La serie SonicWall Network Security. appliance (NS a )

Transcript

1 Serie SonicWall Network Security appliance (NS a ) Efficacia e prestazioni di sicurezza collaudate nel settore per reti di medie dimensioni, imprese distribuite e data center La serie SonicWall Network Security appliance (NSa) offre una prevenzione avanzata delle minacce nell ambito di una piattaforma di sicurezza ad alte prestazioni per reti aziendali di medie dimensioni, imprese distribuite e data center. Utilizzando tecnologie innovative di deep learning all'interno della piattaforma SonicWall Capture Cloud, la serie NSa fornisce il rilevamento automatizzato delle intrusioni in tempo reale e la prevenzione richiesti dalle organizzazioni. Prevenzione delle minacce all'avanguardia con prestazioni di livello superiore Le odierne minacce per le reti sono altamente evasive e sempre più difficili da identificare utilizzando i metodi di rilevamento tradizionali. Per essere sempre pronti agli attacchi sempre più sofisticati è necessario un approccio più moderno che sfrutti pesantemente l'intelligence della sicurezza sul cloud. Senza tale intelligence sul cloud, le soluzioni di sicurezza gateway non possono tenere il passo con le complesse minacce odierne. La serie di firewall di nuova generazione NSa integra due tecnologie di sicurezza avanzate per fornire la prevenzione avanzata dalle minacce per far sì che la vostra rete sia sempre un passo più avanti. A migliorare il servizio multi-engine Capture Advanced Threat Protection (ATP) di SonicWall è giunta la nostra tecnologia Real-Time Deep Memory Inspection (RTDMI ), in attesa di brevetto. Il motore RTDMI rileva e blocca in modo proattivo le minacce di massa, le minacce zero-day e i malware sconosciuti eseguendo ispezioni direttamente nella memoria. Grazie all'architettura in tempo reale, la tecnologia RTDMI di SonicWall è precisa, riduce al minimo i falsi positivi ed identifica e attenua gli attacchi sofisticati in cui le armi del malware sono esposte per meno di 100 nanosecondi. Inoltre, il motore RFDPI (Reassembly-Free Deep Packet Inspection) a singola fase brevettato* da SonicWall viene utilizzato in combinazione per esaminare ogni byte di ogni pacchetto, ispezionando sia il traffico in entrata che in uscita sul firewall. Sfruttando la piattaforma SonicWall Capture Cloud, in aggiunta alle funzionalità on-box che includono la prevenzione delle intrusioni, funzionalità anti-malware e filtraggio Web/URL, la serie NSa blocca anche le minacce più insidiose a livello di gateway. Inoltre, i firewall SonicWall offrono una protezione completa eseguendo decrittazione ed ispezione complete delle connessioni TLS/SSL ed SSH crittografate, indipendentemente dalla porta o dal protocollo. Il firewall esamina ogni singolo pacchetto in profondità (intestazione e dati) alla ricerca di non conformità del protocollo, minacce, zero-day, intrusioni e persino criteri definiti. Il motore di Deep Packet Inspection rileva e previene gli attacchi nascosti che sfruttano la crittografia, blocca il download di malware crittografato, interrompe la diffusione di infezioni e le comunicazioni di comando e controllo (C&C) e la fuoriuscita dei dati. Le regole di inclusione ed esclusione permettono di stabilire quale traffico deve essere sottoposto alla decrittografia e all'ispezione in base a requisiti di conformità specifici dell'azienda e/o legali. Quando le organizzazioni attivano funzioni di Deep Packet Inspection come IPS, anti-virus, anti-spyware, decrittazione/ ispezione TLS/SSL e altre funzionalità sui propri firewall, le prestazioni della rete spesso rallentano, anche drasticamente. I firewall della serie NSa, tuttavia, presentano un'architettura hardware Vantaggi: Prevenzione delle minacce e prestazioni di livello superiore Tecnologia Real-time Deep Memory Inspection in attesa di brevetto Tecnologia Reassembly-Free Deep Packet Inspection brevettata Prevenzione delle minacce integrata e basata su cloud Decrittazione e ispezione TLS/SSL Efficacia della sicurezza collaudata nel settore Architettura hardware multi-core Team di ricerca Controllo della rete e flessibilità Potente sistema operativo SonicOS Application Intelligence and Control Segmentazione della rete con VLAN Sicurezza wireless ad alta velocità Semplicità di installazione, configurazione e gestione Soluzione altamente integrata Gestione centralizzata Scalabilità su più piattaforme hardware Basso costo totale di proprietà *Brevetti statunitensi 7,310,815; 7,600,257; 7,738,380; 7,835,361; 7,991,723

2 multi-core che utilizza microprocessori specializzati per la sicurezza. In combinazione con i nostri motori RTDMI ed RFDPI, questa struttura esclusiva elimina i fenomeni di degrado delle prestazioni delle reti con altri firewall. Controllo della rete e flessibilità Il cuore della serie NSa è costituito da SonicOS, il sistema operativo ricco di funzionalità di SonicWall. SonicOS offre alle organizzazioni il controllo della rete e la flessibilità di cui necessitano attraverso l'intelligence e il controllo delle applicazioni, la visualizzazione in tempo reale, un sistema di prevenzione delle intrusioni (IPS) con sofisticate tecnologie anti-evasione, VPN (Virtual Private Networking) ad alta velocità e altre solide funzionalità di sicurezza. Utilizzando funzionalità di Application intelligence and Control, gli amministratori di rete possono identificare e distinguere le applicazioni produttive da quelle improduttive o potenzialmente pericolose e controllare tale traffico attraverso potenti politiche a livello di applicazione sia su base utente che su base gruppo (insieme a pianificazioni ed elenchi di eccezioni). Le applicazioni fondamentali per l'attività aziendale possono avere la priorità e ricevere l'allocazione di più larghezza di banda, mentre le applicazioni non essenziali ricevono larghezza di banda limitata. Il monitoraggio e la visualizzazione in tempo reale forniscono una rappresentazione grafica delle applicazioni, degli utenti e dell'utilizzo della larghezza di banda per una visione granulare del traffico sull'intera rete. Per le organizzazioni che richiedono flessibilità avanzata nella progettazione della