Palo Alto

Palo Alto - foto 1

 

 

 

Pełna architektura systemu składa się z następujących elementów:

architektura i elementy palo alto1) Next Generation Firewall - system zabezpieczeń oparty na polityce bezpieczeństwa bazującej na użytkownikach i granularnej kontroli używanych przez nich aplikacji oraz zawartości transmitowanej poprzez sieć przedsiębiorstwa.

2) Advanced Endpoint Protection - zaawansowany system zabezpieczeń dla komputerów roboczych oraz serwerów. Realizuje funkcję ochronną w innowacyjny sposób oraz potrafi zabezpieczyć organizacje przed wektorami ataku w postaci Exploit i Malware jednocześnie nie obciążając mocno stacji użytkowników.

3) Threat Intelligence Cloud – dodatkowe usługi pozwalające na efektywną wymianę danych o zagrożeniach pomiędzy komponentami systemu, umożliwiające zaawansowaną analitykę oraz zabezpieczające przed atakami dnia zerowego.

 


Załączniki:



 konsola palo alto 200PA-200

Seria urządzeń PaloAltoNetworks PA-200 przeznaczona jest do ochrony lokalnych oddziałów w sieci korporacyjnej (~80 użytkowników). Podobnie jak silniejsze modele, PA-200 zapewnia: ochronę firewall, wykrywanie zagrożeń oraz zarządzanie. Na urządzeniu zainstalowany jest system PAN-OS (ten sam co na pozostałych modelach PA), funkcje bezpieczeństwa realizowane są w oparciu o: App-ID, User-ID oraz Content-ID. PA-200 posiada dwurdzeniowe CPU zapewniające separcję szyny danych i szyny sterującej; zaopatrzony jest też w 4 porty Ethernet 10/100/1000 plus jeden port zarządzający i łącze USB. Na uwagę zasługuje niska moc (40W) oraz cicha praca.

Mimo niewielkich rozmiarów PA-200 jest w stanie pracować w trybie firewall z przepustowością 100 Mbps, a w trybie Threat Prevention - 50 Mbps; obsługuje do 64 tys równoległych sesji i 25 tuneli VPN. Polityka bezpieczeństwa może wykorzystywać: 3 wirtualne rutery, 10 stref bezpieceństwa i 250 reguł. Appliance może pracować w trybach: L2, L3, Tap, Virtual Wire.


 konsola palo alto 500PA-500

Urządzenie PaloAltoNetworks PA-500 przeznaczone jest do zastosowań w roli systemu firewall dla średniej wielkości firm oraz dużych oddziałów (~200 użytkowników) i zagregowanej maksymalnej przepustowości rzędu 50 Mbps - 250 Mbps. Urządzenie serii 500 wyposażone jest w 8 niezależnych portów Ethernet 10/100/1000 Mbps. PA-500 realizuje pełen zakres funkcji systemu firewall oraz IPS wraz z polityką bezpieczeństwa bazującą na aplikacjach i filtrowaniem adresów WWW oraz dostępem SSL/IPsec VPN dla klientów. Podane parametry wydajnościowe nie są parametrami nominalnymi lecz określają realnie osiąganą przepustowość w produkcyjnym ruchu sieciowym.


 Podstawowe parametry systemow PA-200 i PA-500:

