Hoe migreer je van SonicWall naar SASE?
Een typische organisatie in het middensegment (50 tot 400 gebruikers) voltooit de migratie in vier tot zes weken. Het proces verloopt in vijf fasen: audit uw huidige SonicWall-configuratie, breng firewallbeleidslijnen in kaart naar SASE-equivalenten, voer een pilot uit met externe gebruikers, rol gefaseerd uit over vestigingen en zet de SonicWall-hardware uit. Cloud-native SASE-platforms zoals Jimber vervangen de volledige SonicWall-stack, van firewallregels en VPN-tunnels tot contentfiltering, door een enkele, door de cloud beheerde console. Geen nieuwe hardware, geen vrachtwagenrollen.
SonicWall firewalls hebben IT-teams in het middensegment van de markt goede diensten bewezen. Ze zijn vertrouwd, goed gedocumenteerd en diep ingebed in netwerkarchitecturen in België, Nederland en de Benelux. Maar de calculus verschuift. De ondersteuning voor Generation 6-hardware loopt af op 16 april 2026. VPN-gerelateerde CVE’s worden binnen enkele uren na bekendmaking misbruikt. NIS2 handhaving verwacht controles die een standalone firewall alleen niet kan leveren. De migratie hoeft niet pijnlijk te zijn. Deze gids doorloopt het volledige proces, van het in kaart brengen van het beleid tot het parallel uitvoeren, zodat uw team met vertrouwen kan plannen.
Waarom klanten van SonicWall alternatieven overwegen in 2026
Drie convergerende factoren duwen klanten van SonicWall in de richting van architecturale verandering. Elk van hen is afzonderlijk beheersbaar. Samen vormen ze een overtuigend argument om het firewall-centrische model volledig te heroverwegen.
Het einde van de ondersteuning nadert. SonicWall Generation 6 firewalls, waaronder de veelgebruikte TZ300, TZ400, TZ500, TZ600 en NSa 2650 tot en met 6650 series, zijn in april 2024 met beperkte pensioen gegaan. Na 16 april 2026 ontvangen deze apparaten geen firmware-updates, geen beveiligingspatches en geen technische ondersteuning meer. Het draaien van ongepatchte firewalls op een publieke perimeter is een risico dat geen enkel compliance framework accepteert.
De exploitatie van CVE gaat steeds sneller. Het toegangscontroleprobleem CVE-2024-40766 werd vanaf medio 2025 het primaire ingangspunt voor de campagne van de Akira ransomware-groep tegen SonicWall-apparaten. CISA bevestigde actieve exploitatie. Arctic Wolf observeerde een golf van SonicWall-gerichte inbraken in juli 2025, waarbij volledige versleuteling in sommige gevallen binnen een uur na de eerste inbraak plaatsvond. Zelfs gepatchte apparaten bleven kwetsbaar als de lokale referenties niet waren gereset na de migratie van Gen 6 naar Gen 7 firmware.
NIS2 vereist meer dan alleen perimeterfiltering. De NIS2-implementatie in België is actief, met CyberFundamentals (CyFun)-certificeringsdeadlines in april 2026 voor essentiële entiteiten. De richtlijn vereist toegangscontrole op basis van identiteit, gecentraliseerde logging, incidentrapportage binnen 24 uur en aantoonbare netwerksegmentatie. Een SonicWall firewall regelt een aantal van deze zaken. Niet allemaal. Organisaties die alleen vertrouwen op firewallregels en VPN-toegang zullen moeite hebben om het bewijs te leveren dat auditors verwachten.
Wat SonicWall u geeft en wat niet
SonicWall verdient eerlijk krediet. De TZ en NSa series zijn bewezen apparaten. Beheerders kennen de interface. Het NSM-dashboard (Network Security Manager) centraliseert de basisbewaking van meerdere apparaten. SonicWall’s deep packet inspection engine is solide en de AGSS/CGSS licenties bundelen gateway anti-virus, IPS en content filtering in één abonnement.