propria rete, SonicOS offre gli strumenti per segmentare la rete attraverso l'uso di LAN virtuali (VLAN). In questo modo, gli amministratori di rete possono creare un'interfaccia LAN virtuale che consente la separazione della rete in uno o più gruppi logici. Le regole create dagli amministratori definiscono il livello di comunicazione con i dispositivi di altre VLAN. In ogni firewall della serie NSa è integrato un controller di accesso wireless che consente alle organizzazioni di estendere il perimetro della rete in modo sicuro attraverso l'utilizzo della tecnologia wireless. La combinazione dei firewall SonicWall e degli access point wireless SonicWave ac Wave 2 crea una soluzione di sicurezza della rete wireless che coniuga una tecnologia firewall di nuova generazione, leader del settore, e il wireless ad alta velocità per garantire sicurezza e prestazioni di rete di livello imprenditoriale sulla rete wireless. Facilità di implementazione, installazione e gestione continua Come tutti i firewall SonicWall, la serie NSa presenta una stretta integrazione delle principali tecnologie di sicurezza, connettività e flessibilità in un'unica soluzione completa. Tale soluzione include gli access point wireless SonicWave e la serie SonicWall WAN Acceleration (WXA) di SonicWall, entrambi rilevati e serviti automaticamente dal firewall di gestione NSa. Il consolidamento di più funzionalità elimina la necessità di acquistare e installare prodotti puntuali che non sempre funzionano bene gli uni con gli altri. riducendo così la complessità di implementazione in rete e di configurazione con un conseguente risparmio di tempo e denaro. La gestione centralizzata, i report, le licenze e l analisi in cloud sono gestiti tramite il SonicWall Capture Security Center. Gli amministratori dispongono di un cruscotto intuitivo per gestire tutti gli aspetti della rete in tempo reale, inclusi gli avvisi di sicurezza critici. Insieme, la distribuzione e l'installazione semplificate e la facilità di gestione consentono alle organizzazioni di ridurre il costo totale di proprietà e ottenere un elevato ritorno dell'investimento. Wireless sicuro ad alta velocità Combinando un firewall di nuova generazione della serie NSa con un access point wireless SonicWave ac Wave 2 si ottiene una soluzione di sicurezza per rete wireless ad alta velocità. NSa e gli access point SonicWave sono entrambi dotati di porte da 2,5 GbE che consentono il throughput wireless multi-gigabit reso possibile dalla tecnologia wireless Wave 2. Il firewall esegue la scansione di tutto il traffico wireless in entrata e in uscita sulla rete utilizzando la tecnologia Deep Packet Inspection e quindi elimina le minacce pericolose, come il malware e le intrusioni, anche su connessioni crittografate. Ulteriori funzionalità di sicurezza e controllo, come il Content Filtering, Application Intelligence and Control e Capture Advanced Threat Protection, possono essere eseguite sulla rete wireless per fornire ulteriori livelli di protezione. 4 x 2,5 GbE SFP 4 x 2,5 GbE 1 x 2,5 GbE Scansione bidirezionale SonicWall NSa 5650 SonicWall SonicWave 432i 2

3 Piattaforma Capture Cloud La piattaforma Capture Cloud di SonicWall offre la prevenzione delle minacce basata sul cloud e la gestione della rete oltre a funzionalità di reporting e analisi per organizzazioni di qualsiasi dimensione. La piattaforma consolida le informazioni sulle minacce raccolte da molteplici fonti, tra cui il nostro pluripremiato servizio di sandboxing di rete multi-engine, Capture Advanced Threat Protection, e oltre 1 milione di sensori SonicWall situati in tutto il mondo. e ogni singola firma può coprire decine di migliaia di minacce uniche. Oltre alle contromisure sulla appliance, i firewall NSa hanno anche accesso continuo al database della piattaforma Capture Cloud, che amplia le informazioni sulle firme integrate con decine di milioni di firme. PIATTAFORMA Oltre a fornire la prevenzione delle minacce, la piattaforma Capture Cloud fornisce un pannello di controllo unico e gli amministratori possono facilmente creare report sia in tempo reale che storici sull'attività di rete. Se i dati in arrivo nella rete contengono codice maligno precedentemente non rilevato, il team Capture Labs interno a SonicWall, dedicato alla ricerca delle minacce, sviluppa firme che vengono archiviate nel database della piattaforma Capture Cloud e distribuite ai firewall dei clienti per aggiornare la protezione. I nuovi aggiornamenti hanno effetto immediato senza riavvii o interruzioni. Le firme presenti sulle appliance forniscono protezione da numerose classi di attacchi, RILEVAMENTO E PREVENZIONE DELLE MINACCE Piattaforme di sicurezza di rete GESTIONE REPORTING E ANALISI Wifi Endpoint mobili Cloud IoT Advanced Threat Protection Al centro della prevenzione automatizzata delle violazioni in tempo reale di SonicWall si trova il servizio SonicWall Capture Advanced Threat Protection, una sandbox multi-engine basata su cloud che estende la protezione dalle minacce del firewall per rilevare e prevenire le minacce zero-day. I file sospetti vengono inviati al cloud dove vengono analizzati utilizzando algoritmi di deep learning con la possibilità di tenerli fermi al gateway fino a quando non viene emesso un verdetto. La piattaforma sandbox multi-engine, che include la tecnologia Real-Time Deep Memory Inspection, sandboxing virtualizzato, emulazione di sistema completa e tecnologia di analisi a livello hypervisor, esegue il codice sospetto e analizza il comportamento. Quando un file viene identificato come maligno, viene bloccato e viene creato immediatamente un hash all'interno di Capture ATP. Poco dopo, una firma viene inviata ai firewall per prevenire gli attacchi successivi. Il servizio analizza un'ampia gamma di sistemi operativi e tipi di file, inclusi programmi eseguibili, DLL, PDF, documenti MS Office, archivi, JAR e APK. Flussi di dati PDF File di dati Endpoint Artefatto 1 Artefatto 2 Artefatto 3 Artefatto 4 MACHINE LEARNING Algoritmi di deep learning Per una protezione completa degli endpoint, SonicWall combina la tecnologia antivirus di nuova generazione con sandbox multi-engine basato sul cloud di SonicWall. Malware classificato RANSOMWARE Locky RANSOMWARE WannaCry TROJAN Spartan SCONOSCIUTO A B C D Dannoso BLOCCO Sicuro fino al VERDETTO BLOCCO SANDBOX CLOUD CAPTURE A Hypervisor B Emulazione C Virtualizzazione D RTDMI CONSEGNA 3

