Tường lửa Palo Alto Networks PA-1420
Tường lửa Palo Alto Networks PA-1420
Dòng PA-1400 của Palo Alto Networks ML-Powered NGFW (PA-1420, PA-1410) mang khả năng Tường lửa thế hệ tiếp theo đến các cơ sở nhỏ hơn và các chi nhánh doanh nghiệp phân tán lớn hơn.
Tường lửa thế hệ tiếp theo được hỗ trợ bởi máy học
Nhúng máy học vào lõi tường lửa để cung cấp khả năng ngăn chặn tấn công không cần chữ ký trực tuyến cho các cuộc tấn công dựa trên tệp trong khi xác định và ngay lập tức ngăn chặn các nỗ lực lừa đảo chưa từng thấy trước đây.
Tận dụng các quy trình ML dựa trên đám mây để đẩy các chữ ký và hướng dẫn không có độ trễ trở lại NGFW.
Sử dụng phân tích hành vi để phát hiện các thiết bị Internet vạn vật (IoT) và đưa ra các khuyến nghị về chính sách; dịch vụ được cung cấp trên đám mây và tích hợp gốc trên NGFW.
Tự động hóa các khuyến nghị về chính sách giúp tiết kiệm thời gian và giảm khả năng xảy ra lỗi của con người.
Ngăn chặn hoạt động độc hại ẩn trong lưu lượng được mã hóa
Kiểm tra và áp dụng chính sách cho lưu lượng được mã hóa TLS/SSL, cả lưu lượng đến và đi, bao gồm lưu lượng sử dụng TLS 1.3 và HTTP/2
Cung cấp khả năng hiển thị phong phú vào lưu lượng TLS, chẳng hạn như lượng lưu lượng được mã hóa, phiên bản TLS/SSL, bộ mã hóa, v.v., mà không cần giải mã
Cho phép kiểm soát việc sử dụng các giao thức TLS cũ, mã hóa không an toàn và chứng chỉ được cấu hình không đúng cách để giảm thiểu rủi ro.
Giúp triển khai giải mã dễ dàng và cho phép bạn sử dụng nhật ký tích hợp để khắc phục sự cố, chẳng hạn như các ứng dụng có chứng chỉ được ghim.
Cho phép bạn bật hoặc tắt giải mã một cách linh hoạt dựa trên danh mục URL và vùng nguồn và đích, địa chỉ, người dùng, nhóm người dùng, thiết bị và cổng, cho mục đích tuân thủ quy định và quyền riêng tư.
Xác định và phân loại tất cả các ứng dụng, trên tất cả các cổng, mọi lúc, với kiểm tra Lớp 7 đầy đủ
Xác định các ứng dụng đi qua mạng của bạn bất kể cổng, giao thức, kỹ thuật né tránh hay mã hóa (TLS/SSL).
Sử dụng ứng dụng, không phải cổng, làm cơ sở cho tất cả các quyết định về chính sách kích hoạt an toàn của bạn: cho phép, từ chối, lên lịch, kiểm tra và áp dụng định hình lưu lượng truy cập.
Cung cấp khả năng tạo App-ID tùy chỉnh cho các ứng dụng độc quyền hoặc yêu cầu phát triển App-ID cho các ứng dụng mới từ Palo Alto Networks.
Thực thi bảo mật cho người dùng ở mọi vị trí, trên mọi thiết bị, đồng thời điều chỉnh chính sách để phản hồi hoạt động của người dùng
Cho phép khả năng hiển thị, chính sách bảo mật, báo cáo và pháp y dựa trên người dùng và nhóm – không chỉ địa chỉ IP.
Dễ dàng tích hợp với nhiều kho lưu trữ khác nhau để tận dụng thông tin người dùng: bộ điều khiển mạng LAN không dây, VPN, máy chủ thư mục, SIEM, proxy, v.v.
Cho phép bạn xác định Nhóm người dùng động (DUG) trên tường lửa để thực hiện các hành động bảo mật theo thời gian mà không cần chờ các thay đổi được áp dụng cho thư mục người dùng.