Waar SonicWall tekortschiet is de architectuur. Het platform is gebouwd rond een perimetermodel: verkeer stroomt door een box, de box past regels toe en alles binnen de perimeter wordt standaard vertrouwd. Dat model heeft drie structurele gaten die er in 2026 toe doen.
Ten eerste, geen native Zero Trust Netwerktoegang. NetExtender en Mobile Connect bieden SSL VPN tunnels die toegang verlenen op netwerkniveau. Zodra een gebruiker verbonden is, kan hij alles bereiken op het subnet, tenzij je complexe firewall regels maakt om hem te beperken. Dat is het tegenovergestelde van ‘least-privilege’ toegang.
Ten tweede, beperkte cloud-native mogelijkheden. SonicWall’s Cloud Secure Edge (CSE) bestaat, maar gebruikersfeedback wijst consequent op de complexiteit van de configuratie en een verschuiving in het licentiemodel (pooling per gebruiker) die aanzienlijk verschilt van het model per apparaat dat teams in het middensegment gewend zijn.
Ten derde, geen agentless apparaatisolatie. Printers, IoT-sensoren en OT-apparatuur bevinden zich op het netwerk als vertrouwde eindpunten. SonicWall biedt geen mechanisme om deze apparaten op applicatieniveau te isoleren zonder extra hardware en complexe regelsets.
Jimber pakt ze alle drie aan. ZTNA vervangt VPN-tunnels door identiteitsgebaseerde toegang per applicatie. De Secure Web Gateway en FWaaS verwerken webfiltering en firewallbeleid vanuit de cloud. NIAC hardware isoleert agentless apparaten inline, zonder software-installatie. En alles wordt uitgevoerd vanaf een enkele beheerconsole.
Configuratie in kaart brengen: SonicWall naar SASE
De meest praktische stap in migratieplanning is in kaart brengen wat je hebt en wat het vervangt. Deze tabel bevat de SonicWall kerncomponenten en hun SASE equivalenten.
| SonicWall-component | SASE-equivalent | Migratie opmerkingen |
|---|---|---|
| Firewallregels (TZ/NSa-zone) | FWaaS-beleid | Kaart per zone. Vereenvoudig waar mogelijk. De meeste omgevingen in het middensegment van de markt hebben in de loop der jaren regels opgebouwd die geen nut meer hebben. |
| NetExtender / SSL VPN | ZTNA | Identiteitsgebaseerde toegang per applicatie. Geen tunnel op netwerkniveau. Apparaatposture-controles controleren de gezondheid van het eindpunt voordat toegang wordt verleend. |
| Inhoudfilterdienst (CFS) | Beveiligde webgateway (SWG) | URL-categorieën plus bedreigingsinspectie. Geleverd via de cloud, dus hetzelfde beleid is van toepassing of de gebruiker nu op kantoor is of thuis. |
| Site-to-site VPN (IPsec) | SD-WAN overlay | Veilige site-to-site connectiviteit via commodity-internet. Geen appliance nodig per locatie. Snellere failover, automatische padkeuze. |
| Anti-Virus / IPS gateway | Cloud-native bedreigingsinspectie | Automatische updates. Geen afhankelijkheid van firmware. Inspectie in één keer voor al het verkeer. |
| NSM (cloudbeheer) | Eén beheerconsole | Alle beleidsregels, logging en nalevingsrapportage in één interface. Multi-tenant voor servicepartners die meerdere klanten beheren. |
| Onbeheerde apparaten (printers, IoT, OT) | NIAC-hardware | Inline isolatie. Apparaten die geen agent kunnen uitvoeren, krijgen gecontroleerde toegangspaden zonder het apparaat zelf aan te raken. |
Jimber’s single console brengt al deze componenten onder in één policy engine. In plaats van regels te beheren voor individuele TZ firewalls per site, definieer je de beleidsregels één keer en zijn ze wereldwijd van toepassing, met uitzonderingen per site of per gebruiker waar nodig.