4 Motore RFDPI La tecnologia Reassembly-Free Deep Packet Inspection (RFDPI) di SonicWall è un sistema di ispezione a singola fase e bassa latenza che esegue analisi ad alta velocità del traffico bidirezionale in base al flusso, senza proxy o buffering, per scoprire efficacemente i tentativi di intrusione e download di malware durante l'identificazione applicativo indipendentemente dalla porta e dal protocollo. Questo motore proprietario si affida allo streaming per l'ispezione del payload del traffico per rilevare le minacce sui Layer 3-7 e fa passare i flussi di rete attraverso ampie e ripetute fasi di normalizzazione e decrittazione, al fine di neutralizzare le tecniche avanzate di evasione che cercano di confondere i motori di rilevamento e di introdurre codice maligno nella rete. Una volta superata la necessaria elaborazione preliminare, che include anche la decrittazione TLS/SSL, ogni pacchetto viene analizzato in base a un'unica rappresentazione di memoria proprietaria di tre database di firme: attacchi intrusivi, malware e applicazioni. Lo stato di connessione viene costantemente aggiornato sul firewall e confrontato con i database e, non appena viene rilevato un attacco o un altro evento paragonabile, viene adottata un'azione predefinita. Nella maggior parte dei casi, la connessione viene terminata e vengono generati eventi di log e di notifica. Il motore può anche essere configurato per eseguire solo l'ispezione oppure, in caso di rilevamento delle applicazioni, per fornire servizi di gestione della larghezza di banda al livello 7 per il rimanente flusso dell'applicazione non appena viene identificata l'applicazione. Elaborazione basata sull assemblaggio dei pacchetti Elaborazione senza riassemblaggio dei pacchetti Traffico in ingresso Proxy Scansione Disassemblaggio pacchetto Traffico in uscita Traffico in ingresso SSL CPU n CPU 4 CPU 3 SSL Traffico in uscita Tempo d'ispezione Meno Più Se non c'è più spazio disponibile nel proxy o se i contenuti diventano troppo grandi, i file vengono ignorati dalla scansione Architettura della concorrenza Capacità d'ispezione Min Max Tempo d'ispezione Meno Più CPU 2 CPU 1 Scansione dei pacchetti senza riassemblaggio e senza limitazioni dovute alle dimensioni dei contenuti o al proxy Architettura SonicWall Capacità d'ispezione Min Max Gestione centralizzata e reporting Per le organizzazioni ad elevata regolamentazione che desiderano creare una strategia coordinata di gestione della sicurezza, compliance e gestione del rischio, SonicWall offre agli amministratori una piattaforma unificata, sicura ed espandibile per gestire i firewall SonicWall, gli access point wireless e gli switch Dell delle serie N e X attraverso un processo di workstream correlato e verificabile. Le imprese possono consolidare facilmente la gestione delle appliance di sicurezza, ridurre la complessità amministrativa e di risoluzione dei problemi e gestire tutti gli aspetti operativi dell'infrastruttura di sicurezza, compresa la gestione e l'applicazione centralizzata delle policy, monitoraggio degli eventi in tempo reale, attività degli utenti, identificazione delle applicazioni, analisi e analisi forense del flusso, compliance e rapporti di verifica e molto altro ancora. Inoltre, le imprese soddisfano i requisiti di gestione delle modifiche del firewall attraverso l'automazione del flusso di lavoro, che fornisce l'agilità e la sicurezza necessarie per implementare le giuste policy del firewall al momento giusto e in conformità con le normative di compliance. Disponibili in locale sotto forma di SonicWall Global Management System e sul cloud come Capture Security Center, le soluzioni di gestione e reporting di SonicWall costituiscono un metodo coerente per gestire la sicurezza della rete in base ai processi aziendali e ai livelli di servizio, semplificando notevolmente la gestione del ciclo di vita degli ambienti di sicurezza nel loro insieme rispetto alla gestione dispositivo per dispositivo. 4

5 NSa 2650 L'NSa 2650 offre prevenzione delle minacce ad alta velocità su migliaia di connessioni crittografate e su un numero ancora maggiore di connessioni non crittografate per organizzazioni di medie dimensioni e imprese distribuite. NSa 3650 Il SonicWall NSa 3650 è l'ideale per filiali e reti aziendali di piccole e medie dimensioni con l'esigenza di maggiori prestazioni e throughput. Console 2,5-GbE SFP 12 porte da 1 GbE Console 8 porte 2,5-GbE SFP 12 porte da 1 GbE Gestione 1GbE Due porte USB Doppia ventola 2,5GbE Modulo di espansione Gestione 1 GbE Due porte USB Doppia ventola 2,5GbE 2 porte 10-GbE SFP+ Vano di espansione per usi futuri Alimentazione ridondante opzionale Modulo di memoria Alimentazione Alimentazione ridondante opzionale Modulo di memoria Alimentazione Firewall NSa 2650 Throughput firewall 3,0 Gbps Throughput IPS 1,4 Gbps Throughput anti-malware 600 Mbps Throughput DPI pieno 600 Mbps Throughput IMIX 700 Mbps Connessioni DPI (max.) Nuove connessioni/sec /sec Modulo di archiviazione 16 GB Firewall NSa 3650 Throughput firewall 3,75 Gbps Throughput IPS 1,8 Gbps Throughput anti-malware 800 Mbps Throughput DPI pieno 730 Mbps Throughput IMIX 900 Mbps Connessioni DPI (max.) Nuove connessioni/sec /sec Modulo di archiviazione 32 GB Solo firewall NSa SSC-1936 Solo firewall NSa SSC-1937 NSa 2650 TotalSecure Advanced (1 anno) 01-SSC-1988 NSa 3650 TotalSecure Advanced (1 anno) 01-SSC