Cung cấp phương pháp tiếp cận độc đáo để xử lý gói tin với Kiến trúc một lần
Thực hiện kết nối mạng, tra cứu chính sách, ứng dụng và giải mã, và khớp chữ ký cho bất kỳ và tất cả các mối đe dọa và nội dung trong một lần. Điều này làm giảm đáng kể lượng chi phí xử lý cần thiết để thực hiện nhiều chức năng trong một thiết bị bảo mật.
Cho phép hiệu suất nhất quán và có thể dự đoán được khi bật đăng ký bảo mật.
Tránh tạo độ trễ bằng cách quét lưu lượng truy cập để tìm tất cả các chữ ký trong một lần, sử dụng khớp chữ ký thống nhất dựa trên luồng.
Công nghệ xử lí dữ liệu
Xử lý phiên kết nối theo kiến trúc Single-Pass Parallel Processing, gói tin đi vào sẽ được kiểm tra nhận diện ứng dụng, thiết bị, người dùng, phân tích và xử lí gói tin cùng 1 lúc với tất cả các tính năng bảo mật khác nhau như: IPS, AntiVirus, AntiSpyware, chặn lọc web, chặn lọc traffic DNS độc hại, chặn lọc file, chống thất thoát dữ liệu,…chỉ trong 1 lần xử lí duy nhất, mà không phải qua nhiều lần xử lí với các module tính năng bảo mật riêng lẻ khác nhau.
Cơ chế stream-based scan tất cả traffic theo thời gian thực cho việc phân tích và ngăn chặn các mối đe dọa cũng như chống thất thoát dữ liệu.
Công nghệ xử lí dữ liệu
Xử lý phiên kết nối theo kiến trúc Single-Pass Parallel Processing, gói tin đi vào sẽ được kiểm tra nhận diện ứng dụng, thiết bị, người dùng, phân tích và xử lí gói tin cùng 1 lúc với tất cả các tính năng bảo mật khác nhau như: IPS, AntiVirus, AntiSpyware, chặn lọc web, chặn lọc traffic DNS độc hại, chặn lọc file, chống thất thoát dữ liệu,…chỉ trong 1 lần xử lí duy nhất, mà không phải qua nhiều lần xử lí với các module tính năng bảo mật riêng lẻ khác nhau.
Cơ chế stream-based scan tất cả traffic theo thời gian thực cho việc phân tích và ngăn chặn các mối đe dọa cũng như chống thất thoát dữ liệu.
Tính năng bảo mật
Nhận diện và kiểm soát ứng dụng, người dùng, thiết bị
Công nghệ nhận diện ứng dụng để tạo chính sách kiểm soát
Hỗ trợ sẵn công nghệ nhận diện ứng dụng được cấp bằng sáng chế không chỉ dựa vào port/protocol, mà còn sử dụng nhiều kĩ thuật nhận diện khác nhau như dựa vào signatures, phân tích đặc điểm và hành vi của traffic ứng dụng.
Hỗ trợ sẵn khả năng nhận diện được cả các ứng dụng được tunneling bên trong 1 giao thức được sử dụng bởi 1 ứng dụng khác để lẩn tránh.
