PA-5000 - межсетевой экран нового поколения

Решение серии PA-5000 от Palo Alto Networks состоит из трех высокопроизводительных моделей - PA-5065, PA-5050 и PA-5020, каждая из которых ориентирована на использование в высокоскоростных центрах обработки данных и интернет-шлюзах. Система серии PA-5000 имеет пропускную способность до 20 ГБит/с благодаря использованию выделенных вычислительных ресурсов и памяти для организации работы сети, обеспечения безопасности, предотвращения угроз и осуществления управления.

Чтобы гарантировать непрерывную возможность осуществления управления независимо от интенсивности трафика, панели для данных и управления физически разделены. Системы PA-5000 работают на PAN-OS - операционной системе для обеспечения безопасности, которая позволяет безопасно разрешать доступ приложениям с помощью App-ID, User-ID, Content-ID, GlobalProtect и WildFire.

Ключевые особенности межсетевого экрана нового поколения PA-5000

Классификация всех приложений, на всех портах, в любое время с помощью App-ID

  • Идентификация приложения независимо от порта, шифрования (SSL или SSH) и используемой техники маскировки.
  • Принятие всех решений в области безопасности на основе данных о приложении, а не порта: разрешение, запрет, планирование, проверка, формирование трафика.
  • Классификация неидентифицированных приложений в целях контроля соблюдения правил, исследования угроз, создания пользовательских сигнатур или сбора пакетов для разработки сигнатур.

Возможность распространения Правил безоПасного разрешения доступа приложениям на любого пользователя и любое место с помощью User-ID и GlobalProtect

  • Безагентская интеграция с Active Directory, LDAP, eDirectory Citrix и службами терминалов Microsoft.
  • Интеграция с NAC, беспроводным 802.1X и другими нестандартными пользовательскими репозиториями с помощью XML API.
  • Применение согласованных правил для локальных и удаленных пользователей, работающих на платформах Microsoft Windows, Mac OS X, Linux, Android или iOS.

Защита от всех угроз – как известных, так и неизвестных – с помощью Content-ID и WildFire

  • Блокирование широкого спектра известных угроз, включая вторжения, вредоносное и шпионское ПО, на всех портах, независимо от общей применяемой тактики маскировки угроз.
  • Ограничение несанкционированной передачи файлов и конфиденциальных данных и контроль пользования Интернетом в целях, не связанных с работой.
  • Идентификация неизвестных вредоносных программ, анализ с целью выявления более чем 100 типов вредоносного поведения, автоматическое создание и добавление сигнатур при очередном обновлении.

Производительность и пропускная способность

PA-5060PA-5050PA-5020
Пропускная способность межсетевого экрана (при включенном App-ID)20 Гбит/с10 Гбит/с5 Гбит/с
Пропускная способность при предотвращении угроз10 Гбит/с5 Гбит/с2 Гбит/с
Пропускная способность IPSec VPN4 Гбит/с4 Гбит/с2 Гбит/с
Число новых сеансов в секунду120 000120 000120 000
Макс. кол-во сеансов4 000 0002 000 0001 000 000
Число IPSec VPN туннелей/туннельных интерфейсов8 0004 0002 000
Число одновременных пользователей GlobalProtect (SSL VPN)20 00010 0005 000
Число сеансов расшифровки SSL90 00045 00015 000
Число входящих сертификатов SSL1000300100
Число виртуальных маршрутизаторов22512520
Число виртуальных систем (базовый вариант/макс.)25/22525/12510/20
Число зон безопасности90050080
Макс. кол-во политик40 00020 00010 000