6 NSa 4650 Il SonicWall NSa 4650 assicura la crescita di organizzazioni di medie dimensioni e sedi di filiali con funzionalità di livello imprenditoriale e prestazioni senza compromessi. NSa 5650 Il SonicWall NSa 5650 è l'ideale per ambienti distribuiti, filiali e aziendali che richiedono un throughput significativo e un'elevata densità di porte. Console 2 porte 10- GbE SFP+ 2,5GbE Console 2 porte 10GbE 2 porte 10- GbE SFP+ 2,5GbE Gestione 1 GbE Due porte USB 2,5-GbE SFP 16 porte da 1 GbE Gestione 1 GbE Due porte USB 2,5-GbE SFP 16 porte da 1 GbE Vano di espansione per usi futuri Tripla ventola Vano di espansione per usi futuri Tripla ventola Modulo di memoria Doppia alimentazione Modulo di memoria Doppia alimentazione Firewall NSa 4650 Throughput firewall 6,0 Gbps Throughput IPS 2,3 Gbps Throughput anti-malware 1,25 Gbps Throughput DPI pieno 1,2 Gbps Throughput IMIX 1,3 Gbps Connessioni DPI (max.) Nuove connessioni/sec /sec Modulo di archiviazione 32 GB Solo firewall NSa SSC-1938 NSa 4650 TotalSecure Advanced (1 anno) 01-SSC-4094 Firewall NSa 5650 Throughput firewall 6,25 Gbps Throughput IPS 3,4 Gbps Throughput anti-malware 1,7 Gbps Throughput DPI pieno 1,7 Gbps Throughput IMIX 1,45 Gbps Connessioni DPI (max.) Nuove connessioni/sec /sec Modulo di archiviazione 64 GB Solo firewall NSa SSC-1939 NSa 5650 TotalSecure Advanced (1 anno) 01-SSC

7 NSa 6650 Il SonicWall NSa 6650 è ideale per grandi ambienti distribuiti e reti aziendali a gestione centralizzata che richiedono elevate prestazioni e grandi capacità di throughput. NSa 9250/9450/9650 Il SonicWall NSa 9250/9450/9650 offre scalabilità e sicurezza approfondita a velocità multi-gigabit per imprese distribuite e data center. 2 porte da 10 GbE 10 porte da 6 porte da 10 GbE SFP+ 10 GbE SFP+ 8 porte da 2 porte da 8 porte da Console 2,5 GbE Console 10 GbE 2,5 GbE SFP Gestione 1 GbE Due porte USB 2,5-GbE SFP 8 porte da 1 GbE Display LCD Controlli LCD Gestione 1 GB Due porte USB 8 porte da 1 GbE Vano di espansione per usi futuri Tripla ventola Vano di espansione per usi futuri Tripla ventola Modulo di memoria Doppia alimentazione Modulo di memoria Doppia alimentazione Firewall NSa 6650 Throughput firewall 12,0 Gbps Throughput IPS 6,0 Gbps Throughput antimalware 3,5 Gbps Throughput DPI pieno 3,1 Gbps Throughput IMIX 2,65 Gbps Connessioni DPI (max.) Nuove connessioni/sec /sec Modulo di archiviazione 64 GB NSa 6650, solo firewall 01-SSC-1940 NSa 6650 TotalSecure Advanced (1 anno) 01-SSC-2209 Firewall NSa 9250 NSa 9450 NSa 9650 Throughput firewall 12,0 Gbps 17,1 Gbps 17,1 Gbps Throughput IPS 7,2 Gbps 10,2 Gbps 10,3 Gbps Throughput antimalware 3,7 Gbps 5,0 Gbps 5,5 Gbps Throughput DPI pieno 3,3 Gbps 5,0 Gbps 5,5 Gbps Throughput IMIX 2,65 Gbps 4,1 Gbps 4,1 Gbps Connessioni DPI (max.) Nuove connessioni/sec /sec /sec /sec Modulo di archiviazione 128 GB 128 GB 256 GB NSa, solo firewall 01-SSC SSC SSC-1943 NSa TotalSecure Advanced (1 anno) 01-SSC SSC SSC

8 Reassembly-Free Deep Packet Inspection (RFDPI) Ispezione bidirezionale Ispezione basata sui flussi Architettura altamente parallela e scalabile Ispezione a singola fase API REST Stateful packet inspection Alta disponibilità/clustering Protezione da attacchi DDoS/DoS Supporto IPv6 Implementazione flessibile Bilanciamento del carico WAN Qualità del servizio avanzata (QoS) Supporto gatekeeper H.323 e proxy SIP Gestione degli switch N-Series e X-Series di Dell singola e in cascata Autenticazione biometrica Autenticazione aperta e login social Gestione basata sul cloud e on-premise Potente gestione dei singoli dispositivi Report sul flusso delle applicazioni con IPFIX/NetFlow Auto-provision VPN VPN IPSec per connettività site-to-site Accesso remoto tramite VPN SSL o client IPSec Gateway VPN ridondante VPN basato su routing Motore RFDPI Si tratta di un motore di ispezione proprietario, brevettato e ad alte prestazioni, che esegue analisi bidirezionali del traffico basate sui flussi senza proxy o buffering allo scopo di individuare tentativi di intrusione, rilevare malware e individuare il traffico delle applicazioni in qualsiasi porta. Scansiona simultaneamente il traffico in entrata e in uscita alla ricerca di minacce, per garantire che la rete non venga utilizzata per distribuire malware o come piattaforma per lanciare attacchi nel caso in cui una macchina infetta sia stata introdotta nella rete. La tecnologia DPI (Deep Packet Inspection) senza proxy e senza buffering consente di ispezionare milioni di flussi di rete simultanei con una latenza bassissima e senza introdurre limitazioni sulle dimensioni dei file e dei flussi, ed è applicabile sia ai protocolli comuni che a flussi TCP grezzi. L'esclusivo motore RFDPI basato su architettura multi-core offre l'ispezione DPI ad alta velocità e consente di creare nuove sessioni in tempi estremamente brevi, agevolando la gestione dei picchi di traffico in reti complesse. L'architettura DPI a singola fase esegue simultaneamente la scansione di malware e intrusioni e l'identificazione delle applicazioni, riducendo drasticamente la latenza dell'ispezione DPI e garantendo che tutte le informazioni sulle minacce siano correlate in un'unica architettura. Firewall e networking Tutti i firewall ricevono e sfruttano tutti i feed di intelligence proprietari, dei produttori di dispositivi originali e di terze parti per combattere minacce avanzate come zero-day, utenti malintenzionati, credenziali compromesse, ransomware e minacce persistenti avanzate. Tutto il traffico in transito nella rete viene ispezionato, analizzato e conformato alle policy di accesso del firewall. La serie NSa supporta le modalità ad alta disponibilità Attivo/Passivo (A/P) con sincronizzazione dello stato, DPI Attivo/Attivo (A/A) e clustering Attivo/Attivo. La modalità DPI attiva/attiva trasferisce il carico di lavoro dell'ispezione deep packet ai core dell'appliance passiva per ottimizzare il throughput. La protezione da flood SYN offre una difesa contro gli attacchi DoS mediante tecnologie di blacklisting al layer 3 (SYN proxy) e al layer 2 (SYN). Inoltre, protegge da DoS/DDoS attraverso la protezione da flood UDP/ICMP e la limitazione della velocità di connessione. L'Internet Protocol versione 6 (IPv6) è nelle fasi iniziali di sostituzione dell'ipv4. Con SonicOS, l'hardware supporta il filtraggio e le implementazioni in modalità cablata. La serie NSa può essere implementata nelle tradizionali modalità NAT, bridge Layer 2, Wire e Network Tap. Bilancia il carico su più interfacce WAN con metodi Round Robin, Spillover o Percentage. Garantisce l'integrità delle comunicazioni strategiche tramite 802.1p, tagging DSCP e rimappatura del traffico VoIP sulla rete. Blocca le chiamate di spam richiedendo