Tijdlijn voor stapsgewijze migratie
Een gefaseerde aanpak houdt het risico laag en levert in elke fase meetbare vooruitgang op. Hier volgt een realistische tijdlijn voor een organisatie in het middensegment met 50 tot 400 gebruikers verspreid over twee tot vijf locaties.
Week 1 tot 2: Audit en ontdekking. Breng elke applicatie in kaart die momenteel wordt benaderd via NetExtender of site-to-site VPN. Documenteer gebruikersgroepen, toegangsvereisten en apparaattypes. Exporteer uw SonicWall firewallregels en identificeer welke actief zijn, welke overbodig zijn en welke conflicteren. Deze stap onthult vaak dat 30 tot 40 procent van de regels niet langer nodig zijn. Markeer alle agentloze apparaten (printers, gebouwbeheersystemen, productieapparatuur) die NIAC-isolatie nodig hebben in plaats van agentgebaseerde toegang.
Week 2 tot 3: Identiteitsintegratie en beleidsontwerp. Verbind je identity provider (Azure AD/Entra ID, Google Workspace of een andere IdP) met het SASE platform. Synchroniseer gebruikersgroepen en koppel ze aan het toegangsbeleid voor applicaties. Ontwerp baselines voor de apparaatstatus: minimale OS-versie, schijfversleuteling, status van endpointbeveiliging. Dit is waar de migratie fundamenteel verschilt van een hardware refresh. U gaat van IP-gebaseerde regels naar identiteitsgebaseerd beleid.
Week 3 tot 4: Pilot met externe gebruikers. Zet ZTNA in voor twee tot drie toepassingen met een laag risico en hoog gebruik. Werknemers op afstand zijn de ideale pilotgroep, omdat zij de meeste VPN-wrijving ervaren en onmiddellijk profiteren van snellere, betrouwbaardere toegang. Draai ZTNA naast het bestaande SonicWall VPN tijdens de pilot. Monitor gebruikerservaring, toegangslogs en supporttickets. Verfijn het posture-beleid op basis van echte apparaattoestanden.
Week 4 tot 5: Gefaseerde uitrol. ZTNA uitbreiden naar bedrijfskritische toepassingen: ERP, CRM, bestandsdeling, interne tools. SWG- en FWaaS-beleid inschakelen voor webverkeer. SD-WAN overlays implementeren om site-to-site IPsec tunnels te vervangen. Elke applicatie die via ZTNA wordt gepubliceerd, vermindert het verkeer dat door de SonicWall stroomt en verschuift de belasting geleidelijk naar het SASE-platform.
Week 5 tot 6: SonicWall zonsondergang. Zodra de applicatiedekking 80 procent of meer bereikt en het aantal supporttickets stabiliseert, begin dan met de buitengebruikstelling. Schakel VPN-toegang voor gemigreerde applicaties uit. Verwijder firewallregels die zijn vervangen door SASE-beleidsregels. Sommige organisaties behouden een SonicWall aan de rand van het datacenter tijdens een observatieperiode. Dat is prima. Het doel is om er binnen een kwartaal te zijn, niet om een enkele weekend cutover te forceren.
We hebben vergelijkbare gidsen gepubliceerd voor Fortinet-klanten die migreren vanuit SSL VPN. Het patroon is consistent: een gefaseerde migratie met parallelle uitvoering levert de beste resultaten op. Voor een gedetailleerd overzicht van hoe de volledige implementatie in elkaar steekt, zie de SASE implementatie tijdlijn.
SonicWall en SASE parallel uitvoeren
De overgangsperiode is waar de meeste teams zich zorgen over maken. Het goede nieuws: cloud-native SASE conflicteert niet met on-premise firewalls. Beide kunnen tegelijkertijd werken.
