О компании
Контакты
PA-3000 - межсетевой экран нового поколения
Решение серии PA-3000 от Palo Alto Networks состоит из двух высокопроизводительных платформ, PA-3050 и PA-3020, каждая из которых ориентирована на использование в высокоскоростных интернет-шлюзах. Система серии PA-3000 управляет потоками трафика в сети, используя выделенные вычислительные ресурсы и память для организации работы сети, обеспечения безопасности, предотвращения угроз и осуществления управления.
Высокоскоростная панель разделена на отдельные панели для данных и управления, тем самым гарантируя непрерывную возможность осуществления управления, независимо от интенсивности трафика. Межсетевой экран следующего поколения PA-500 работает на основе PAN-OS™, операционной системы для обеспечения безопасности, которая позволяет безопасно разрешать доступ приложениям с помощью App-ID, User-ID, Content-ID, GlobalProtect и WildFire.
Ключевые особенности межсетевого экрана нового поколения PA-3000
Классификация всех приложений, на всех портах, в любое время с помощью App-ID
- Идентификация приложения независимо от порта, шифрования (SSL или SSH) и используемой техники маскировки.
- Принятие всех решений в области безопасности на основе данных о приложении, а не порта:разрешение, запрет, планирование, проверка, формирование трафика.
- Классификация неидентифицированных приложений в целях контроля соблюдения правил, исследования угроз, создания пользовательских сигнатур или сбора пакетов для разработки сигнатур.
Возможность распространения Правил безоПасного разрешения доступа приложениям на любого пользователя и любое место с помощью User-ID и GlobalProtect
- Безагентская интеграция с Active Directory, LDAP, eDirectory Citrix и службами терминалов Microsoft.
- Интеграция с NAC, беспроводным 802.1X и другими нестандартными пользовательскими репозиториями с помощью XML API.
- Применение согласованных правил для локальных и удаленных пользователей, работающих на платформах Microsoft Windows, Mac OS X, Linux, Android или iOS.
Защита от всех угроз – как известных, так и неизвестных – с помощью Content-ID и WildFire
- Блокирование широкого спектра известных угроз, включая вторжения, вредоносное и шпионское ПО, на всех портах, независимо от общей применяемой тактики маскировки угроз.
- Ограничение несанкционированной передачи файлов и конфиденциальных данных и контроль пользования Интернетом в целях, не связанных с работой.
- Идентификация неизвестных вредоносных программ, анализ с целью выявления более чем 100 типов вредоносного поведения, автоматическое создание и добавление сигнатур при очередном обновлении.
Производительность и пропускная способность
| PA-3050 | PA-3020 | |
|---|---|---|
| Пропускная способность межсетевого экрана (при включенном App-ID) | 4 Гбит/с | 2 Гбит/с |
| Пропускная способность при предотвращении угроз | 2 Гбит/с | 1 Гбит/с |
| Пропускная способность IPSec VPN | 500 Мбит/с | 500 Мбит/с |
| Число новых сеансов в секунду | 16 000 | 16 000 |
| Макс. кол-во сеансов | 500 000 | 250 000 |
| Число IPSec VPN туннелей/туннельных интерфейсов | 2 000 | 1 000 |
| Число одновременных пользователей GlobalProtect (SSL VPN) | 2 000 | 1 000 |
| Число сеансов расшифровки SSL | 1 000 | 1 000 |
| Число входящих сертификатов SSL | 25 | 25 |
| Число виртуальных маршрутизаторов | 10 | 10 |
| Число виртуальных систем (базовый вариант/макс.) | 1/6 | 1/6 |
| Число зон безопасности | 40 | 40 |
| Макс. кол-во политик | 5 000 | 2 500 |
Прочие характеристики
| PA-3050, PA-3020 | |
|---|---|
| Интерфейсы | (12) 10/100/1000, (8) Оптический гигабитный SFP-модуль |
| Интерфейсы системы управления | (1) Порт для управления по вспомогательному каналу 10/100 (1) Порт консоли RJ-45 |
| Емкость | Твердотельный накопитель емкостью 120 Гбайт |
| Питание (средняя/максимальная Потребляемая мощность) | 250 Вт (150/200) |
| Макс. тепловыделение (БТЕ/ч) | 683 |
| Входное напряжение (частота входного сигнала) | 100-240 В переменного тока (50-60 Гц) |
| Максимальный потребляемый ток | 2 А при 100 В переменного тока |
| Возможность установки в стойку (габариты) | 1U, стандартная 19-дюймовая стойка (1,75 (В) x 10 (Г) x 17 (Ш) дюйма) |
| Вес (распакованное/упакованное) | 6,8 кг/9 кг |
| Безопасность | UL, CUL, CB |
| Электромагнитные помехи | FCC класса A, CE класса A, VCCI класса A |
| Сертификация | ICSA |
| Условия эксплуатации | Температура при эксплуатации: от 0 до 50 °C Возможная температура окружающей среды при хранении: от -20 до 70 °C |
| Сетевые параметры | |
| Интерфейсные режимы | Второго уровня, третьего уровня, Tap, виртуальный провод (прозрачный режим) |
| Маршрутизация | Режимы: OSPF, RIP, BGP, статический Размер таблицы переадресации (элементов на устройство/на VR): 5 000/2 500 (PA-3050), 2 500/2 500 (PA-3020) Переадресация на основе политик Протокол точка-точка через Ethernet (PPPoE) Многоадресная рассылка: PIM-SM, PIM-SSM, IGMP v1, v2 и v3 Jumbo-кадры: максимальный размер кадра 9 210 байт |