che tutte le chiamate in entrata siano autorizzate e autenticate dal gatekeeper H.323 o dal proxy SIP. Gestione delle impostazioni di sicurezza di porte aggiuntive, tra cui Portshield, HA, PoE e PoE+, attraverso un unico pannello di controllo utilizzando il cruscotto di gestione del firewall per gli switch di rete N-Series e X-Series di Dell. Supporta l'autenticazione dei dispositivi mobili come il riconoscimento delle impronte digitali che non può essere facilmente duplicata o condivisa in modo da autenticare in modo sicuro l'identità dell'utente per l'accesso alla rete. Consente agli utenti ospiti di utilizzare le proprie credenziali da servizi di social network come Facebook, Twitter o Google per accedere a Internet e ad altri servizi come ospiti attraverso le zone wireless, LAN o DMZ di un host tramite autenticazione passthrough. Gestione e reporting La configurazione e la gestione delle appliance SonicWall sono disponibili via cloud attraverso il SonicWall Capture Security Center e in sede tramite il SonicWall Global Management System (GMS). Un'intuitiva interfaccia basata sul Web, un'interfaccia a riga di comando completa e il supporto per SNMPv2/3 permettono una configurazione semplice e pratica. Grazie ai protocolli IPFIX o NetFlow, le analisi sul traffico delle applicazioni e i dati di utilizzo possono essere impiegati per scopi di monitoraggio e per creare rapporti cronologici o in tempo reale con SonicWall Scrutinizer o altri strumenti che supportano IPFIX e NetFlow. Virtual private networking (VPN) Semplifica la complessa implementazione del firewall distribuito riducendola a un compito banale automatizzando il provisioning iniziale del gateway VPN da sito a sito tra i firewall SonicWall, mentre la sicurezza e la connettività sono istantanee e automatiche. La rete VPN IPSec ad alte prestazioni consente di utilizzare la serie NSa come concentratore di VPN per migliaia di utenti privati, filiali o altri siti di grandi dimensioni. Utilizza la tecnologia VPN SSL clientless oppure un client IPSec di facile gestione per offrire un accesso semplificato a posta elettronica, file, computer, siti intranet e applicazioni da svariate piattaforme. Se si utilizzano più WAN, è possibile configurare una VPN principale e una secondaria per assicurare failover e failback automatizzati e trasparenti per tutte le sessioni VPN. La capacità di eseguire il routing dinamico tramite collegamenti VPN garantisce la continuità delle connessioni in caso di interruzione temporanea del tunnel VPN, con un reinstradamento trasparente del traffico tra gli endpoint attraverso percorsi alternativi. 8

9 Monitoraggio delle attività degli utenti Identificazione del traffico in base al paese (GeoIP) Filtraggio DPI basato su espressioni regolari Servizi in abbonamento per la prevenzione delle violazioni Protezione basata su contenuto/contesto Le tecnologie AD/LDAP/Citrix/Terminal Services SSO integrate si combinano con le informazioni esaustive ricavate dall'ispezione DPI per consentire il tracciamento delle attività e l'identificazione degli utenti. Identifica e controlla il traffico di rete diretto verso o proveniente da determinati paesi, sia per proteggere da attacchi originati in luoghi noti o potenzialmente rischiosi, sia per esaminare il traffico sospetto generato all'interno della rete. Possibilità di creare elenchi di Paesi e Botnet personalizzati per sovrascrivere un Paese errato o un tag Botnet associato a un indirizzo IP. Elimina il filtraggio indesiderato degli indirizzi IP a causa di errori di classificazione. Previene le fughe di dati identificando e controllando i contenuti che attraversano la rete in base a corrispondenze con espressioni regolari. Offre la possibilità di creare elenchi di Paesi e Botnet personalizzati per sovrascrivere un Paese errato o un tag Botnet associato a un indirizzo IP. Capture Advanced Threat Protection Sandboxing multi-engine Real-Time Deep Memory Inspection (RTDMI) Blocco fino al verdetto Analisi ampia per tipo e dimensioni del file Implementazione rapida delle firme Decrittazione e ispezione TLS/SSL Ispezione SSH Protezione basata su contromisure Aggiornamenti automatici delle firme Protezione IPS intrazona Rilevamento e blocco di comando e controllo (CnC) delle botnet Abuso/anomalia del protocollo Protezione da attacchi zero-day Tecnologia anti-evasione Anti-malware a livello del gateway Protezione contro il malware Capture Cloud Aggiornamenti di sicurezza 24 ore su 24 Ispezione bidirezionale di flussi TCP grezzi Ampio supporto di protocolli La piattaforma sandbox multi-engine, che include la piena emulazione di sistema e tecnologie di analisi a livelli hypervisor, esegue il codice sospetto nell'ambiente sandbox virtualizzato, ne analizza il comportamento e fornisce visibilità sulle attività malevole. Questa tecnologia basata su cloud in attesa di brevetto rileva e blocca il malware che non mostra alcun comportamento maligno e che cela le sue armi tramite crittografia. Obbligando il malware a svelare le proprie armi nella memoria, il motore RTDMI rileva e blocca in modo proattivo le minacce del massa, zero-day e il malware sconosciuto. Per evitare che i file potenzialmente dannosi entrino nella rete, i file inviati al cloud per l'analisi possono essere trattenuti al gateway fino all'emissione di un verdetto. Supporta l'analisi di un'ampia gamma di tipi di file, sia individualmente che come gruppo, inclusi programmi eseguibili (PE), DLL, PDF, documenti MS Office, archivi, JAR e APK, oltre a svariati sistemi operativi, inclusi Windows, Android, Mac OS X e ambienti multi-browser. Quando un file viene identificato come maligno, viene immediatamente distribuita una firma ai firewall con abbonamenti SonicWall Capture ATP, ai database delle firme Gateway Anti-Virus e IPS, nonché ai database di URL, IP e reputazione dei domini nel giro di 48 ore. è una piattaforma client unificata che offre molteplici funzionalità di protezione degli end point, tra cui la protezione avanzata da malware e supporto per la visibilità del traffico crittografato. La piattaforma sfrutta tecnologie di protezione a più livelli, reporting completo e messa in atto della