Cecha PA-200 PA-500
Obudowa  desktop  1U 19" rack 
Liczba interfejsów 4 * 10/100/1000 Base-T; 1 * 10/100/1000 Base-T zarządzanie; konsola 8 * 10/100/1000 Base-T; 1 * 10/100/1000 Base-T zarządzanie; konsola 
Przepustowość firewall 100 Mbps  250 Mbps 
Przepustowość IPS (Threat prevention) 50 Mbps  100 Mbps 
Przepustowość IPsec VPN 50 Mbps  50 Mbps 
Maksymalna liczba tuneli VPN 25 250 
Liczba równoległych sesji SSL VPN 25  100 
VLAN-y
maks liczba tag-ów:
maks liczba interfejsów 
4096 / 100 4096 / 250
Tryby pracy  L2 (bridge), L3 (router), mixed L2/L3, Tap, virtual wire 
Wirtualne rutery 
Ruting  Tryby:
  • OSPF, RIP, BGP, Statyczny 
  • Policy-based forwarding 
  • Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 
Strefy bezpieczeństwa  10  20 
Filtrowanie aplikacji (APP-ID)  identyfikuje i blokuje ponad 800 aplikacji 
Firewall  "Policybased", polityka bazująca na: 
  • aplikacjach i ich cechach (kategoria, podkategoria, ryzyko, charakterystyka) 
  • użytkownikach, grupach, adresach IP 
  • NAT/PAT 
  • IPv6 
  • integracja z: AD, LDAP, eDirectory, Citrix, MS Terminal Services, Xenworks, XML API 
IDS/IDP (Threat prevention)  antywirus / antymallware
  • filtrowanie aplikacji 
  • filtrowanie plików, 
  • ochrona przed atakami "drive-by download", 
  • predefiniowane sygnatury kart kredytowych itp, 
  • ochrona przed DoS, DDoS 
QoS 
  • "policy based",
  • 8 klas ruchu,
  • diffserv
Filtrowanie SSL  proxy SSL (dekrypcja, forward/reverse proxy) 
Filtrowanie URL  Tak, 76 kategorii, 20 mln adresów w bazie 
IPsec VPN 
  • Manual Key, IKE v1; ,
  • szyfrowanie: 3DES, AES (128-bit, 192-bit, 256-bit),
  • encryption
  • autoryzacja: SHA1, MD5
SSL VPN  IPSec z SSL fall-back 
HA  Tak, Active/Passive 
Zarządzanie  Web, CLI, centralne zarządzanie wieloma gatewayami (Panorama); syslog; SNMPv2; REST API (XML) 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 


 konsola palo alto 3020PA-3020

Seria urządzeń PaloAltoNetworks PA-3000 to nowa linia produktowa wprowadzona w listopadzie 2012 roku. składa się z dwóch wysokowydajnych systemów firewall: PA-3020 oraz PA-3050, przeznaczonych do zastosowań w roli systemu firewall klasy enterprise dla instalacji średniej wielkości (powyżej 200 użytkowników) i zagregowanej maksymalnej przepustowości rzędu 500 Mbps - 4 Gbps. Urządzenia serii 2000 pozwalają na instalację 8 transceiverów światłowodowych 1Gbps w standardzie SFP. PA-30x0 realizuje pełen zakres funkcji systemu firewall oraz IPS wraz z polityką bezpieczeństwa bazującą na aplikacjach i filtrowaniem adresów WWW oraz dostępem SSL/IPsec VPN dla klientów. Podane parametry wydajnościowe nie są parametrami nominalnymi lecz określają realnie osiąganą przepustowości w produkcyjnym ruchu sieciowym. Nową cechą (w stosunku do wcześniejszych serri) jest wbudowany super-wydajny dysk SSD o pojemności 120 GB.

konsola palo alto 3050PA-3050


 Podstawowe parametry systemów PA-3020 i PA-3050:

Cecha PA-3020 PA-3050
Obudowa  1U 19" rack  1U 19" rack 
Liczba interfejsów 12 * 10/100/1000 Base-T; 8 * SFP; 2 * 10/1000/1000 Baset-T HA; 1 * 10/100/1000 Base-T zarządzanie; konsola
Przepustowość firewall 2 Gbps  4 Gbps 
Przepustowość IPS (Threat prevention) 1 Gbps  2 Gbps 
Przepustowość IPsec VPN 500 Mbps  500 Mbps 
Maksymalna liczba tuneli VPN 1000 2000 
Liczba równoległych sesji SSL VPN 1000  1000 
VLAN-y
maks liczba tag-ów:
maks liczba interfejsów 
4096 / 1024 4096 / 2048
Tryby pracy  L2 (bridge), L3 (router), mixed L2/L3, Tap, virtual wire 
Wirtualne rutery  10  10 
Wirtualne systemy* 1/6  1/6 
Ruting  Tryby:
  • OSPF, RIP, BGP, Statyczny 
  • Policy-based forwarding 
  • Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 
Strefy bezpieczeństwa  40  40 
Filtrowanie aplikacji (APP-ID)  identyfikuje i blokuje ponad 800 aplikacji 
Firewall  "Policybased", polityka bazująca na: 
  • aplikacjach i ich cechach (kategoria, podkategoria, ryzyko, charakterystyka) 
  • użytkownikach, grupach, adresach IP 
  • NAT/PAT 
  • IPv6 
  • integracja z: AD, LDAP, eDirectory, Citrix, MS Terminal Services, Xenworks, XML API 
IDS/IDP (Threat prevention)  antywirus / antymallware
  • filtrowanie aplikacji 
  • filtrowanie plików, 
  • ochrona przed atakami "drive-by download", 
  • predefiniowane sygnatury kart kredytowych itp, 
  • ochrona przed DoS, DDoS 
QoS 
  • "policy based",
  • 8 klas ruchu,
  • diffserv
Filtrowanie SSL  proxy SSL (dekrypcja, forward/reverse proxy) 
Filtrowanie URL  Tak, 76 kategorii, 20 mln adresów w bazie 
IPsec VPN 
  • Manual Key, IKE v1; ,
  • szyfrowanie: 3DES, AES (128-bit, 192-bit, 256-bit),
  • encryption
  • autoryzacja: SHA1, MD5, SHA-256, SHA-384, SHA-512
SSL VPN  IPSec z SSL fall-back 
HA  Tak, Active/Passive 
Zarządzanie  Web, CLI, centralne zarządzanie wieloma gatewayami (Panorama); syslog; SNMPv2; REST API (XML)