Прочие характеристики

PA-5060, PA-5050, PA-5020
ИнтерфейсыPA-5060, PA-5050: (12) 10/100/1000, (8) гигабитный SFP-модуль, (4) гигабитный модуль SFP+
PA-5020: (12) 10/100/1000, (8) гигабитный SFP-модуль
Интерфейсы системы управления(2) 10/100/1000 высокой готовности, (1) 10/100/1000 управление по вспомогательному каналу, (1) порт консоли RJ-45
Емкостьодин или два твердотельных накопителя (120 Гб, 240 Гб SSD, RAID 1)
Питание450 Вт переменного тока с резервированием
Макс. тепловыделение (БТЕ/ч)1416 (PA-5060), 1150 (PA-5050, PA-5020)
Входное напряжение (частота входного сигнала)100-240 В переменного тока (50-60 Гц)
Максимальный потребляемый ток8 А при 100 В переменного тока, 14 A при 48 В постоянного тока
Наработка на отказ6.5 лет
Возможность установки в стойку (габариты)2U, стандартная 19-дюймовая стойка (3,5 (В) x 21 (Г) x 17,5 (Ш) дюйма)
Вес (распакованное/упакованное)18,6 кг/24,95 кг
БезопасностьUL, CUL, CB
Электромагнитные помехиFCC класса A, CE класса A, VCCI класса A
СертификацияNEBS Level 3, общие критерии EAL2, FIPS уровня 2, ICSA, UCAPL
Условия эксплуатацииТемпература при эксплуатации: от 0 до 50 °C
Возможная температура окружающей среды при хранении: от -20 до 70 °C
Сетевые параметры
Интерфейсные режимыВторого уровня, третьего уровня, Tap, виртуальный провод (прозрачный режим)
МаршрутизацияРежимы: OSPF, RIP, BGP, статический
Размер таблицы переадресации (элементов на устройство/на VR): 64 000/64 000
Переадресация на основе политик
Протокол точка-точка через Ethernet (PPPoE)
Многоадресная рассылка: PIM-SM, PIM-SSM, IGMP v1, v2 и v3
Jumbo-кадры: максимальный размер кадра 9 210 байт
Высокая готовностьРежимы: активный/активный, активный/пассивный
Обнаружение сбоев: мониторинг пути, мониторинг интерфейса
Назначение адресовНазначение адреса для устройства: DHCP-клиент/PPPoE/статический
Назначение адреса для пользователей: DHCP-сервер/DHCP-реле/статический
IPv6L2, L3, Tap, виртуальный провод (прозрачный режим)
Функции: App-ID, User-ID, Content-ID, WildFire и расшифровка SSL
VLANVLAN-тегов 802.1q на устройство/на интерфейс: 4 094/4 094
Макс. кол-во интерфейсов: 4096 (PA-5060б PA-5050), 2048 (PA-5020)
Объединенные интерфейсы (802.3ad)
NAT/PATМакс. кол-во правил NAT: 8000 (PA-5060), 4000 (PA-5050), 1000 (PA-5020)
Макс. кол-во правил NAT (DIPP): 450 (PA-5060), 250 (PA-5050), 200 (PA-5020)
Динамический пул IP-адресов и портов: 254
Динамический пул IP-адресов: 32000
Режимы NAT: 1:1 NAT, n:n NAT, m:n NAT
Превышение лимита подписки DIPP (уникальных IP-адресов пункта назначения в расчете на порт-источник и IP): 2
NAT64
Виртуальный проводМакс. кол-во виртуальных проводов: 2048 (PA-5060, PA-5050), 1024 (PA-5020)
Типы интерфейсов, закрепленные за виртуальными проводами: физические и субинтерфейсы
Переадресация второго уровняРазмер таблицы ARP на устройство: 32 000 (PA-5060, PA-5050), 20000 (PA-5020)
Размер таблицы MAC на устройство: 32 000 (PA-5060, PA-5050), 20000 (PA-5020)
Размер таблицы соседних элементов IPv6: 5 000 (PA-5060, PA-5050), 2 000 (PA-5020)
Безопасность
Межсетевой экранУправление приложениями, пользователями и контентом на основе политик
Защита фрагментированных пакетов
Защита от шпионского сканирования
Защита от атак, связанных с отказом в обслуживании (DoS)/распределенных атак, связанных с отказом в обслуживании (DDoS)
Дешифровка: SSL (входящий и исходящий трафик), SSH
WildFireИдентификация и анализ известных и неизвестных файлы на предмет более чем 100 видов вредоносного поведения
Создание и автоматическая установка защиты от недавно обнаруженных вредоносных программ через обновление сигнатур
Обновление сигнатур менее чем в течение 1 часа, интегрированное создание/отправка отчетов; доступ к WildFire API для программной отправки до 100 образцов и до 250 отчетов с помощью хэша файлов в день (требуется подписка)
Фильтрация файлов и данныхПередача файлов: двунаправленный контроль более чем 60 уникальных типов файлов
Передача данных: двунаправленный контроль несанкционированной передачи номеров кредитных карт и номеров социального страхования
Защита от скрытой загрузки
Пользовательская интеграция (User-ID)Microsoft Active Directory, Novell eDirectory, Sun One и другие службы каталогов на основе LDAP
Microsoft Windows Server 2003/2008/2008r2, Microsoft Exchange Server 2003/2007/2010
Службы терминалов Microsoft, Citrix XenApp
Использование интерфейса API XML для интеграции с нестандартными пользовательскими репозиториями
IPSec VPN (сайт-сайт)Обмен ключами: ручной ключ, IKE v1
Шифрование: 3DES, AES (128-битное, 192-битное, 256-битное)
Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512
Создание динамических VPN-туннелей (GlobalProtect)
Предотвращение угроз (требуется подписка)Защита от уязвимостей приложений, операционной системы
Защита от вирусов на основе потоков (в том числе от вирусов, встроенных в HTML, Javascript, PDF и вирусов в сжатых файлах), программ-шпионов, червей
Фильтрация URL-адресов (требуется подписка)Предопределенные и пользовательские категории URL-адресов
Кэш в устройстве для недавно открывавшихся URL-адресов
Категория URL-адресов как часть критериев сопоставления при обеспечении безопасности
Информация о времени доступа к страницам
Качество обслуживания (QoS)
Формирование трафика на основе политик, учитывающих такиекритерии, как пользователь, источник, назначение, интерфейс, VPN-туннель IPSec и др.
8 классов трафика с гарантированными, максимальными и приоритетными параметрами пропускной способности
Средство мониторинга пропускной способности в реальном времени
Маркировка приоритизированных служб на основе политик
Кол-во поддерживаемых физических интерфейсов для качества обслуживания: 4
SSL VPN/удаленный доступ (GlobalProtect)Шлюз GlobalProtect
Портал GlobalProtect
Передача данных: IPSec с резервным режимом SSL
Аутентификация: LDAP, SecurID или локальная БД
Клиентская ОС: Mac OS X 10.6, 10.7 (32/64-разрядная), 10.8 (32/64-разрядная), Windows XP, Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная)
Поддержка сторонних клиентов: Apple iOS, Android 4.0 и последующих версий, VPNC IPSec для Linux
Управление, создание отчетов, инструменты обзораИнтегрированный веб-интерфейс, интерфейс командной строки или централизованное управление (Panorama)
Многоязычный пользовательский интерфейс
Syslog, Netflow v9 и SNMP v2/v3
REST API на основе XML
Графическое представление сводных данных по приложениям, URL-категориям, угрозам и данным (ACC)
Просмотр, фильтрация и экспорт журналов фильтрации трафика, угроз, WildFire, URL и данных
Полностью настраиваемые отчеты
PA-5000 - межсетевой экран нового поколения