PA-7500

亮点 •全球首个基于机器学习的新一代防火墙 •第十一次当选Gartner网络防火墙魔力象限领导者 •ForresterWave企业防火墙领导者，2022年第 4季度 •基于统一且可扩展的架构运行 •将可视性和安全性扩展到所有设备，包括未托管的物 联网设备，且无需部署其他传感器 •通过集群解决方案支持高可用性 •通过安全服务提供可预测的性能 •通过Panorama™网络安全管理支持集中管理 •充分利用安全投资并使用AIOps防止业务中断 PA-7500 PA-7500 PaloAltoNetworksPA-7500基于机器学习的新一代防火墙(NGFW)可帮助企业级组织和服务提供商在高性能环境 并且可以通过高吞吐量的解密来阻止加密隐藏的威胁。为最 （如大型数据中心和高带宽网络边界）中部署安全功能。这些系统专为处理由应用、用户和设备生成的不断增长的数据而设计，可以提供优异的性能和阻止最高级网络攻击的防御功能， 大限度利用安全处理资源并在新计算能力可用时自动扩展，PA-7500采用单UV方法进行管理和授权，以此实现易用性。 PA-7500的控制元素是PAN-OS®，这正是运行所有PaloAltoNetworks新一代防火墙的软件。PAN-OS原生分类所有流量，包括应用、威胁和内容，然后将该流量与用户绑定，而不受位置或设备类型的影响。随后，将应用、内容和用户（即运行业务的要素）用作安全策略的基础，由此改善安全状况，并缩短事件响应时间，同时减少在高度动态环境中让安全策略保持最新的相关管理开销。 主要安全和连接功能 基于机器学习的新一代防火墙 •将机器学习(ML)嵌入防火墙核心，为基于文件的攻击提供内联无签名攻击预防，同时识别并立即阻止以前从未见过的网络钓鱼尝试。 •利用基于云的机器学习进程将零延迟签名和指令推送回新一代防火墙。 •使用行为分析检测物联网设备并提出策略建议；新一代防火墙上的云交付和原生集成服务。 •自动化的策略建议可以节省时间并减少出现人为错误的机会。 通过全面的第7层检查在所有时间、所有端口上识别和分类所有应用 •识别有网络流量的应用，不考虑端口、协议、规避技术或加密(SSL/TLS)。 •自动发现和控制新的应用，跟上SaaS爆发式增长的节奏-通过SaaSSecurity订阅。 •使用应用而非端口作为所有安全启用策略的决策基础：允许、拒绝、计划、检测以及应用流量整形。 •提供为专有应用创建自定义App-ID™标签的能力，或为来自PaloAltoNetworks的新应用请求App-ID开发的能力。 •识别应用中的所有有效负载数据（例如文件和数据模式），以阻止恶意文件并拦截数据泄露尝试。 •创建标准和定制的应用使用情况报告，包括软件即服务(SaaS)报告，这些报告提供了对您网络上所有已认可和未认可的SaaS流量的深入洞见。 •使用内置的策略优化器，支持将旧的第4层规则集安全迁移到基于App-ID的规则，从而为您提供更安全、更易于管理的规则集。 有关详细信息，请参阅App-ID技术摘要。 在任何位置的任何设备上为用户实施安全方案，同时根据用户活动调整策略 •支持基于用户和组而不仅仅是IP地址的可视性、安全策略、报告和取证。 •轻松地与各种存储库集成以利用用户信息：无线LAN控制器、VPN、目录服务器、SIEM、代理等等。 •允许您在防火墙上定义动态用户组(DUG)以执行有时间限制的安全操作，而无需等待更改应用于用户目录。 •应用一致的策略，而不考虑用户的位置（办公室、住宅、旅行途中等）和设备（iOS和Android移动设备、macOS、Windows、Linux台式机、笔记本电脑；Citrix和MicrosoftVDI以及终端服务器）。 •防止公司凭据泄露到第三方网站，并通过在网络层为任何应用启用多因素身份验证(MFA)来防止重新使用被盗的凭据，而不用进行任何应用更改。 •提供基于用户行为的动态安全操作，以限制可疑或恶意用户。 •通过云身份引擎（一种全新的基于云的基础架构，可实现基于身份的安全性），始终如一地对您的用户进行身份验证和授权，无论他们位于何处以及用户身份存储在何处，都可以快速过渡到零信任安全状态。 有关详细信息，请查看云身份引擎解决方案摘要。 防止隐藏在加密流量中的恶意活动 •对SSL/TLS加密的入站和出站流量进行检查并应用策略，包括使用TLS1.3和HTTP/2的流量。 •无需解密即可提供对TLS流量的丰富可视性，例如加密通信量、SSL/TLS版本、密码套件等。 •支持对传统TLS协议、不安全密码和错误配置的证书的使用进行控制，从而减轻风险。 •有利于解密的轻松部署，并允许您使用日志来解决问题，例如证书被锁定的应用。 •允许基于URL类别以及源和目标区域、地址、用户、用户组、设备和端口灵活地启用或禁用解密，以实现隐私和法规上的合规性。 •允许您从防火墙创建已解密流量的副本（即解密镜像），并将其发送到流量收集工具，以用于取证、历史记录或数据丢失预防(DLP)。 •允许您使用网络数据包代理将所有流量（解密TLS、非解密TLS和非TLS）智能转发到第三方安全工具，优化网络性能并降低运营费用。 请参阅此解密白皮书，了解解密的位置、时间和方式，以阻止威胁并保护您的业务。 提供集中管理和可视性 •在一个统一的用户界面通过Panorama™网络安全管理实现多个分布式PaloAltoNetworks新一代防火墙 （不考虑位置或规模）的集中管理、配置和可视性优势。 •通过Panorama利用模板和设备组简化配置共享，并随着日志记录需求的增加扩展日志收集。 •使用户能够通过应用命令中心(ACC)深入且全面地了解网络流量和威胁。 通过AIOps充分利用您的安全投资并防止业务中断 •AIOpsforNGFW提供针对您的独特部署定制的持续最佳实践建议，以加强您的安全态势并充分利用您的安全投资。 •根据由高级遥测数据提供支持的机器学习智能预测防火墙运行状况、性能和容量问题。同时提供可行方案来解决预测到的中断问题。 使用云交付的安全服务检测和防止高级威胁 如今，复杂的网络攻击可以在30分钟内生成45,000个变种，使用多种威胁载体和先进技法布置恶意有效负载。传统的孤岛式安全方案给企业带来了挑战，因为这会引入安全漏洞，增加了安全团队的开销，并以不一致的访问和可视性阻碍业务生产力。 我们的云安全服务与业界领先的新一代防火墙无缝集成，利用80,000个客户的网络效应，即时协调情报，防范来自所有载体的所有威胁。消除您的所有位置之间的覆盖缺口，并利用平台上始终提供的一流安全性，免受最先进和最具规避性的威胁。 服务包括： •AdvancedThreatPrevention：阻止已知的漏洞利用、恶意软件、间谍软件及命令和控制(C2)威胁，同时利用业界首创的零日攻击预防措施，与传统IPS解决方案相比，可多阻止60%的未知注入攻击和48%的高规避性命令和控制流量。 •AdvancedWildFire®：借助业界最大的威胁情报和恶意软件防御引擎，以60倍的速度自动防御已知和未知恶意软件以及高规避性恶意软件，确保文件安全。 •AdvancedURLFiltering：通过业界首个已知和未知威胁的实时防御，确保安全访问互联网并多阻止40%基于Web的攻击，比其他供应商至少提前48小时阻止88%的恶意URL。 •DNSSecurity：增加40%的威胁覆盖率，并阻止85%使用DNS进行命令和控制以及数据窃取的恶意软件，无需对您的基础架构进行任何更改。 •企业DLP：最大限度地降低数据泄露风险，阻止违反政策的数据传输，并在整个企业内实现一致的合规性，将所有云交付的企业DLP的覆盖范围扩大2倍。 •SaaS安全：借助业界唯一的新一代CASB自动查看和保护所有协议中的所有应用，在SaaS呈爆炸式增长的环境下先下手为强。 •IoT安全：利用业界为智能设备打造的最智能的安全措施，将保护每项“事务”和实施零信任设备安全的速度提升至20倍。 利用单通道架构提供独特的数据包处理方法 •在单通道中对所有威胁和内容执行联网、策略查找、应用和解码以及签名匹配。这样可以明显减少在一台安全设备中执行多种功能所产生的处理开销。 •通过使用基于流的统一签名匹配，在单通道中扫描流量中的所有签名，避免了引入延迟。 •启用安全订阅时，可实现一致且可预测的性能。（表1中，“威胁预防吞吐量”是在启用多个订阅的情况下测量的。） 启用SD-WAN功能 •可轻松采用SD-WAN，只需在现有防火墙上启用该功能即可。 •可以安全实施SD-WAN，其已与我们行业领先的安全技术进行了原生集成。 •通过最大限度地减少延迟、抖动和丢包，提供出色的最终用户体验。 PA-7500架构 PA-7500采用可扩展架构，以便应用适当类型和规模的处理能力，执行联网、安全和管理等主要任务。 PA-7500作为统一的单系统进行管理，使您能够轻松将所有可用资源用于保护数据。PA-7500机箱智能地将处理需求分配给三个子系统，每个子系统都具有大量计算能力和专用内存：网络处理卡(PA-7500-NPC-A)、数据处理卡(PA-7500-DPC-A)和管理处理卡(PA-7500-MPC-A)。PA-7500提供九个插槽，可以安装这些卡，最低配置要求每种卡至少有一个插槽。此外，一个或两个可选冗余的交换结构卡(PAN-PA-7500-SFC-A)安装在后部，用于正交配接。 表1：PA-7500Series性能和容量 PA-7500-DPC-A PA-7500* 防火墙吞吐量(appmix)† 310Gbps 1,500Gbps ThreatPrevention吞吐量(appmix)‡ 250Gbps 1,440Gbps 最大并发会话数§ 7300万 4.4亿 IPsecVPN吞吐量|| 67Gbps 407Gbps 每秒新会话数# 120万 720万 虚拟系统（基本/最大）** — 25/225 注：在PAN-OS11.1中评测结果。 *本栏中的结果来自使用六张PA-7500-DPC-A卡和两张PA-7500-NPC-A卡的配置。 †在启用App-ID和日志记录的情况下，利用appmix事务测量防火墙吞吐量。 ‡在启用App-ID、IPS、防病毒、反间谍软件、WildFire、DNSSecurity、文件拦截和日志记录的情况下，利用appmix事务测量ThreatPrevention吞吐量。 §最大并发会话数利用HTTP事务来衡量。 ||在启用日志记录的情况下，利用64KBHTTP事务测量IPsecVPN吞吐量。#使用1字节HTTP事务通过应用覆盖测量每秒新会话数。 **在基础数量之上增加虚拟系统需要单独购买许可证。 表2：PA-7500Series硬件规格I/O（每个PA-7500-NPC-A） QSFP-DD(8)—支持400Gbps/100Gbps/40Gbps，硬件支持分路模式SFP-DD(12)—100Gbps/25Gbps/10Gbps端口 管理I/O（每个PA-7500-MPC-A） QSFP28日志记录端口(2)—100Gbps/40GbpsQSFP-DD高可用性端口(2)—400Gbps/100GbpsSFP28管理端口(2)，支持1Gbps/10Gbps/25Gbps组合RJ-45控制台端口(1)、MicroUSB控制台端口(1)USB(1) 电源（空闲/典型/最大功耗） 配置：2个SFC，2个NPC，6个DPC，1个MPC6.3KW/8.2KW/10KW@25C@海平面7.3KW/9.2KW/11.5KW@40C@2000英尺海拔 电源（基本/最大） M+N冗余(4+6) 机架安装尺寸 14U24.4"Hx31.0"Dx17.4"W 安全性 cMETus,CB EMI FCC