Nové firewally a SonicOS7
Rodinu firewallů v nedávné době obohatily modely TZ570 a TZ670, volitelně v provedeních Wireless a PoE. Vyznačují se významným navýšením propustnosti (i v rámci jednoho threadu) v důsledku dramaticky přepracovaného jádra. Jak už označení napovídá, jedná se o produkty s novou generací operačního systému SonicOS 7. Ten se vedle zvýšení propustnosti vyznačuje i přepracovaným grafickým rozhraním pro správu. Obvykle jsem ke změnám velmi skeptický a konzervativní, v tomto případě ale udělal SonicWall krok správným směrem – rozhraní je responzivnější (i díky použitým technologiím React/Json) a položky v menu jsou uspořádané mnohem logičtěji než v rozhraní SonicOS 6.5 (které stejně velká část z vás dodnes přepíná hamburgrem na „legacy“ rozhraní známé z verzí 5.9/6.0). Na finální podobě rozhraní jsme se jako jeden z asi 10 partnerů na světě velmi významně podíleli a díky tomu jsme byli schopni předat i vaše přání a stížnosti na rozhraní stávající. Věřím, že se nám to zdařilo. S vývojovým týmem máme stále velmi úzké vztahy, takže s vděčností budu přijímat další podněty.
Po hardwarové stránce do firewallů přibyly SFP+ porty (v případě TZ570 max 5Gb, v případě TZ670 až 10Gb) a redundantní zdroje. V průběhu příštího roku očekáváme příchod NSa2700 a možná i dalších nástupců generace x650.
https://livedemo.sonicwall.com/products/firewalls/entry-level/#TZ570
Virtuální firewally a SonicOSX
Současně se objevily i virtuální firewally NSv 270/470/870, tedy nástupci stávajících se SonicOSX. Toto nové pojmenování označuje firmwary disponující novým způsobem konfigurace firewallových pravidel. Pravidla lze tvořit kombinací SPI a DPI restrikcí. Lze tedy tvořit pravidla dosud nemožná, jako např. povolit komunikaci na jakémkoli portu, pokud je aplikací Remote Desktop Protokol. Je-li použita a detekována jakákoli jiná aplikace, je provoz zablokován, přestože na SPI úrovni je povoleno „Any/Any/Any“. Nová koncepce pravidel je volitelná, můžete si zvolit Classic nebo Security Policy, z logických důvodů mezi nimi ale nelze přecházet při zachování pravidel 1:1. Očekává se, že tato koncepce bude výhledově k dispozici i pro HW platformy se SonicOS7. Společně s novou koncepcí se pojí i významně vylepšené sledování toků v packet monitoru – u paketu administrátor vidí číslo pravidla, ID aplikace nebo IPS signatury, na základě které byl daný paket povolen nebo zahozen (chce se mi zvolat – KONEČNĚ!) 😉
https://livedemo.sonicwall.com/products/firewalls/virtual/#NSv870
Virtuální firewally lze nově instalovat kromě tradičního VMware a Hyper-V i do KVM nebo do veřejných cloudů AWS nebo Microsoft Azure (formou Pay-as-you-go nebo aktivací zakoupené licence).
Pro extrémně náročné zákazníky uvedl SonicWall extrémně výkonný produkt NSsp 15700 („sp“ značí „security platform“) – jedná se o tedy o platformu, na níž můžete provozovat vedle sebe desítky virtuálních firewallů i dalších appliancí. Svým zaměřením jde tedy o produkt primárně pro hostingové a telekomunikační providery, přesto posílám pro zajímavost odkaz:
Jan Ježek
network security specialist