer Detection
DHCP su VPN
IPSec NAT Traversal
Gateway VPN ridondante
Global VPN Client, piattaforme supportate
Piattaforme SSL VPN supportate
Network Security Appliance 3500
01-SSC-7016
NSA 3500 TotalSecure (1 anno)
01-SC-7033
625 Mbps
800
50 (1.000)
2 (30)
1,0 Gbps
1.500
500 (3.000)
2 (30)
1,5 Gbps
2.500
1.000 (3.500)
2 (30)
DES, 3DES, AES (128, 192, 256 bit), MD5, SHA-1
Scambio delle chiavi IKE, IKEv2, connessione manuale, PKI (X.509)
Sì
Verisign, Thawte, Cybertrust, RSA Keon, Entrust e Microsoft CA per VPN SonicWALL-to-SonicWALL
Sì
Sì
Sì, NAT_Tv00 e v03
Sì
Microsoft® Windows 2000, Windows XP, Microsoft® Vista 32 bit
Microsoft® Windows 2000 / XP / Vista 32/64 bit, Mac 10.4+, Linux FC 3+ / Ubuntu 7+ / OpenSUSE
Servizi di sicurezza con Deep Packet Inspection
Ispezione deep packet
Servizio Signature
Content Filtering Service (CFS)
edizione Premium
Client anti-virus e anti-spyware
imposti sul gateway
Application Firewall
Network Security Appliance 2400
01-SSC-7020
NSA 2400 TotalSecure (1 anno)
01-SC-7035
Vasto database di signature. Controllo di applicazioni peer-to-peer e di instant messaging,
aggiornamento signature tramite l'architettura di applicazione distribuita
HTTP URL, HTTPS IP, parole chiave e contenuti, blocco controlli ActiveX, applet Java e cookie
HTTP/S, SMTP, POP3, IMAP e FTP, Enforced McAfee™ Client, blocco degli allegati e-mail
Implementazione a livello di applicazioni e monitoraggio della larghezza di banda, regolazione di traffico web,
e-mail, allegati e-mail e trasferimenti di file, scansione e blocco di documenti e file in base a parole/frasi chiave
Networking
Assegnazione indirizzo IP
Modalità NAT
Interfacce VLAN (802.1q)
Routing
QoS
IPv6
Autenticazione
Database utenti
VoIP
Network Security Appliance 240
TotalSecure (1 anno)
01-SSC-8760
Statica (DHCP, PPPoE, L2TP e client PPTP), server DHCP interno, DHCP relay
One-to-one, one-to-many, many-to-one, many-to-many, NAT fl essibile (IP sovrapposti), PAT, modalità trasparente
10/25
25
50
200
256
OSPF, RIPv1/v2, route statici, routing basato su policy, Multicast
Priorità larghezza di banda, larghezza di banda massima / garantita, DSCP marking, 802.1p
IPv6 compatibile
XAUTH/RADIUS, Active Directory, SSO, LDAP, database utenti interno
100 utenti
250 utenti
500 utenti
1.000 utenti
1.500 utenti
Supporto completo H.323 v. 1-5, SIP e gatekeeper, gestione larghezza di banda in uscita, VoIP over WLAN,
protezione Deep Inspection, interoperabilità completa con i gateway VoIP e i dispositivi di comunicazione più comuni
2
Sistema
Sicurezza di zona
Sì
Pianificazioni
Sì
Gestione basata su oggetti/gruppi
Sì
DDNS
Sì
Gestione e monitoraggio
Web GUI (HTTP, HTTPS), linea di comando (SSH, Console), SNMP v2: gestione globale con SonicWALL GMS
Logging e reporting
ViewPoint,® Local Log, Syslog
Alta disponibilità (HA)
Attiva/passiva con State Sync opzionale 2
