PA-500 - межсетевой экран нового поколения

PA-500 от Palo Alto Networks ориентирован на высокую скорость развертывания межсетевого экрана в филиалах компании, а также на средних предприятиях. PA-500 управляет потоками трафика в сети, используя выделенные вычислительные ресурсы для организации работы сети, обеспечения безопасности, предотвращения угроз и осуществления управления.

Высокоскоростная панель разделена на отдельные панели для данных и управления, тем самым гарантируя непрерывную возможность осуществления управления, независимо от интенсивности трафика. Межсетевой экран следующего поколения PA-500 работает на основе PAN-OS™, операционной системы для обеспечения безопасности, которая позволяет безопасно разрешать доступ приложениям с помощью App-ID, User-ID, Content-ID, GlobalProtect и WildFire.

Ключевые особенности межсетевого экрана нового поколения PA-500

Классификация всех приложений, на всех портах, в любое время с помощью App-ID

  • Идентификация приложения независимо от порта, шифрования (SSL или SSH) и используемой техники маскировки.
  • Принятие всех решений в области безопасности на основе данных о приложении, а не порта:разрешение, запрет, планирование, проверка, формирование трафика.
  • Классификация неидентифицированных приложений в целях контроля соблюдения правил, исследования угроз, создания пользовательских сигнатур или сбора пакетов для разработки сигнатур.

Возможность распространения Правил безоПасного разрешения доступа приложениям на любого пользователя и любое место с помощью User-ID и GlobalProtect

  • Безагентская интеграция с Active Directory, LDAP, eDirectory Citrix и службами терминалов Microsoft.
  • Интеграция с NAC, беспроводным 802.1X и другими нестандартными пользовательскими репозиториями с помощью XML API.
  • Применение согласованных правил для локальных и удаленных пользователей, работающих на платформах Microsoft Windows, Mac OS X, Linux, Android или iOS.

Защита от всех угроз – как известных, так и неизвестных – с помощью Content-ID и WildFire

  • Блокирование широкого спектра известных угроз, включая вторжения, вредоносное и шпионское ПО, на всех портах, независимо от общей применяемой тактики маскировки угроз.
  • Ограничение несанкционированной передачи файлов и конфиденциальных данных и контроль пользования Интернетом в целях, не связанных с работой.
  • Идентификация неизвестных вредоносных программ, анализ с целью выявления более чем 100 типов вредоносного поведения, автоматическое создание и добавление сигнатур при очередном обновлении.