Tijdens de parallelle fase zet je een IPsec-tunnel op tussen je SonicWall appliance en het SASE cloud point of presence. Dit creëert een hybride pad waarbij gemigreerde gebruikers via SASE lopen terwijl niet gemigreerde gebruikers verder gaan via de firewall. DNS speelt een belangrijke rol. Interne DNS-query’s voor gemigreerde applicaties moeten naar de SASE-gateway worden omgezet. Query’s voor applicaties die nog steeds achter de SonicWall zitten, leiden naar het lokale netwerk zoals voorheen. Gesplitste DNS-configuratie regelt dit netjes.
De cloud-native architectuur van Jimber betekent dat er geen hardwareconflicten zijn tijdens de overgang. Geen rackspace-concurrentie, geen poortconflicten, geen firmwarecompatibiliteitsproblemen. Het SASE-platform draait volledig in de cloud. Uw SonicWall blijft functioneren zoals altijd totdat u klaar bent om hem met pensioen te sturen.
Begin met de gebruikers die het meeste last hebben van VPN’s: externe werknemers, frequente reizigers en aannemers. Zij profiteren direct van snellere toegang en betere betrouwbaarheid. Verminder de reikwijdte van het VPN naarmate elke groep migreert. Schakel NetExtender-toegang voor specifieke gebruikersgroepen uit zodra ze zijn bevestigd op ZTNA. Houd een gedocumenteerde rollback procedure beschikbaar totdat u er zeker van bent dat de migratie is voltooid.
Het risicorapport over legacy VPN laat in detail zien waarom het langer dan nodig aanhouden van VPN-toegang de blootstelling verhoogt. Elke week waarin beide systemen actief zijn, is een week met twee aanvalsoppervlakken in plaats van één.
Hoe zit het met apparaten waarop geen agent kan draaien?
Dit is de vraag waar klanten van SonicWall zelden over nadenken totdat het een probleem wordt. Printers, IP-camera’s, gebouwbeheersystemen, medische apparatuur en industriële controllers bevinden zich op hetzelfde netwerk als beheerde eindpunten. SonicWall behandelt ze als vertrouwde apparaten op het lokale subnet. Als een aanvaller er een compromitteert, krijgen ze een voet aan de grond die de firewall niet kan zien.
SASE met NIAC-hardware verandert dit volledig. NIAC van Jimber isoleert agentloze apparaten inline en beperkt elk apparaat tot expliciet gedefinieerde communicatiestromen. Een printer kan de printserver bereiken. Een IoT-sensor kan zijn cloud-eindpunt bereiken. Verder niets. De rest van het netwerk is onzichtbaar voor het apparaat.
Voor organisaties met OT-apparatuur is deze IT-OT brug bijzonder waardevol. Productiecontrollers, PLC’s en SCADA-systemen ondersteunen zelden softwareagenten. Door ze achter NIAC-isolatie te plaatsen, krijg je gesegmenteerde toegang zonder productieprocessen te verstoren of garanties op apparatuur ongeldig te maken. Externe onderhoudsleveranciers krijgen beperkte, bemiddelde toegang tot specifieke machines. De fabrieksvloer blijft geïsoleerd.
De IPsec VPN vs ZTNA migratiegids behandelt hoe agentless device handling past in de bredere migratiestrategie, inclusief hoe NIAC werkt naast device posture checks voor beheerde eindpunten.
Voor wie is Jimber gemaakt?
In plaats van te bepalen wanneer SonicWall nog steeds de juiste keuze is, volgt hier het profiel van organisaties waar Jimber de sterkste resultaten levert.
U hebt 50 tot 400 gebruikers verspreid over meerdere locaties of met een aanzienlijk aantal externe medewerkers. Uw IT-team is klein, meestal twee tot vijf mensen, en het beheren van meerdere consoles kost productieve tijd. U hebt te maken met deadlines voor NIS2- of CyFun-compliance en hebt gecentraliseerde logging, identiteitsgebaseerde toegang en auditklare rapportage nodig. U hebt agentless apparaten op uw netwerk die niet alleen firewallregels nodig hebben, maar ook isolatie. U werkt met een servicepartner (MSP) die multi-tenant zichtbaarheid nodig heeft in hun klantenbestand. En u wilt transparante prijzen zonder bandbreedtetoeslagen of verborgen bijkomende kosten.