Hỗ trợ sẵn khả năng tạo signature mới cho các ứng dụng không có trong cơ sở dữ liệu có sẵn, các ứng dụng riêng của doanh nghiệp, tổ chức theo mẫu traffic ứng dụng thu thập được
Hỗ trợ sẵn khả năng nhận diện và bảo vệ traffic ứng dụng chạy trên giao thức HTTP/2 theo từng luồng (per-stream)
Công nghệ nhận diện người dùng để tạo chính sách kiểm soát
Hỗ trợ sẵn khả năng tích hợp với các thiết bị 802.1x, wireless controllers, proxy servers, Apple Open Directory servers, NAC với cơ chế phân tích syslog để nhận diện người dùng
Hỗ trợ sẵn khả năng tích hợp với MS Exchange servers, Domain controllers (MS Active Directory/LDAP), Novell eDirectory servers với cơ chế monitor security event logs để nhận diện người dùng
Hỗ trợ sẵn khả năng tích hợp với Microsoft Terminal Server để nhận diện người dùng, với cơ chế port-mapping
Hỗ trợ sẵn tính năng truyền thông tin username và domain trong HTTP header đến các thiết bị khác
Hỗ trợ sẵn khả năng trích xuất thông tin IP address của end user từ X-Fordward-For (XFF) header của các gói tin được gửi từ proxy server để nhận diện người dùng
Hỗ trợ sẵn khả năng tự xác thực người dùng qua Authentication Portal để nhận diện
Hỗ trợ sẵn tính năng tạo nhóm user không cố định, cho phép tự động cập nhật user vào danh sách thông qua API hoặc khi Firewall xử lý log
Công nghệ nhận diện thiết bị IoT để tạo chính sách kiểm soát
Hỗ trợ khả năng nhận dạng và phân loại thiết bị dựa trên các đặc tính của thiết bị như IP address, MAC address, Device type, Device Category, Device profile, Vendor, Model, OS, Risk score, Risk level.
Tính năng giải mã SSL traffic
Có sẵn khả năng giải mã traffic SSL theo cả chiều outbound, inbound cho việc nhận diện ứng dụng và các mối đe dọa ẩn chứa bên trong traffic SSL
Hỗ trợ tính năng chia sẻ luồng dữ liệu đã giải mã ra ngoài qua port mirror
Hỗ trợ tính năng giải mã và chia sẻ dữ liệu đã giải mã với một chuỗi các thiết bị bảo mật khác đặt inline theo mô hình Layer 3 và Transparent.
Có sẵn tính năng cấu hình chính sách giải mã hoặc không giải mã theo người dùng, IP, URL tùy chọn.
Có sẵn tính năng thiết lập các chính sách giải mã traffic SSL riêng, độc lập với chính sách bảo mật và kiểm soát truy cập
Có sẵn tính năng chặn các kết nối SSL không an toàn: certificate hết hạn, không tin cậy, giới hạn các chuẩn mã hóa, xác thực và trao đổi key.
Có sẵn tính năng giải mã TLS 1.3 cho các outbound và inbound
Có sẵn khu vực riêng để theo dõi, quản lý log và troubleshoot chỉ các hoạt động giải mã traffic SSL.
Các kỹ thuật chống tấn công mạng
Chống tấn công dạng file và lỗ hổng
Chặn lọc virus dùng kỹ thuật stream based với các ứng dụng HTTP, HTTP2.0, SMB, POP3, FTP, IMAP bằng AV engine trên Firewall
Chặn lọc spyware theo các mức độ nghiêm trọng khác nhau: critical, high, medium…
Chặn lọc các tấn công khai thác lỗ hổng vào các hệ thống đằng sau firewall để chiếm quyền kiểm soát
Có khả năng phát hiện các mã độc zero-day, unknown malwares qua môi trường sandbox trên cloud hoặc on-premise, mô phỏng môi trường cho mã độc hoạt động qua cả môi trường ảo hóa và bare metal, sử dụng công nghệ machine learning để phán đoán
Có khả năng chặn inline mã độc zero day, unknown malware và các truy cập đến các đường link độc hại chưa được phân loại ngay trên đường truyền, trước khi chúng xâm nhập vào thiết bị của nạn nhân đầu tiên, sử dụng công nghệ machine learning
Có tính năng phân tích động và tạo threat signature cho các loại file nghi ngờ: apk, exe, pdf, mac os, flash, office, elf, rar, 7z, JS, VBS, PS1, và Shell script
Có tính năng phân tích và ngăn chặn inline file exe và Powershell script bằng Machine learning ngay trên thiết bị
Có tính năng cập nhật signature mới real time ngay sau khi Threat cloud phân tích và xác định xong mẫu
Hỗ trợ tính năng nhận Snort và Suricata signatures từ thiết bị quản trị tập trung
Chống tấn công đánh cắp dữ liệu
Có tính năng chống thất thoát dữ liệu (DLP), ngăn chặn người dùng gửi tài liệu hoặc nội dụng nhạy cảm ra ngoài theo các thuộc tính file, từ khoá
Tính năng kiểm soát loại file trong mạng
Có tính năng chặn lọc file theo định dạng file và theo chiều upload/download theo từng ứng dụng
Tính năng kiểm soát traffic truy cập web
Có tính năng lọc Web theo danh mục URL tự định nghĩa
Có tính năng lọc web theo các danh mục, trong đó có danh mục các trang phishing, malware, command & control
Có tính năng lọc web bằng inline machine learning ngay trên thiết bị theo thời gian thực
Có tính năng chống gửi username & password lên các trang mạng không được phép
Có tính năng kiểm soát truy cập web dựa trên mức rủi ro của các danh mục website.