protezione degli end point. Prevenzione delle minacce crittografate Esegue la decrittazione e l'ispezione del traffico crittografato TLS/SSL in tempo reale, senza proxy, di malware, intrusioni e fughe di dati, e applica policy di controllo di applicazioni, URL e contenuti per proteggere dalle minacce nascoste nel traffico crittografato. Inclusa negli abbonamenti di sicurezza per tutti i modelli della serie NSa. L'ispezione approfondita dei pacchetti del protocollo SSH (DPI-SSH) decripta e ispeziona i dati che attraversano i tunnel SSH, per prevenire attacchi basati su SSH. Prevenzione delle intrusioni Il sistema di prevenzione delle intrusioni IPS (Intrusion Prevention System) utilizza le firme e altre contromisure per scansionare i payload dei pacchetti alla ricerca di vulnerabilità ed exploit, offrendo protezione da un ampio spettro di attacchi e vulnerabilità. Il team del SonicWall Threat Research ricerca continuamente nuovi aggiornamenti e li installa in numerose contromisure IPS, che interessano oltre 50 categorie di attacchi. I nuovi aggiornamenti sono immediatamente efficaci, senza richiedere il riavvio dei dispositivi o l'interruzione dei servizi. Aumenta la protezione interna segmentando la rete in più zone di sicurezza dotate di prevenzione delle intrusioni, impedendo alle minacce di propagarsi oltre i limiti delle singole zone. Identifica e blocca il traffico di comando e controllo (CnC) generato da bot sulla rete locale e diretto a IP e domini riconosciuti come canali di propagazione del malware o noti come punti CnC. Identifica e blocca gli attacchi che sfruttano i protocolli noti nel tentativo di eludere il controllo IPS. Protegge la rete dagli attacchi zero-day con aggiornamenti costanti sui metodi e sulle tecniche di exploit più recenti, fornendo protezione da migliaia di singoli exploit. I complessi metodi di normalizzazione e decodifica dei flussi e altre tecniche assicurano che le minacce basate su tecniche di evasione ai livelli 2-7 non possano entrare in rete senza essere rilevate. Prevenzione delle minacce Il motore RFDPI scansiona tutto il traffico in entrata, in uscita e tra le zone interne della rete alla ricerca di virus, trojan, key logger e altro malware in file di qualsiasi lunghezza e dimensione, su tutte le porte e tutti i flussi TCP. Un database residente sui server cloud SonicWall, costantemente aggiornato con decine di milioni di firme delle minacce, viene consultato per ottimizzare le capacità del database di firme integrato nel dispositivo, garantendo così un'ampia copertura delle minacce da parte del motore RFDPI. Gli aggiornamenti sulle nuove minacce vengono automaticamente inviati ai firewall dotati di servizi di sicurezza attivi, e sono immediatamente efficaci senza bisogno di riavvio o di interruzioni. Il motore RFDPI è in grado di scansionare flussi TCP grezzi in entrambe le direzioni su qualsiasi porta, bloccando gli attacchi che tentano di passare attraverso sistemi di sicurezza obsoleti, concepiti per proteggere solo poche porte note. Identifica i comuni protocolli come HTTP/S, FTP, SMTP, SMBv1/v2 e altri che non inviano dati nel formato TCP grezzo, e decodifica i payload per eseguire l'ispezione anti-malware anche se questi non utilizzano le tradizionali porte standard. 9

10 Controllo delle applicazioni Identificazione di applicazioni personalizzate Gestione della larghezza di banda delle applicazioni Controllo granulare Filtraggio dei contenuto interno/esterno Content Filtering Client implementato Controlli granulari Caching Web Protezione multilivello Opzione di implementazione automatizzata Distribuzione e implementazione automatizzate Antivirus di nuova generazione Protezione contro gli spyware Application Intelligence and Control Controlla le applicazioni, o singole funzionalità delle applicazioni, identificate dal motore RFDPI utilizzando un database in continua espansione, contenente migliaia di firme di applicazioni, per aumentare la sicurezza e la produttività della rete. Controlla le applicazioni personalizzate generando firme basate su parametri specifici o su modelli di comunicazione in rete univoci per ogni applicazione, in modo da garantire un maggiore controllo sulla rete. Consente l'allocazione granulare e la regolazione della larghezza di banda disponibile per applicazioni o categorie di applicazioni critiche, impedendo nel contempo il traffico di applicazioni non essenziali. Controlla le applicazioni, o componenti specifici di un'applicazione, in base a pianificazioni, gruppi di utenti, elenchi di esclusione e numerose altre azioni con identificazione completa dell'utente tramite SSO (Single Sign-On) e integrazione LDAP/AD/Terminal Service/Citrix. Filtraggio dei contenuti Mette in atto le policy di utilizzo accettabili e blocca l'accesso a siti web HTTP/HTTPS contenenti informazioni o immagini discutibili o non produttive con Content Filtering Service e Content Filtering Client. Estende la messa in atto dei criteri per bloccare i contenuti Internet per dispositivi Windows, Mac OS, Android e Chrome situati all'esterno del perimetro del firewall. L'uso di categorie predefinite o di una combinazione qualsiasi di categorie consente di bloccare determinati contenuti. Il filtraggio può essere programmato in base all'ora del giorno, ad esempio durante gli orari scolastici o di lavoro, e applicato a singoli utenti o gruppi. Le classificazioni degli URL sono memorizzate nella cache locale del firewall SonicWall, in modo che il tempo di risposta per l'accesso successivo ai siti Web visitati con maggior frequenza sia inferiore a un secondo. Anti-virus e anti-spyware implementati Utilizza le funzionalità del firewall come primo livello di difesa sul perimetro, insieme alla protezione degli end point per bloccare i virus che entrano nella rete tramite laptop, chiavette USB e altri sistemi non protetti. Assicura che ogni computer che accede alla rete abbia installato e attivato il software antivirus appropriato e/o il certificato DPI- SSL, eliminando i costi comunemente associati alla gestione dell'antivirus desktop. La distribuzione e l'installazione macchina per macchina dei client antivirus e anti-spyware sono automatizzate sull'intera rete, riducendo al minimo l'impegno amministrativo. utilizza un motore statico di intelligenza (AI) per determinare le minacce prima che possano essere eseguite e ripristinare uno stato precedente non infetto. La potente protezione contro gli spyware garantisce la massima sicurezza bloccando i programmi spyware più diffusi e pericolosi, prima che questi possano carpire dati sensibili da computer fissi o portatili. 10