Технические характеристикиPA-500
Производительность
Пропускная способность межсетевого экрана (при включенном App-ID)250 Мбит/с
Пропускная способность при предотвращении угроз100 Мбит/с
Пропускная способность IPSec VPN50 Мбит/с
Число новых сеансов в секунду7 500
Макс. кол-во сеансов64 000
Число IPSec VPN туннелей/туннельных интерфейсов250
Число одновременных пользователей GlobalProtect (SSL VPN)100
Число сеансов расшифровки SSL1 000
Число входящих сертификатов SSL25
Число виртуальных маршрутизаторов3
Число зон безопасности20
Макс. кол-во политик1000
Спецификациия
Интерфейсы(8) 10/100/1000
Интерфейсы системы управления(1) Порт для управления по вспомогательному каналу
10/100 (1) Порт консоли RJ-45
ЕмкостьЖесткий диск емкостью 160 Гбайт
Питание (средняя/максимальная Потребляемая мощность)180 Вт (40 Вт/75 Вт)
Макс. тепловыделение (БТЕ/ч)256
Входное напряжение (частота входного сигнала)100-240 В переменного тока (50-60 Гц)
Максимальный потребляемый ток1 А при 100 В переменного тока
Наработка на отказ10,6 лет
Возможность установки в стойку (габариты)1U, стандартная 19-дюймовая стойка (1,75 (В) x 10 (Г) x 17 (Ш) дюйма)
Вес (распакованное/упакованное)3,6 кг/5,9 кг
БезопасностьUL, CUL, CB
Электромагнитные помехиFCC класса A, CE класса A, VCCI класса A
СертификацияFIPS 140 уровня 2, общие критерии EAL2, ICSA, UCAPL
Условия эксплуатацииТемпература при эксплуатации: от 0 до 50 °C
Возможная температура окружающей среды при хранении: от -20 до 70 °C
Сетевые параметры
Интерфейсные режимыВторого уровня, третьего уровня, Tap, виртуальный провод (прозрачный режим)
МаршрутизацияРежимы: OSPF, RIP, BGP, статический
Размер таблицы переадресации (элементов на устройство/на VR): 1 250/1 250
Переадресация на основе политик
Протокол точка-точка через Ethernet (PPPoE)
Многоадресная рассылка: PIM-SM, PIM-SSM, IGMP v1, v2 и v3
Высокая готовностьРежимы: активный/активный, активный/пассивный
Обнаружение сбоев: мониторинг пути, мониторинг интерфейса
Назначение адресовНазначение адреса для устройства: DHCP-клиент/PPPoE/статический
Назначение адреса для пользователей: DHCP-сервер/DHCP-реле/статический
IPv6Второго уровня, третьего уровня, Tap, виртуальный провод (прозрачный режим)
Функции: App-ID, User-ID, Content-ID, WildFire и расшифровка SSL
VLANVLAN-тегов 802.1q на устройство/на интерфейс: 4 094/4 094
Макс. кол-во интерфейсов: 250
NAT/PATМакс. кол-во правил NAT: 125
Макс. кол-во правил NAT (DIPP): 125
Динамический пул IP-адресов и портов: 254
Динамический пул IP-адресов: 16,234
Режимы NAT: 1:1 NAT, n:n NAT, m:n NAT
Превышение лимита подписки DIPP (уникальных IP-адресов пункта назначения в расчете на порт-источник и IP): 1
NAT64
Виртуальный проводМакс. кол-во виртуальных проводов: 50
Типы интерфейсов, закрепленные за виртуальными проводами: физические и субинтерфейсы
Переадресация второго уровняРазмер таблицы ARP на устройство: 500
Размер таблицы MAC на устройство: 500
Размер таблицы соседних элементов IPv6: 500
Безопасность
Межсетевой экранУправление приложениями, пользователями и контентом на основе политик
Защита фрагментированных пакетов
Защита от шпионского сканирования
Защита от атак, связанных с отказом в обслуживании (DoS)/распределенных атак, связанных с отказом в обслуживании (DDoS)
Дешифровка: SSL (входящий и исходящий трафик), SSH
WildFireИдентификация и анализ известных и неизвестных файлы на предмет более чем 100 видов вредоносного поведения
Создание и автоматическая установка защиты от недавно обнаруженных вредоносных программ через обновление сигнатур
Обновление сигнатур менее чем в течение 1 часа, интегрированное создание/отправка отчетов; доступ к WildFire API для программной отправки до 100 образцов и до 250 отчетов с помощью хэша файлов в день (требуется подписка)
Фильтрация файлов и данныхПередача файлов: двунаправленный контроль более чем 60 уникальных типов файлов
Передача данных: двунаправленный контроль несанкционированной передачи номеров кредитных карт и номеров социального страхования
Защита от скрытой загрузки
Пользовательская интеграция (User-ID)Microsoft Active Directory, Novell eDirectory, Sun One и другие службы каталогов на основе LDAP
Microsoft Windows Server 2003/2008/2008r2, Microsoft Exchange Server 2003/2007/2010
Службы терминалов Microsoft, Citrix XenApp
Использование интерфейса API XML для интеграции с нестандартными пользовательскими репозиториями
IPSec VPN (сайт-сайт)Обмен ключами: ручной ключ, IKE v1
Шифрование: 3DES, AES (128-битное, 192-битное, 256-битное)
Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512
Создание динамических VPN-туннелей (GlobalProtect)
Предотвращение угроз (требуется подписка)Защита от уязвимостей приложений, операционной системы
Защита от вирусов на основе потоков (в том числе от вирусов, встроенных в HTML, Javascript, PDF и вирусов в сжатых файлах), программ-шпионов, червей
Фильтрация URL-адресов (требуется подписка)Предопределенные и пользовательские категории URL-адресов
Кэш в устройстве для недавно открывавшихся URL-адресов
Категория URL-адресов как часть критериев сопоставления при обеспечении безопасности
Информация о времени доступа к страницам
Качество обслуживания (QoS)
Формирование трафика на основе политик, учитывающих такиекритерии, как пользователь, источник, назначение, интерфейс, VPN-туннель IPSec и др.
8 классов трафика с гарантированными, максимальными и приоритетными параметрами пропускной способности
Средство мониторинга пропускной способности в реальном времени
Маркировка приоритизированных служб на основе политик
Кол-во поддерживаемых физических интерфейсов для качества обслуживания: 4
SSL VPN/удаленный доступ (GlobalProtect)Шлюз GlobalProtect
Портал GlobalProtect
Передача данных: IPSec с резервным режимом SSL
Аутентификация: LDAP, SecurID или локальная БД
Клиентская ОС: Mac OS X 10.6, 10.7 (32/64-разрядная), 10.8 (32/64-разрядная), Windows XP, Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная)
Поддержка сторонних клиентов: Apple iOS, Android 4.0 и последующих версий, VPNC IPSec для Linux
Управление, создание отчетов, инструменты обзораИнтегрированный веб-интерфейс, интерфейс командной строки или централизованное управление (Panorama)
Многоязычный пользовательский интерфейс
Syslog, Netflow v9 и SNMP v2/v3
REST API на основе XML
Графическое представление сводных данных по приложениям, URL-категориям, угрозам и данным (ACC)
Просмотр, фильтрация и экспорт журналов фильтрации трафика, угроз, WildFire, URL и данных
Полностью настраиваемые отчеты
PA-500 - межсетевой экран нового поколения