Thiết bị tường lửa Palo Alto Networks PA-1420
SKU | PAN-PA-1420 |
---|---|
Performance and Capacities | |
Firewall throughput (HTTP/appmix) | 9.9/9.5 Gbps |
Threat Prevention throughput (HTTP/appmix) | 5.2/5.0 Gbps |
IPsec VPN throughput | 6.9 Gbps |
Max sessions | 1,400,000 |
New sessions per second | 140,000 |
Virtual systems (base/max) | 1/6 |
Hardware Specifications | |
I/O | 10/100/1000 (8) 1/2.5/5 Gb (4)/PoE Gigabit SFP (2) 10 Gigabit SFP+ (8) |
Management I/O | 10/100/1000 out-of-band management port (1) HSCI 10 gigabit high availability (1) RJ-45 console port (1) USB port (1) Micro USB console port (1) |
Power Over Ethernet (PoE) | Total PoE Power Budget: 151W Maximum load on single port: 90W |
Storage Capacity | 240 GB SSD |
Power Supply (Avg/Max Power Consumption) | AC 450W power supply (1) Optional for purchase 2nd AC 450W power supply (1) |
Mean Time Before Failure (MTBF) | 24 Years |
Input Voltage (Input Frequency) | 100–240 VAC (50–60Hz) |
Rack Mount Dimensions | 1U, 19″ standard rack (1.70″ H x 14.15″ D x 17.15″ W) |
Weight (Standalone Device/As Shipped) | 15.5 lbs |
Safety | cTUVus, CB |
EMI | FCC Class A, CE Class A, VCCI Class A |
Environment | Operating temperature: 0° to 40° C Non-operating temperature: -4° to 158° F, -20° to 70° C |
Airflow | Front to back |
PA-1400 Series Networking Features | |
---|---|
Interface Modes | L2, L3, tap, virtual wire (transparent mode) |
Routing | OSPFv2/v3 with graceful restart, BGP with graceful restart, RIP, static routing Policy-based forwarding Point-to-Point Protocol over Ethernet (PPPoE) Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 |
SD-WAN | Path quality measurement (jitter, packet loss, latency) Initial path selection (PBF) Dynamic path change |
IPv6 | L2, L3, tap, virtual wire (transparent mode) Features: App-ID, User-ID, Content-ID, WildFire, and SSL Decryption SLAAC |
IPsec VPN | Key exchange: manual key, IKEv1, and IKEv2 (pre-shared key, certificate-based authentication) Encryption: 3DES, AES (128-bit, 192-bit, 256-bit) Authentication: MD5, SHA-1, SHA-256, SHA-384, SHA-512 |
VLANs | 802.1Q VLAN tags per device/per interface: 4,094/4,094 Aggregate interfaces (802.3ad), LACP |
Network Address Translation | NAT modes (IPv4): static IP, dynamic IP, dynamic IP and port (port address translation) NAT64, NPTv6 Additional NAT features: dynamic IP reservation, tunable dynamic IP and port oversubscription |
High Availability | Modes: active/active, active/passive Failure detection: path monitoring, interface monitoring |
Zero Touch Provisioning (ZTP) | Requires Panorama 9.1.3 or higher that is managing PA-1400 Series with PAN-OS 11.0 or higher |
Đánh giá
Chưa có đánh giá nào.