Als die beschrijving klopt, kan het SASE raamwerk voor het vergelijken van leveranciers helpen bij het structureren van je evaluatie op het gebied van architectuur, prijs, OT-ondersteuning en gegevenssoevereiniteit.
Veelgestelde vragen
Kan ik van SonicWall naar SASE migreren zonder downtime?
Ja. De parallelle aanpak betekent dat gebruikers nooit zonder toegang zitten. Tijdens de overgang werken beide systemen gelijktijdig. Applicaties migreren één voor één. Gebruikers schakelen geleidelijk over naar ZTNA. De SonicWall hoeft op geen enkel moment uitgeschakeld te worden om het SASE platform te laten functioneren. De meeste organisaties voltooien de migratie zonder een enkele ongeplande onderbreking.
Wat gebeurt er met mijn SonicWall hardware na de migratie?
Generatie 6-toestellen die het einde van hun ondersteuning naderen, hebben een beperkte doorverkoop- of herbestemmingswaarde. Sommige organisaties behouden een enkele unit als tijdelijke fallback tijdens de observatieperiode. appliances van generatie 7 of 8 kunnen worden hergebruikt als eenvoudige routers of worden verkocht via uw bestaande kanaalpartner. Zodra SASE volledig is geïmplementeerd, is de hardware niet langer nodig voor beveiligingshandhaving.
Moet ik mijn SonicWall switches ook vervangen?
Nee. SASE werkt op de applicatie- en identiteitslaag, niet op de switching laag. Uw bestaande switches, access points en bekabeling blijven op hun plaats. NIAC-hardware wordt inline aangesloten voor agentless apparaatisolatie, maar vereist geen vervanging van uw switchinginfrastructuur.
Hoe verhoudt de prijs van SASE zich tot de AGSS-licentie van SonicWall?
SonicWall’s licentiemodel bundelt beveiligingsdiensten (AGSS/CGSS) per appliance, met afzonderlijke kosten voor elke firewall in uw omgeving. SASE consolideert alle beveiligingsfuncties in een enkel abonnement per gebruiker. U elimineert hardware-aankoopcycli, appliance-specifieke licenties en de verborgen kosten van firmware-onderhoud, stroom en rack-ruimte. Voor implementaties op meerdere locaties is het kostenverschil aanzienlijk omdat u niet langer op elke locatie een speciale firewall en licentiebundel nodig hebt.
Kan mijn MSP de migratie voor mij beheren?
Absoluut. SASE-platforms met een multi-tenantarchitectuur zijn ontworpen voor servicepartners om meerdere klantomgevingen vanaf één console te beheren. Je MSP kan beleidslijnen sjabloneren, baselines standaardiseren en de migratie uitvoeren met behulp van herhaalbare processen uit eerdere implementaties. De NIS2-conformiteitscontrolelijst bevat de controles die uw servicepartner naast de migratie moet implementeren.
Helpt migreren naar SASE bij NIS2-compliance?
Het voorziet in ongeveer 80 tot 90 procent van de technische controles onder NIS2 artikel 21. Toegang op basis van identiteit voldoet aan de vereisten voor toegangscontrole. Gecentraliseerde registratie maakt het mogelijk om 24 uur per dag incidenten te melden. Apparaatposture-controles tonen endpoint governance aan. Netwerksegmentatie via NIAC en FWaaS toont risicocompartimentering. Een standalone firewall dekt enkele van deze. Een uniform SASE-platform dekt de meeste van deze vanuit één enkele bewijsbron. Lees de SSL VPN deprecated tijdlijn voor een bredere context over waarom de hele industrie afstapt van legacy VPN-toegang.
Klaar om uw SonicWall migratie te plannen? Boek een demo en doorloop een implementatieplan dat is afgestemd op uw omgeving, het aantal locaties en compliance-eisen. Jimber’s platform is gebouwd voor middelgrote teams die snel moeten handelen zonder het 12 maanden durende implementatieproject.