 


konsola palo alto 5000


PA-5020
PA-5050
PA-5060

Seria urządzeń PaloAltoNetworks PA-5000 przeznaczona jest do ochrony instalacji "data center", do zastosowań w roli systemu firewall klasy enterprise oraz dla dostawców usług. Model PA-5060 posiada 40 procesorów zlokalizowanych w modułach: sieciowym, bezpieczeństwa, inspekcji danych oraz zarządzania - gwarantuje to obsługę ruchu sieciowego na poziomie 20 Gbps (10 Gbps dla pełnej inspekcji), dlatego też rodzina produktów PA-50x0 przeznaczona jest do tych zastosowań, w których wymaga się przewidywalnego i stabilnego zachowania systemu bezpieczeństwa przy dużym natężeniu ruchu.

Dodatkowo niezawodność systemu zapewnia możliwość konfiguracji klastrowej, fizyczne rozdzielenie scieżki danych i sterowania, a także takie parametry fizyczne jak: redundantne zasilanie i komponenty wymieniane bez przerywania pracy urządzenia (hot-swap).


Podstawowe parametry systemow PA-5020, PA-5050 i PA-5060:

Cecha PA-5020 PA-5050 PA-5060
Obudowa  2U 19" rack  2U 19" rack  2U 19" rack 
Liczba interfejsów 12 * 10/100/1000 Base-T; 8 * SFP; 2 * 10/100/1000 Base-T HA; 1 * 10/100/1000 Base-T zarządzanie; konsola 12 * 10/100/1000 Base-T; 8 * SFP; 4 * XFP (10Gbit); 2 * 10/100/1000 Base-T HA; 1 * 10/100/1000 Base-T zarządzanie; konsola  12 * 10/100/1000 Base-T; 8 * SFP; 4 * XFP (10Gbit); 2 * 10/100/1000 Base-T HA; 1 * 10/100/1000 Base-T zarządzanie; konsola 
Przepustowość firewall 5 Gbps  10 Gbps  20 Gbps 
Przepustowość IPS (Threat prevention) 2 Gbps  5 Gbps  10 Gbps 
Przepustowość IPsec VPN 2 Gbps  4 Gbps  4 Gbps 
Maksymalna liczba tuneli VPN 2 000 4 000  8 000
Liczba równoległych sesji SSL VPN 5 000  10 000  20 000 
VLAN-y
maks liczba tag-ów:
maks liczba interfejsów 
4094 / 2048 4094 / 4096 4094 / 4096
Tryby pracy  L2 (bridge), L3 (router), mixed L2/L3, Tap, virtual wire 
Wirtualne rutery  20  125  225 
Wirtualne systemy* 10/20  25/125  25/225 
Ruting  Tryby:
  • OSPF, RIP, BGP, Statyczny 
  • Policy-based forwarding 
  • Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 
Strefy bezpieczeństwa  80  500  900 
Filtrowanie aplikacji (APP-ID)  identyfikuje i blokuje ponad 800 aplikacji 
Firewall  "Policybased", polityka bazująca na: 
  • aplikacjach i ich cechach (kategoria, podkategoria, ryzyko, charakterystyka) 
  • użytkownikach, grupach, adresach IP 
  • NAT/PAT 
  • IPv6 
  • integracja z: AD, LDAP, eDirectory, Citrix, MS Terminal Services, Xenworks, XML API 
IDS/IDP (Threat prevention)  antywirus / antymallware
  • filtrowanie aplikacji 
  • filtrowanie plików, 
  • ochrona przed atakami "drive-by download", 
  • predefiniowane sygnatury kart kredytowych itp, 
  • ochrona przed DoS, DDoS 
QoS 
  • "policy based",
  • 8 klas ruchu,
  • diffserv
Filtrowanie SSL  proxy SSL (dekrypcja, forward/reverse proxy) 
Filtrowanie URL  Tak, 76 kategorii, 20 mln adresów w bazie              
IPsec VPN 
  • Manual Key, IKE v1; ,
  • szyfrowanie: 3DES, AES (128-bit, 192-bit, 256-bit),
  • encryption
  • autoryzacja: SHA1, MD5
SSL VPN  IPSec z SSL fall-back 
HA  Tak, Active/Passive 
Zarządzanie  Web, CLI, centralne zarządzanie wieloma gatewayami (Panorama); syslog; SNMPv2; REST API (XML)

