PA-3000 - межсетевой экран нового поколения

Решение серии PA-3000 от Palo Alto Networks состоит из двух высокопроизводительных платформ, PA-3050 и PA-3020, каждая из которых ориентирована на использование в высокоскоростных интернет-шлюзах. Система серии PA-3000 управляет потоками трафика в сети, используя выделенные вычислительные ресурсы и память для организации работы сети, обеспечения безопасности, предотвращения угроз и осуществления управления.

Высокоскоростная панель разделена на отдельные панели для данных и управления, тем самым гарантируя непрерывную возможность осуществления управления, независимо от интенсивности трафика. Межсетевой экран следующего поколения PA-500 работает на основе PAN-OS™, операционной системы для обеспечения безопасности, которая позволяет безопасно разрешать доступ приложениям с помощью App-ID, User-ID, Content-ID, GlobalProtect и WildFire.

Ключевые особенности межсетевого экрана нового поколения PA-3000

Классификация всех приложений, на всех портах, в любое время с помощью App-ID

  • Идентификация приложения независимо от порта, шифрования (SSL или SSH) и используемой техники маскировки.
  • Принятие всех решений в области безопасности на основе данных о приложении, а не порта:разрешение, запрет, планирование, проверка, формирование трафика.
  • Классификация неидентифицированных приложений в целях контроля соблюдения правил, исследования угроз, создания пользовательских сигнатур или сбора пакетов для разработки сигнатур.

Возможность распространения Правил безоПасного разрешения доступа приложениям на любого пользователя и любое место с помощью User-ID и GlobalProtect

  • Безагентская интеграция с Active Directory, LDAP, eDirectory Citrix и службами терминалов Microsoft.
  • Интеграция с NAC, беспроводным 802.1X и другими нестандартными пользовательскими репозиториями с помощью XML API.
  • Применение согласованных правил для локальных и удаленных пользователей, работающих на платформах Microsoft Windows, Mac OS X, Linux, Android или iOS.

Защита от всех угроз – как известных, так и неизвестных – с помощью Content-ID и WildFire

  • Блокирование широкого спектра известных угроз, включая вторжения, вредоносное и шпионское ПО, на всех портах, независимо от общей применяемой тактики маскировки угроз.
  • Ограничение несанкционированной передачи файлов и конфиденциальных данных и контроль пользования Интернетом в целях, не связанных с работой.
  • Идентификация неизвестных вредоносных программ, анализ с целью выявления более чем 100 типов вредоносного поведения, автоматическое создание и добавление сигнатур при очередном обновлении.

Производительность и пропускная способность

PA-3050PA-3020
Пропускная способность межсетевого экрана (при включенном App-ID)4 Гбит/с2 Гбит/с
Пропускная способность при предотвращении угроз2 Гбит/с1 Гбит/с
Пропускная способность IPSec VPN500 Мбит/с500 Мбит/с
Число новых сеансов в секунду16 00016 000
Макс. кол-во сеансов500 000250 000
Число IPSec VPN туннелей/туннельных интерфейсов2 0001 000
Число одновременных пользователей GlobalProtect (SSL VPN)2 0001 000
Число сеансов расшифровки SSL1 0001 000
Число входящих сертификатов SSL2525
Число виртуальных маршрутизаторов1010
Число виртуальных систем (базовый вариант/макс.)1/61/6
Число зон безопасности4040
Макс. кол-во политик5 0002 500