11 Firewall Stateful packet inspection Reassembly-Free Deep Packet Inspection Protezione da attacchi DDoS (UDP/ICMP/SYN flood) IPv4/IPv6 Autenticazione biometrica per accesso remoto Proxy DNS API REST Decrittazione e ispezione TLS/SSL/SSH 1 Deep Packet Inspection per TLS/SSL/SSH Inclusione/esclusione di oggetti, gruppi o nomi di host Controllo TLS/SSL Controlli DPI SSL granulari in base a zone o regole Capture Advanced Threat Protection 1 Real-Time Deep Memory Inspection Analisi multi-engine basata sul cloud Sandboxing virtualizzato Analisi a livello hypervisor Emulazione completa del sistema Esame ampia per tipo di file Invio automatico e manuale Intelligence sulle minacce con aggiornamenti in tempo reale Blocco fino al verdetto Prevenzione delle intrusioni 1 Scansione basata sulle firme Aggiornamenti automatici delle firme Ispezione bidirezionale per regole granulari IPS Implementazione GeoIP Filtraggio botnet con elenco dinamico Corrispondenza con espressioni regolari Anti-malware 1 Scansione anti-malware basata sui flussi Gateway anti-virus Gateway anti-spyware Ispezione bidirezionale File senza limiti di dimensioni Database malware su cloud Riepilogo delle funzionalità di SonicOS Identificazione delle applicazioni 1 Controllo delle applicazioni Gestione della larghezza di banda delle applicazioni Creazione di firme personalizzate per le applicazioni Prevenzione delle fughe di dati Creazione di rapporti sulle applicazioni tramite NetFlow/IPFIX Ampio database di firme delle applicazioni Visualizzazione e analisi del traffico Attività degli utenti Applicazione/larghezza di banda/utilizzo minacce Analisi basate su cloud Filtraggio dei contenuti Web 1 VPN Filtraggio URL Proxy avoidance Blocco in base a parole chiave Inserimento intestazione HTTP Categorie di classificazione CFS per la gestione della larghezza di banda Modello di policy unificato con controllo delle applicazioni Content Filtering Client Auto-provision VPN VPN IPSec per connettività site-to-site VPN SSL e accesso remoto da client IPSec Gateway VPN ridondante Mobile Connect per ios, Mac OS X, Windows, Chrome, Android e Kindle Fire VPN basato su routing (OSPF, RIP, BGP) Networking PortShield Frame Jumbo Logging migliorato VLAN trunking RSTP (Rapid Spanning Tree Protocol) Port mirroring Layer-2 QoS Port security Routing dinamico (RIP/OSPF/BGP) Controller wireless SonicWall Routing basato su policy (ToS/metrico ed ECMP) NAT DNS/Proxy DNS Server DHCP Gestione della larghezza di banda Aggregazione dei link (statica e dinamica) Ridondanza delle porte Alta disponibilità A/P con State Sync Clustering A/A Bilanciamento del carico in entrata/in uscita Bridge L2, modalità Wire/Virtual Wire, modalità Tap Failover WAN 3G/4G Routing asimmetrico Supporto CAC (Common Access Card) Wireless VoIP WIDS/WIPS Analisi dello spettro RF Prevenzione AP rogue Fast roaming (802.11k/r/v) Connettività di rete mesh (802.11s) Visualizzazione in pianta/della topologia Band steering Beamforming AirTime Fairness MiFi Extender Quota ciclica ospite Portale ospite LHM Controllo QoS granulare Gestione della larghezza di banda Trasformazioni SIP e H.323 per regola di accesso Supporto gatekeeper H.323 e proxy SIP Gestione e monitoraggio Capture Security Center, GMS, Web UI, CLI, API REST, SNMPv2/v3 Logging Esportazione verso Netflow/IPFix Backup della configurazione basato su cloud BlueCoat Security Analytics Platform Gestione SonicWall dei punti di accesso Gestione degli switch N-Series e X-Series di Dell inclusi gli switch a cascata 1 Richiede un abbonamento aggiuntivo 11

12 Specifiche di sistema della serie NSa Firewall in generale NSa 2650 NSa 3650 NSa 4650 NSa 5650 Sistema operativo SonicOS Core di elaborazione della sicurezza Interfacce Espansione 4 x 2,5-GbE SFP+ 4 x 2,5-GbE, 12 x 1-GbE, Gestione 1 GbE, 1 console 2 x 10-GbE SFP+ 8 x 2,5-GbE SFP+ 4 x 2,5-GbE, 12 x 1-GbE, Gestione 1 GbE, 1 console 1 slot di espansione (sul retro)* 2 x 10-GbE SFP+ 4 x 2,5-GbE SFP+ 4 x 2,5-GbE, 16 x 1-GbE, Gestione 1 GbE, 1 console 2 x 10-GbE SFP+ 2 x 10-GbE, 4 x 2,5-GbE SFP+ 4 x 2,5-GbE, 16 x 1-GbE, Gestione 1 GbE, 1 console Archiviazione integrata 16 GB 32 GB 32 GB 64 GB Gestione CLI, SSH, Web UI, Capture Security Center, GMS, API REST Utenti SSO Access point max. supportati Logging Analyzer, Local Log, Syslog Prestazioni firewall/vpn NSa 2650 NSa 3650 NSa 4650 NSa 5650 Throughput ispezione firewall 1 3,0 Gbps 3,75 Gbps 6,0 Gbps 6,25 Gbps Throughput DPI pieno Mbps 730 Mbps 1,2 Gbps 1,7 Gbps Throughput ispezione applicazioni 2 1,4 Gbps 2,1 Gbps 3,0 Gbps 4,25 Gbps Throughput IPS 2 1,4 Gbps 1,8 Gbps 2,3 Gbps 3,4 Gbps Throughput ispezione anti-malware Mbps 800 Mbps 1,25 Gbps 1,7 Gbps Throughput IMIX 700 Mbps 900 Mbps 1,3 Gbps 1,45 Gbps Throughput decrittazione e ispezione TLS/SSL (DPI SSL) Mbps 300 Mbps 500 Mbps 800 Mbps Throughput VPN 3 1,3 Gbps 1,5 Gbps 3,0 Gbps 3,5 Gbps Connessioni al secondo /sec /sec /sec /sec Connessioni max. (SPI) Connessioni max. (DPI) Connessioni max. (DPI SSL) Connessioni default (DPI/DPI SSL) / / / / VPN NSa 2650 NSa 3650 NSa 4650 NSa 5650 Tunnel site-to-site Client VPN IPSec (max) 50 (1.000) 500 (3.000) (4.000) (6.000) Client VPN SSL NetExtender (max) 2 (350) 2 (500) 2 (1.000) 2 (1.500) Crittografia/autenticazione Scambio delle chiavi VPN basato su routing Assegnazione indirizzo IP DES, 3DES, AES (128, 192, 256 bit)/md5, SHA-1, crittografia Suite B Gruppi Diffie-Hellman 1, 2, 5, 14v RIP, OSPF, BGP Networking NSa 2650 NSa 3650 NSa 4650 NSa 5650 Statica (DHCP, PPPoE, L2TP e client PPTP), server DHCP interno, DHCP relay Modalità NAT 1:1, many:1, 1:many, NAT flessibile (IP sovrapposti), PAT, modalità trasparente Interfacce VLAN Protocolli di routing BGP, OSPF, RIPv1/v2, route statici, routing