 


konsola palo alto 7050

 

 

PA-7050

 

Urządzenie Palo Alto Networks PA-7050 to najbardziej wydajna platforma bezpieczeństwa Palo Alto Networks i jednocześnie pierwszy system modularny tego producenta. PA-7050 przeznaczone jest do zastosowań operatorskich oraz dużych datacenter i osiąga wydajności 120 Gbps przy włączonej inspekcji App-ID, 60 Gbps dla pełnej inspekcji threat prevention oraz 24 Gbps dla IPSec VPN. PA-7050 umożliwia uruchomienie do 225 systemów wirtualnych.

PA-7050 jest urządzeniem modularnym, pozwalającym na zastosowanie do 400 specjalizowanych procesorów pzetwarzających ruch sieciowy.

Dostępne moduły obejmują:

• NPC (Network Processing Card) - realizuje funkcje filtracji firewall, zaopatrzone są w interfejsy sieciowe, każda karta NPC posiada przepustowość 20 Gbps, zwiększajac efektywną szybkosć przetwarzania danych o tę wartość. Karta NPC posida 12 interfejsów 1 Gbps Base-T, 8 interfejsów 1 Gbps SFP oraz 4 interfejsy 10 Gbps SFP+. W systemie można zainstalować do 6 kart NPC co oznacza do 144 interfejsów sieciowych różnego typu.

  • • SMC (Switch Management Card) - w skład modułu wchodzą: matryca przełączająca ruch sieciowy o zagregowanej wydajności 1.2 Tbps; FPP (First Packet Processor) - moduł klasyfikujacyh ruch; oraz system zarządzający.
  • • LPC (Log Processing Card) - odpowiada za generowanie logów i zarządzanie nimi, zaopatrzona jest w 2TB przestrzeni dyskowej w konfiguracji RAID1 oraz procesory odciążające system zarządzajacy w zadaniach związanych z logowaniem.

 


Podstawowe parametry systemów PA-7050:

Cecha PA-7050 System PA-7050-20G-NPC
Obudowa  9U 19" rack  - (moduł) 
Liczba interfejsów maks. 72 * 10/100/1000 Base-T; maks. 48 * 1 Gbps SFP; maks. 10 * 10 Gbps SFP+; 2* 10/1000/1000 Baset-T HA; 2* 40 Gbps HA; 1 * 10/100/1000 Base-T zarządzanie; konsola 12 * 10/100/1000 Base-T; 8 * 1 Gbps SFP; 4 * 10 Gbps SFP+; (do 6 kart NPC)
Przepustowość firewall / App-ID 120 Gbps  20 Gbps 
Przepustowość IPS (Threat prevention) 100 Gbps  16 Gbps 
Przepustowość IPsec VPN 24 Gbps  4 Bbps 
Maksymalna liczba sesji  24 mln.  4 mln. 
Maksymalna liczba sesji / sekundę 720 000  120 000 
Tryby pracy  L2 (bridge), L3 (router), mixed L2/L3, Tap, virtual wire 
Wirtualne systemy* 25/225 
Ruting  Tryby:
  • OSPF, RIP, BGP, Statyczny 
  • Policy-based forwarding 
  • Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 
Filtrowanie aplikacji (APP-ID)  identyfikuje i blokuje ponad 800 aplikacji 
Firewall  "Policybased", polityka bazująca na: 
  • aplikacjach i ich cechach (kategoria, podkategoria, ryzyko, charakterystyka) 
  • użytkownikach, grupach, adresach IP 
  • NAT/PAT 
  • IPv6 
  • integracja z: AD, LDAP, eDirectory, Citrix, MS Terminal Services, Xenworks, XML API 
IDS/IDP (Threat prevention)  antywirus / antymallware
  • filtrowanie aplikacji 
  • filtrowanie plików, 
  • ochrona przed atakami "drive-by download", 
  • predefiniowane sygnatury kart kredytowych itp, 
  • ochrona przed DoS, DDoS 
QoS 
  • "policy based",
  • 8 klas ruchu,
  • diffserv
Filtrowanie SSL  proxy SSL (dekrypcja, forward/reverse proxy) 
Filtrowanie URL  Tak, 76 kategorii, 20 mln adresów w bazie 
IPsec VPN 
  • Manual Key, IKE v1; ,
  • szyfrowanie: 3DES, AES (128-bit, 192-bit, 256-bit),
  • encryption
  • autoryzacja: SHA1, MD5, SHA-256, SHA-384, SHA-512
SSL VPN  IPSec z SSL fall-back 
HA  Tak, Active/Passive 
Zarządzanie  Web, CLI, centralne zarządzanie wieloma gatewayami (Panorama); syslog; SNMPv2; REST API (XML) 