Attiva/passiva con State Sync opzionale
Attiva/passiva con State Sync
Bilanciamento del carico
Sì (in uscita con modalità percentuale, round robin e spill-over, in entrata con round robin,
distribuzione casuale, sticky IP, rimappatura blocchi e simmetrica)
Standard
TCP/IP, UDP, ICMP, HTTP, HTTPS, IPSec, ISAKMP/IKE, SNMP, DHCP, PPPoE, L2TP, PPTP, RADIUS
Standard wireless
802.11 a/b/g, WPAD, WPA, TKIP, 802.1x, EAP-PEAP, EAP-TTLS
Adattatore SonicWALL da
PC Card a ExpressCard
(per NSA 240)
01-SSC-2887
Hardware
Interfacce
Certificazioni
Memoria (RAM)
Memoria Flash
Alimentazione elettrica
Ventilatori
Tensione d'esercizio
Potenza max. assorbita
Calore sviluppato
Certificazioni
Certificazioni (in attesa)
Fattore di forma
e misure
Peso
Peso WEEE
Principali normative di conformità
Condizioni ambientali
MTBF
Umidità
(3) Porte Gigabit Ethernet (GE)+
(6) 10/100, 2 USB (uso futuro), slot
PC Card (modem 3G/analogico
opzionale), 1 interfaccia console
256 MB
32 MB Compact Flash
Alimentatore esterna (36 W)
Senza ventilatore
10-240 V, 50-60 Hz
15 W
51,1 BTU
(6) 10/100/1000 porte Gigabit in rame, 1 interfaccia console, 2 USB (uso futuro)
512 MB
512 MB
512 MB
1 GB
512 MB Compact Flash
Alimentatore singolo (180 W ATX)
2 ventilatori
100-240 Vac, 60-50 Hz
42 W
64 W
66 W
66 W
144 BTU
219 BTU
225 BTU
225 BTU
VPNC
EAL4+, FIPS 140-2 Level 2, VPNC
ICSA Firewall 4.1, EAL-4+, FIPS 140-2
ICSA Firewall 4.1
1U rack-mount/
1U rack-mount/
18,1 x 3,8 x 26,7 cm
43,2 x 26 x 4,4 cm
43,2 x 33,7 x 4,4 cm
1,16 kg
3,65 kg
5,14 kg
1,43 kg
3,65 kg
5,14 kg
FCC Class A, CES Class A, CE, C-Tick, VCCI, Compliance MIC, UL, cUL, TÜV/GS, CB, NOM, RoHS, WEEE
da 0 a 40 °C
da 5 a 40 °C
Da definire
16,0 anni
14,3 anni
14,1 anni
14,1 anni
0-95% non condensante
10-90% non condensante
1
Metodologie di test: prestazioni massime come da RFC 2544 (per il firewall). Le prestazioni effettive possono variare in base alle condizioni della rete e ai servizi attivati. Rilevazione throughput VPN
tramite traffico UDP con pacchetti da 1418 byte conformi a RFC 2544. Prestazioni UTM basate su test HTTP eseguiti su Spirent Avalanche/Reflector. Test eseguiti con flussi multipli attraverso coppie
di porte multiple.
2
Solo con alta disponibilità stateful e upgrade espansione alla serie NSA 240
3
Il numero massimo effettivo di connessioni diminuisce quando sono attivati i servizi UTM.
Per ulteriori informazioni sulle soluzioni di sicurezza per la rete di SonicWALL, visitate il nostro sito all’indirizzo
www.sonicwall.com.
Italia / Supporto
Numero verde: 800.909.106
Telefono: +31 (0) 411.617.814
E-mail: [email protected]
Italia / Uffici
Telefono: +39.010.7407851
E-mail: [email protected]
©2009 SonicWALL e il logo SonicWALL sono marchi registrati di SonicWALL, Inc. I nomi di altri prodotti qui menzionati possono essere marche e/o marchi registrati delle rispettive
società. Con riserva di modifi che. 03/09 SW 566