Прочие характеристики

PA-3050, PA-3020
Интерфейсы(12) 10/100/1000, (8) Оптический гигабитный SFP-модуль
Интерфейсы системы управления(1) Порт для управления по вспомогательному каналу
10/100 (1) Порт консоли RJ-45
ЕмкостьТвердотельный накопитель емкостью 120 Гбайт
Питание (средняя/максимальная Потребляемая мощность)250 Вт (150/200)
Макс. тепловыделение (БТЕ/ч)683
Входное напряжение (частота входного сигнала)100-240 В переменного тока (50-60 Гц)
Максимальный потребляемый ток2 А при 100 В переменного тока
Возможность установки в стойку (габариты)1U, стандартная 19-дюймовая стойка (1,75 (В) x 10 (Г) x 17 (Ш) дюйма)
Вес (распакованное/упакованное)6,8 кг/9 кг
БезопасностьUL, CUL, CB
Электромагнитные помехиFCC класса A, CE класса A, VCCI класса A
СертификацияICSA
Условия эксплуатацииТемпература при эксплуатации: от 0 до 50 °C
Возможная температура окружающей среды при хранении: от -20 до 70 °C
Сетевые параметры
Интерфейсные режимыВторого уровня, третьего уровня, Tap, виртуальный провод (прозрачный режим)
МаршрутизацияРежимы: OSPF, RIP, BGP, статический
Размер таблицы переадресации (элементов на устройство/на VR): 5 000/2 500 (PA-3050), 2 500/2 500 (PA-3020)
Переадресация на основе политик
Протокол точка-точка через Ethernet (PPPoE)
Многоадресная рассылка: PIM-SM, PIM-SSM, IGMP v1, v2 и v3
Jumbo-кадры: максимальный размер кадра 9 210 байт
Высокая готовностьРежимы: активный/активный, активный/пассивный
Обнаружение сбоев: мониторинг пути, мониторинг интерфейса
Назначение адресовНазначение адреса для устройства: DHCP-клиент/PPPoE/статический
Назначение адреса для пользователей: DHCP-сервер/DHCP-реле/статический
IPv6L2, L3, Tap, виртуальный провод (прозрачный режим)
Функции: App-ID, User-ID, Content-ID, WildFire и расшифровка SSL
VLANVLAN-тегов 802.1q на устройство/на интерфейс: 4 094/4 094
Макс. кол-во интерфейсов: 2 048 (PA-3050), 1 024 (PA-3020)
Объединенные интерфейсы (802.3ad)
NAT/PATМакс. кол-во правил NAT: 1000
Макс. кол-во правил NAT (DIPP): 200
Динамический пул IP-адресов и портов: 254
Динамический пул IP-адресов: 16,234
Режимы NAT: 1:1 NAT, n:n NAT, m:n NAT
Превышение лимита подписки DIPP (уникальных IP-адресов пункта назначения в расчете на порт-источник и IP): 2
NAT64
Виртуальный проводМакс. кол-во виртуальных проводов: 1024 (PA-3050), 512 (PA-3020)
Типы интерфейсов, закрепленные за виртуальными проводами: физические и субинтерфейсы
Переадресация второго уровняРазмер таблицы ARP на устройство: 2 500 (PA-3050), 1 500 (PA-3020)
Размер таблицы MAC на устройство: 2 500 (PA-3050), 1 500 (PA-3020)
Размер таблицы соседних элементов IPv6: 2 500 (PA-3050), 1 500 (PA-3020)
Безопасность
Межсетевой экранУправление приложениями, пользователями и контентом на основе политик
Защита фрагментированных пакетов
Защита от шпионского сканирования
Защита от атак, связанных с отказом в обслуживании (DoS)/распределенных атак, связанных с отказом в обслуживании (DDoS)
Дешифровка: SSL (входящий и исходящий трафик), SSH
WildFireИдентификация и анализ известных и неизвестных файлы на предмет более чем 100 видов вредоносного поведения
Создание и автоматическая установка защиты от недавно обнаруженных вредоносных программ через обновление сигнатур
Обновление сигнатур менее чем в течение 1 часа, интегрированное создание/отправка отчетов; доступ к WildFire API для программной отправки до 100 образцов и до 250 отчетов с помощью хэша файлов в день (требуется подписка)
Фильтрация файлов и данныхПередача файлов: двунаправленный контроль более чем 60 уникальных типов файлов
Передача данных: двунаправленный контроль несанкционированной передачи номеров кредитных карт и номеров социального страхования
Защита от скрытой загрузки
Пользовательская интеграция (User-ID)Microsoft Active Directory, Novell eDirectory, Sun One и другие службы каталогов на основе LDAP
Microsoft Windows Server 2003/2008/2008r2, Microsoft Exchange Server 2003/2007/2010
Службы терминалов Microsoft, Citrix XenApp
Использование интерфейса API XML для интеграции с нестандартными пользовательскими репозиториями
IPSec VPN (сайт-сайт)Обмен ключами: ручной ключ, IKE v1
Шифрование: 3DES, AES (128-битное, 192-битное, 256-битное)
Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512
Создание динамических VPN-туннелей (GlobalProtect)
Предотвращение угроз (требуется подписка)Защита от уязвимостей приложений, операционной системы
Защита от вирусов на основе потоков (в том числе от вирусов, встроенных в HTML, Javascript, PDF и вирусов в сжатых файлах), программ-шпионов, червей
Фильтрация URL-адресов (требуется подписка)Предопределенные и пользовательские категории URL-адресов
Кэш в устройстве для недавно открывавшихся URL-адресов
Категория URL-адресов как часть критериев сопоставления при обеспечении безопасности
Информация о времени доступа к страницам
Качество обслуживания (QoS)
Формирование трафика на основе политик, учитывающих такиекритерии, как пользователь, источник, назначение, интерфейс, VPN-туннель IPSec и др.
8 классов трафика с гарантированными, максимальными и приоритетными параметрами пропускной способности
Средство мониторинга пропускной способности в реальном времени
Маркировка приоритизированных служб на основе политик
Кол-во поддерживаемых физических интерфейсов для качества обслуживания: 4
SSL VPN/удаленный доступ (GlobalProtect)Шлюз GlobalProtect
Портал GlobalProtect
Передача данных: IPSec с резервным режимом SSL
Аутентификация: LDAP, SecurID или локальная БД
Клиентская ОС: Mac OS X 10.6, 10.7 (32/64-разрядная), 10.8 (32/64-разрядная), Windows XP, Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная)
Поддержка сторонних клиентов: Apple iOS, Android 4.0 и последующих версий, VPNC IPSec для Linux
Управление, создание отчетов, инструменты обзораИнтегрированный веб-интерфейс, интерфейс командной строки или централизованное управление (Panorama)
Многоязычный пользовательский интерфейс
Syslog, Netflow v9 и SNMP v2/v3
REST API на основе XML
Графическое представление сводных данных по приложениям, URL-категориям, угрозам и данным (ACC)
Просмотр, фильтрация и экспорт журналов фильтрации трафика, угроз, WildFire, URL и данных
Полностью настраиваемые отчеты
PA-3000 - межсетевой экран нового поколения