 

 

 

 


Systemy VM-100 VM-200 i VM-300 to wirtualne platformy NGF odpowiadające funkcjonalnie sprzętowym rozwiązaniom producenta. Oprogramowanie VM-* może pracować pod kontrolą systemów VMware ESXi 4.1 oraz ESXi 5.0. W przypadku wirtualnej maszyny 4-o rdzeniowej przepustowość systemu wynosi do 1 Gbps przy włączonej inspekcji App-ID. Na maszynie wirtualnej funkcjonuje ten samym system operacyjny co na platformach sprzętowych PA-* - tj.: PAN-OS.

Cecha VM-1000-HV VM-300 VM-200 VM-100
Przepustowość firewall/App-ID 1 Gbps 1 Gbps  1 Gbps  1 Gbps 
Przepustowość Threat Prevention (IPS) 600 Mbps 600 Mbps  600 Mbps  600 Mbps 
Przepustowość IPsec VPN 250 Mbps 250 Mbps  250 Mbps  250 Mbps 
Maksymalna liczba tuneli VPN 2 000 2 000 500  250 
Liczba użytkowników SSL VPN 500 500  200  25 
Maksymalna liczba reguł bezpieczeństwa 10 000 5 000 2 000  250 
Liczba obiektów adresowych  10 000 10 000 4 000  2 500 
Tryby pracy  L2 (bridge), L3 (router), mixed L2/L3, Tap, virtual wire 
Ruting  Tryby:
  • OSPF, RIP, BGP, Statyczny 
  • Policy-based forwarding 
  • Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3 
Strefy bezpieczeństwa  40 40  20  10 
Filtrowanie aplikacji (APP-ID)  identyfikuje i blokuje ponad 800 aplikacji 
Firewall  "Policybased", polityka bazująca na: 
  • aplikacjach i ich cechach (kategoria, podkategoria, ryzyko, charakterystyka) 
  • użytkownikach, grupach, adresach IP 
  • NAT/PAT 
  • IPv6 
  • integracja z: AD, LDAP, eDirectory, Citrix, MS Terminal Services, Xenworks, XML API 
IDS/IDP (Threat prevention)  antywirus / antymallware
  • filtrowanie aplikacji 
  • filtrowanie plików, 
  • ochrona przed atakami "drive-by download", 
  • predefiniowane sygnatury kart kredytowych itp, 
  • ochrona przed DoS, DDoS 
QoS 
  • "policy based",
  • 8 klas ruchu,
  • diffserv
Filtrowanie SSL  proxy SSL (dekrypcja, forward/reverse proxy) 
Filtrowanie URL  Tak, 76 kategorii, 20 mln adresów w bazie 
IPsec VPN 
  • Manual Key, IKE v1; ,
  • szyfrowanie: 3DES, AES (128-bit, 192-bit, 256-bit),
  • encryption
  • autoryzacja: SHA1, MD5
SSL VPN  IPSec z SSL fall-back 
HA  Tak, Active/Passive 
Zarządzanie  Web, CLI, centralne zarządzanie wieloma gatewayami (Panorama); syslog; SNMPv2; REST API (XML)