| Высокая готовность | Режимы: активный/активный, активный/пассивный Обнаружение сбоев: мониторинг пути, мониторинг интерфейса |
| Назначение адресов | Назначение адреса для устройства: DHCP-клиент/PPPoE/статический Назначение адреса для пользователей: DHCP-сервер/DHCP-реле/статический |
| IPv6 | L2, L3, Tap, виртуальный провод (прозрачный режим) Функции: App-ID, User-ID, Content-ID, WildFire и расшифровка SSL |
| VLAN | VLAN-тегов 802.1q на устройство/на интерфейс: 4 094/4 094 Макс. кол-во интерфейсов: 2 048 (PA-3050), 1 024 (PA-3020) Объединенные интерфейсы (802.3ad) |
| NAT/PAT | Макс. кол-во правил NAT: 1000 Макс. кол-во правил NAT (DIPP): 200 Динамический пул IP-адресов и портов: 254 Динамический пул IP-адресов: 16,234 Режимы NAT: 1:1 NAT, n:n NAT, m:n NAT Превышение лимита подписки DIPP (уникальных IP-адресов пункта назначения в расчете на порт-источник и IP): 2 NAT64 |
| Виртуальный провод | Макс. кол-во виртуальных проводов: 1024 (PA-3050), 512 (PA-3020) Типы интерфейсов, закрепленные за виртуальными проводами: физические и субинтерфейсы |
| Переадресация второго уровня | Размер таблицы ARP на устройство: 2 500 (PA-3050), 1 500 (PA-3020) Размер таблицы MAC на устройство: 2 500 (PA-3050), 1 500 (PA-3020) Размер таблицы соседних элементов IPv6: 2 500 (PA-3050), 1 500 (PA-3020) |
| Безопасность | |
| Межсетевой экран | Управление приложениями, пользователями и контентом на основе политик Защита фрагментированных пакетов Защита от шпионского сканирования Защита от атак, связанных с отказом в обслуживании (DoS)/распределенных атак, связанных с отказом в обслуживании (DDoS) Дешифровка: SSL (входящий и исходящий трафик), SSH |
| WildFire | Идентификация и анализ известных и неизвестных файлы на предмет более чем 100 видов вредоносного поведения Создание и автоматическая установка защиты от недавно обнаруженных вредоносных программ через обновление сигнатур Обновление сигнатур менее чем в течение 1 часа, интегрированное создание/отправка отчетов; доступ к WildFire API для программной отправки до 100 образцов и до 250 отчетов с помощью хэша файлов в день (требуется подписка) |
| Фильтрация файлов и данных | Передача файлов: двунаправленный контроль более чем 60 уникальных типов файлов Передача данных: двунаправленный контроль несанкционированной передачи номеров кредитных карт и номеров социального страхования Защита от скрытой загрузки |
| Пользовательская интеграция (User-ID) | Microsoft Active Directory, Novell eDirectory, Sun One и другие службы каталогов на основе LDAP Microsoft Windows Server 2003/2008/2008r2, Microsoft Exchange Server 2003/2007/2010 Службы терминалов Microsoft, Citrix XenApp Использование интерфейса API XML для интеграции с нестандартными пользовательскими репозиториями |
| IPSec VPN (сайт-сайт) | Обмен ключами: ручной ключ, IKE v1 Шифрование: 3DES, AES (128-битное, 192-битное, 256-битное) Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512 Создание динамических VPN-туннелей (GlobalProtect) |
| Предотвращение угроз (требуется подписка) | Защита от уязвимостей приложений, операционной системы Защита от вирусов на основе потоков (в том числе от вирусов, встроенных в HTML, Javascript, PDF и вирусов в сжатых файлах), программ-шпионов, червей |
| Фильтрация URL-адресов (требуется подписка) | Предопределенные и пользовательские категории URL-адресов Кэш в устройстве для недавно открывавшихся URL-адресов Категория URL-адресов как часть критериев сопоставления при обеспечении безопасности Информация о времени доступа к страницам |
| Качество обслуживания (QoS) | Формирование трафика на основе политик, учитывающих такиекритерии, как пользователь, источник, назначение, интерфейс, VPN-туннель IPSec и др. 8 классов трафика с гарантированными, максимальными и приоритетными параметрами пропускной способности Средство мониторинга пропускной способности в реальном времени Маркировка приоритизированных служб на основе политик Кол-во поддерживаемых физических интерфейсов для качества обслуживания: 4 |
| SSL VPN/удаленный доступ (GlobalProtect) | Шлюз GlobalProtect Портал GlobalProtect Передача данных: IPSec с резервным режимом SSL Аутентификация: LDAP, SecurID или локальная БД Клиентская ОС: Mac OS X 10.6, 10.7 (32/64-разрядная), 10.8 (32/64-разрядная), Windows XP, Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная) Поддержка сторонних клиентов: Apple iOS, Android 4.0 и последующих версий, VPNC IPSec для Linux |
| Управление, создание отчетов, инструменты обзора | Интегрированный веб-интерфейс, интерфейс командной строки или централизованное управление (Panorama) Многоязычный пользовательский интерфейс Syslog, Netflow v9 и SNMP v2/v3 REST API на основе XML Графическое представление сводных данных по приложениям, URL-категориям, угрозам и данным (ACC) Просмотр, фильтрация и экспорт журналов фильтрации трафика, угроз, WildFire, URL и данных Полностью настраиваемые отчеты |
