PA-400 Series

PA-460 PA-450 PA-440 PA-415-5G PA-455 PA-445 PA-415 PA-410 亮点 •全球首个基于机器学习的新一代防火墙 •十一次当选Gartner网络防火墙魔力象限领 •ForresterWave企业防火墙的领导者2022年 导者 •通过丰富的产品阵容，满足分布式企业的一系 第4季度 列性能需求 •以桌面形式提供安全性 •以主动/主动模式和主动/被动模式支持高可用性 •通过安全服务提供可预测的性能 •采用静音、无风扇设计，为分支机构和家庭办 •通过可选的零接触配置(ZTP)简化了大量防火 公室提供可选的冗余电源 墙的部署 •通过Panorama®网络安全管理支持集中管理 •借助Strata™CloudManager充分利用安全投 资并防止业务中断 PA-400Series PaloAltoNetworksPA-400Series新一代防火墙(NGFW) 包括PA-410、PA-415、PA-415-5G、PA-440、PA-445、 PA-450、PA-455和PA-460，为分布式企业分支机构、零售点和中型企业带来了基于机器学习的新一代防火墙功能。 利用全球首款机器学习驱动的新一代防火墙，您能够防止未知威胁，查看和保护所有内容，包括物联网(IoT)，并通过自动策略建议减少错误。 StratabyPaloAltoNetworks|PA-400Series|产品说明1 PA-400Series的控制元素是PAN-OS®，这正是运行所有PaloAltoNetworks新一代防火墙的软件。PAN-OS原生分类所有流量，包括应用、威胁和内容，然后将该流量与用户绑定，而不受位置或设备类型的影响。随后，将应用、内容和用户（即运营业务的要素）用作安全策略的基础，由此改善安全状况，缩短事件响应时间。 主要安全和连接功能 基于机器学习的新一代防火墙 •将机器学习(ML)嵌入防火墙核心，为基于文件的攻击提供内联无签名攻击预防，同时识别并立即阻止以前从未见过的网络钓鱼尝试。 •利用基于云的机器学习进程将零延迟签名和指令推送回新一代防火墙。 •使用行为分析检测物联网设备并提出策略建议；新一代防火墙上的云交付和原生集成服务。 •自动化的策略建议可以节省时间并减少出现人为错误的机会。 通过全面的第7层检查在所有时间、所有端口上识别和分类所有应用 •识别有网络流量的应用，不考虑端口、协议、规避技术或加密(TLS/SSL)。此外，它还可以自动发现和控制新应用，以跟上SaaS安全订阅的爆炸式增长。 •使用应用而非端口作为所有安全启用策略的决策基础：允许、拒绝、计划、检测以及应用流量整形。 •提供为专有应用创建自定义App-ID™标签的能力，或为来自PaloAltoNetworks的新应用请求 App-ID开发的能力。 •识别应用中的所有有效负载数据（例如文件和数据模式），以阻止恶意文件并拦截数据泄露尝试。 •创建标准和定制的应用使用情况报告，包括软件即服务(SaaS)报告，这些报告提供了对您网络上所有已认可和未认可的SaaS流量的深入洞见。 •使用内置的策略优化器，支持将旧的第4层规则集安全迁移到基于App-ID的规则，从而为您提供更安全、更易于管理的规则集。 有关详细信息，请参阅App-ID技术摘要。 在任何位置的任何设备上为用户实施安全方案，同时根据用户活动调整策略 •支持基于用户和组而不仅仅是IP地址的可视性、安全策略、报告和取证。 •轻松地与各种存储库集成以利用用户信息：无线LAN控制器、VPN、目录服务器、SIEM、代理等等。 •允许您在防火墙上定义动态用户组(DUG)以执行有时间限制的安全操作，而无需等待更改应用于用户目录。 •应用一致的策略，而不考虑用户的位置（办公室、住宅、旅行途中等）和设备（iOS和Android移动设备、macOS、Windows、Linux台式机和笔记本电脑；Citrix和MicrosoftVDI以及终端服务器）。 •防止公司凭据泄露到第三方网站，并通过在网络层为任何应用启用多因素身份验证(MFA)来防止 重新使用被盗的凭据，同时不用进行任何应用更改。 •提供基于用户行为的动态安全操作，以限制可疑或恶意用户。 •通过云身份引擎（一种全新的基于云的基础架构，可实现基于身份的安全性），始终如一地对您的用户进行身份验证和授权，无论他们位于何处以及用户身份存储在何处，都可以快速过渡到零信任安全状态。 有关详细信息，请查看云身份引擎解决方案摘要。 防止隐藏在加密流量中的恶意活动 •检查TLS/SSL加密流量（入站和出站）并向其应用策略，包括使用TLS1.3和HTTP/2的流量。 •提供对TLS流量的丰富可视性，例如加密流量大小、TLS/SSL版本、密码组等，无需解密。 •支持对传统TLS协议、不安全密码和错误配置的证书的使用进行控制，从而减轻风险。 •有利于解密的轻松部署，并允许您使用内置日志来解决问题，例如证书被锁定的应用。 •允许基于URL类别以及源和目标区域、地址、用户、用户组、设备和端口灵活地启用或禁用解密，以实现隐私及合规性目标。 •允许您从防火墙创建已解密流量的副本（即解密镜像），并将其发送到流量收集工具，以用于取证、历史记录或数据丢失预防(DLP)。 •允许您使用网络数据包代理将所有流量（解密TLS、未解密TLS和非TLS）智能转发到第三方安全工具，优化网络性能并降低运营费用。 请参阅此解密白皮书，了解解密的位置、时间和方式，以阻止威胁并保护您的业务。 提供集中管理和可视性 •在一个统一的用户界面，通过Panorama网络安全管理实现多个分布式PaloAltoNetworks新一代防火墙（不考虑位置或规模）的集中管理、配置和可视性优势。 •通过Panorama利用模板和设备组简化配置共享，并随着日志记录需求的增加扩展日志收集。PA-410、PA-415、PA-415-5G、PA-440、PA-445、PA-450、PA-455和PA-460支持将会话日志导出到Panorama和Cortex®DataLake。PA-415、PA-440、PA-445、PA-450和PA-460还支持对话框式会话日志记录。 •使用户能够通过应用命令中心(ACC)深入且全面地了解网络流量和威胁。 利用StrataCloudManager提供人工智能驱动的统一管理和运营 •预防网络中断：通过预测分析，提前七天预测部署健康状况并主动识别容量瓶颈，积极预防运行中断。 •实时加强安全性：根据行业和PaloAltoNetworks最佳实践进行人工智能驱动的策略分析和实时合规检查。 •实现简单一致的网络安全管理和操作：管理所有外形尺寸的配置和安全策略，包括SASE、硬件和软件防火墙以及所有安全服务，以确保一致性并减少运营开销。 使用云交付的安全服务检测和防止高级威胁 使用孤立安全工具的传统方法给企业带来了挑战，包括安全缺口、安全团队的开销增加以及业务生产力中断。我们的云交付安全服务与我们行业领先的NGFW无缝集成，可在65,000家客户之间共享威胁情报，实时防止所有威胁载体中的已知和未知威胁。消除整个网络的安全缺口，利用内联的人工智能驱动安全服务，为所有地点提供实时保护。 服务包括： •AdvancedThreatPrevention：通过内联AI驱动的检测来阻止已知和未知的漏洞利用以及命令与控制(C2)攻击，与传统IPS解决方案相比，阻止的零日注入攻击多出60%，高度规避的命令与控制流量多出48%。 •AdvancedWildFire®：借助业界最大的威胁情报和恶意软件防御引擎，以180倍的速度自动防御已知和未知恶意软件以及高规避性恶意软件，确保文件安全。 •AdvancedURLFiltering：通过业界首个已知和未知威胁的实时防御，确保安全访问互联网并多阻止40%基于Web的攻击，比其他供应商至少提前48小时阻止88%的恶意站点。 •DNSSecurity：增加68%的威胁覆盖率，并阻止85%使用DNS进行命令和控制以及数据窃取的恶意软件，无需对您的基础架构进行任何更改。 •企业DLP：最大限度地降低数据泄露风险，阻止违反政策的数据传输，并在整个企业内实现一致的合规性，将所有云交付的企业DLP的覆盖范围扩大2倍。 •SaaSSecurity：借助业界唯一的新一代CASB自动查看和保护所有协议中的所有应用，在SaaS 呈爆炸式增长的环境下先下手为强。 •IoTSecurity：利用业界为智能设备打造的最智能的安全措施，将保护每项“事务”和实施零信任设备安全的速度提升至20倍。 利用单通道架构提供独特的数据包处理方法 •在单通道中对所有威胁和内容执行联网、策略查找、应用和解码以及签名匹配。这样可以明显减少在一台安全设备中执行多种功能所产生的处理开销。 •通过使用基于流的统一签名匹配，在单通道中扫描流量中的所有签名，避免了引入延迟。 •启用安全订阅时，可实现一致且可预测的性能。（表1中，“威胁预防吞吐量”是在启用多个订阅的情况下测量的。） 启用SD-WAN功能 •可轻松采用SD-WAN，只需在现有防火墙上启用该功能即可。 •可以安全实施SD-WAN，其已与我们行业领先的安全技术进行了原生集成。 •通过最大限度地减少延迟、抖动和丢包，提供出色的最终用户体验。 集成5G蜂窝调制解调器 集成的5G新一代防火墙扩展了入门级设备产品组合，包括集成了5G蜂窝调制解调器的PA-415-5G。有了这款新设备，企业和远程分支机构就可以利用5G作为关键业务应用的备份广域网传输，确保最佳的正常运行时间。此外，其他需要将蜂窝网络作为主要广域网的移动业务只需部署该设备，即可确保快速部署，无需为利用5G而添加其他设备。 表1：PA-400Series性能和容量 PA-410 PA-415 PA-415-5G PA-440 PA-445 PA-450 PA-455 PA-460 防火墙吞吐量(appmix)* 1.4Gbps 1.5Gbps 1.5Gbps 2.6Gbps 2.7Gbps 3.3Gbps 3.6Gbps 4.6Gbps ThreatPrevention吞吐量(appmix)† 0.8Gbps 0.8Gbps 0.8Gbps 1.2Gbps 1.25Gbps 2.1Gbps 2.3Gbps 3Gbps IPsecVPN吞吐量‡ 0.65Gbps 0.65Gbps 0.65Gbps 1.1Gbps 1.1Gbps 1.7Gbps 1.8Gbps 2.3Gbps 最大并发会话数§ 64,000 64,000 64,000 200,000 200,000 300,000 300,000 400,000 每秒新会话数|| 11,000 11,000 11,400 34,000 34,000 48,000 56,000 67,000 虚（拟基系本/统最大）# 1/1 1/1 1/1 1/2 1/2 1/5 1/5 1/5 注意：在PAN-OS11.1中评测结果。 *在启用App-ID和日志记录的情况下，利用appmix事务测量防火墙吞吐量。 †在启用App-ID、IPS、防病毒、反间谍软件、WildFire、DNSSecurity、文件拦截和日志记录的情况下，利用appmix事务测量ThreatPrevention吞吐量。 ‡在启用日志记录的情况下，利用64KBHTTP事务测量IPsecVPN吞吐量。 §最大并发会话数利用HTTP事务来衡量。 ||使用1字节HTTP事务通过应用覆盖测量每秒新会话数。 #要为PA-415-5G和PA-455添加超过基本数量的虚拟系统，需要单独购买许可证，且PAN-OS的最低版本分别为11.0和11.1。 表2：PA-400Series网络功能接口模式