basato su policy QoS (Quality of Service) Priorità larghezza di banda, larghezza di banda massima / garantita, DSCP marking, 802.1p Autenticazione VoIP LDAP (domini multipli), XAUTH/RADIUS, SSO, Novell, database utenti interno, servizi Terminal, Citrix, Common Access Card (CAC) H323-v1-5 completo, SIP Standard TCP/IP, ICMP, HTTP, HTTPS, IPSec, ISAKMP/IKE, SNMP, DHCP, PPPoE, L2TP, PPTP, RADIUS, IEEE Certificazioni (in corso) Alta disponibilità 5 Alimentazione ICSA Firewall, ICSA Anti-Virus, FIPS 140-2, Common Criteria NDPP (Firewall e IPS), UC APL, USGv6, CsFC Attiva/passiva con State Sync Attiva/passiva con State Sync Attiva/attiva clustering Attiva/passiva con State Sync, DPI attiva/attiva con State Sync, attiva/attiva clustering Hardware NSa 2650 NSa 3650 NSa 4650 NSa 5650 Doppia, ridondante 120W (una inclusa) Doppia, ridondante 350W (una inclusa) Ventole Doppia, fissa Tripla, rimovibile Tensione d'esercizio VAC, Hz Potenza max. assorbita (W) 37, ,6 103,6 MTBF a 25 ºC in ore MTBF a 25 ºC in anni 18,5 17,9 17,6 17,5 Fattore di forma Montabile su rack 1U Misure 43 x 32,5 x 4,5 cm 43 x 41,5 x 4,5 cm (16,9 x 12,8 x 1,8 in) (16,9 x 16,3 x 1,8 in) Peso 5,2 kg 5,3 kg 6,9 kg 6,9 kg Peso sec. RAEE 5,5 kg 5,6 kg 8,9 kg 8,9 kg Peso confezione 7,7 kg 7,8 kg 11,3 kg 11,3 kg Principali normative di conformità FCC Class A, CE (EMC, LVD, RoHS), C-Tick, VCCI Class A, MSIP/KCC Class A, UL, cul, TUV/GS, CB, Mexico CoC by UL, RAEE, REACH, ANATEL, BSMI Condizioni ambientali (in funzionamento/stoccaggio) 0-40 C/ C Umidità 10-90%, non condensante 12

13 Specifiche di sistema della serie NSa (cont.) Firewall in generale NSa 6650 NSa 9250 NSa 9450 NSa 9650 Sistema operativo SonicOS Core di elaborazione della sicurezza Interfacce 6 x 10 GbE SFP+, 10 x 10 GbE SFP+, 10 x 10 GbE SFP+, 10 x 10 GbE SFP+, 2 x 10 GbE, 2 x 10 GbE, 2 x 10 GbE, 2 x 10 GbE, 4 x 2,5 GbE SFP, 8 x 2,5 GbE, 8 x 2,5 GbE, 8 x 2,5 GbE, 8 x 2,5 GbE, 8 x 1 GbE, 8 x 1 GbE, 8 x 1 GbE, 8 x 1 GbE, 1 GbE di gestione, 1 GbE di gestione, 1 GbE di gestione, 1 GbE di gestione, 1 Console 1 Console 1 Console 1 Console Espansione 1 slot di espansione (sul retro)* Archiviazione integrata 64 GB 128 GB 128 GB 256 GB Gestione CLI, SSH, Web UI, Capture Security Center, CLI, SSH, Web UI, GMS, API REST GMS, API REST Utenti SSO Access point max. supportati Logging Analyzer, registro locale, Syslog, IPFIX, NetFlow Firewall/prestazioni VPN NSa 6650 NSa 9250 NSa 9450 NSa 9650 Throughput ispezione firewall 1 12,0 Gbps 12,0 Gbps 17,1 Gbps 17,1 Gbps Throughput DPI pieno 2 3,1 Gbps 3,3 Gbps 5,0 Gbps 5,5 Gbps Throughput ispezione applicazioni 2 6,0 Gbps 7,75 Gbps 10,8 Gbps 11,5 Gbps Throughput IPS 2 6,0 Gbps 7,2 Gbps 10,2 Gbps 10,3 Gbps Throughput ispezione antimalware 2 3,5 Gbps 3,7 Gbps 5,0 Gbps 5,5 Gbps Throughput IMIX 2,65 Gbps 2,65 Gbps 4,1 Gbps 4,1 Gbps Throughput decrittazione e ispezione TLS/SSL (SSL DPI) 2 1,45 Gbps 1,5 Gbps 2,1 Gbps 2,25 Gbps Throughput VPN 3 6,0 Gbps 6,75 Gbps 10,0 Gbps 10,0 Gbps Connessioni al secondo /sec /sec /sec /sec Connessioni max. (SPI) Connessioni max. (DPI) Connessioni max. (DPI SSL) Connessioni default (DPI/DPI SSL) / / / / VPN NSa 6650 NSa 9250 NSa 9450 NSa 9650 Tunnel site-to-site Client VPN IPSec (max) (6.000) (6.000) (6.000) (6.000) Client VPN SSL NetExtender (max) 2 (2.000) 2 (3.000) 2 (3.000) 50 (3.000) Crittografia/autenticazione Scambio delle chiavi VPN basato su routing Assegnazione indirizzo IP DES, 3DES, AES (128, 192, 256 bit)/md5, SHA-1, crittografia Suite B Gruppi Diffie-Hellman 1, 2, 5, 14v RIP, OSPF, BGP Networking NSa 6650 NSa 9250 NSa 9450 NSa 9650 Statica (DHCP, PPPoE, L2TP e client PPTP), server DHCP interno, DHCP relay Modalità NAT 1:1, many:1, 1:many, NAT flessibile (IP sovrapposti), PAT, modalità trasparente Interfacce VLAN 512 Protocolli di routing BGP, OSPF, RIPv1/v2, route statici, routing basato su policy QoS (Quality of Service) Priorità larghezza di banda, larghezza di banda massima / garantita, DSCP marking, 802.1p Autenticazione LDAP (domini multipli), XAUTH/RADIUS, SSO, Novell, database utenti interno, Terminal Services, Citrix, Common Access Card (CAC) VoIP H323-v1-5 completo, SIP Standard TCP/IP, ICMP, HTTP, HTTPS, IPSec, ISAKMP/IKE, SNMP, DHCP, PPPoE, L2TP, PPTP, RADIUS, IEEE Certificazioni (in corso) ICSA Firewall, ICSA Anti-Virus, FIPS 140-2, Common Criteria NDPP (Firewall e IPS), UC APL, USGv6, CsFC Alta disponibilità 5 Attiva/passiva con State Sync, DPI attiva/attiva con State Sync, clustering attivo/attivo Alimentazione Ventole Tensione d'esercizio Hardware NSa 6650 NSa 9250 NSa 9450 NSa 9650 Doppia, ridondante 350 W (una inclusa) Tripla, rimovibile VAC, Hz Doppia, ridondante, 350 W Potenza max. assorbita (W) 144,3 86,7 90,9 113,1 MTBF a 25 C in ore MTBF a 25 C in anni 17,9 15,96 15,4 13,3 Fattore di forma Misure Montabile su rack 1U 43 x 41,5 x 4,5 cm (16,9 x 16,3 x 1,8 in) Peso 8,1 kg (17,9 lb) 8,1 kg (17,9 lb) Peso WEEE 10,2 kg (22,5 lb) 10,2 kg (22,5 lb) Peso confezione 12,6 kg (27,8 lb) 12,6 kg (27,8 lb) Principali normative di conformità FCC Class A, CE (EMC, LVD, RoHS), C-Tick, VCCI Class A, MSIP/KCC Class A, UL, cul, TÜV/GS, CB, Mexico CoC by UL, WEEE, REACH, ANATEL, BSMI Condizioni ambientali (in funzionamento/stoccaggio) 0-40 C/ C Umidità 10-90%, non condensante 1 Metodologie di test: prestazioni massime come da RFC 2544 (per il firewall). Le prestazioni effettive possono variare in base alle condizioni della rete e ai servizi attivati. 2 Rilevazione throughput completa per DPI/Gateway AV/Anti-Spyware/IPS tramite il test di performance Spirent WebAvalanche HTTP standard nell'industria e gli strumenti di test Ixia. Test eseguiti con flussi multipli attraverso coppie di porte multiple. 3 Rilevazione throughput VPN tramite traffico UDP con pacchetti da 1280 byte, in conformità a RFC Specifiche, funzionalità e disponibilità soggette a modifiche. 4 Per ogni connessioni DPI ridotte, il numero di connessioni DPI SSL disponibili aumenta di 3.000, tranne che per NSa 9250 e superiore. 5 Clustering attivo/attivo e DPI attiva/attiva con State Sync richiedono l acquisto della licenza estesa. *Uso futuro. Specifiche, funzionalità e disponibilità soggette a modifiche.