PA-5000 Palo Alto PA-5000 是下一代防火墙,对企业网上的应用程序、用户和内容提供前所未有的可视性及控制 Palo Alto Networks PA-5000包括三个高性能平台,PA-5020、PA-5050和PA-5060,都定位在高速互联网网关和数据中心.对于网络、安全、威胁防御和管理PA-5000 用专门的计算资源管理网络的流量. 专用处理器之间的20Gbps高速背板通道以及数据平面和控制平面的分离保证管理访问一直是有效的,而不管流量负载的大小;PA-4000系列的控制单元PAN-OS是一个专用的安全操作系统,紧密的与APP-ID,User-ID,Content-ID三种识别技术结合在一起,以及包含防火墙、网络、管理等特性. 应用识别 u 使正在实施的应用采用策略:allow, deny, schedule, inspect, apply traffic shaping. u 图形可视化工具可以对应用程序流量得到简单直观的视图. u 识别、控制与端口、协议、加密(SSL、SSH)无关的应用或者已经部署的策略. 用户识别 u 对于与AD、LADP和eDirectory等目录服务器无缝集成的用户提供基于策略的可视化和控制 u 识别Citrix, Microsoft Terminal Services 和 XenWorks 用户, 对她们各自的应用程序的使用情况提供可视化与控制. u 通过基于WEB的认证对非windows主机进行控制 内容识别: u 阻止病毒、间谍软件、现代恶意软件和脆弱性漏洞,限制非授权传播文件和敏感数据,比如 CC# 或者 SSN, 并控制非工作相关的浏览网页. u Single Pass(单通道)软件架构具有高处理性能与低延时特性,同时还可对流量内容进行扫描。 性能参数 PA-5060 防火墙吞吐量 (App-ID enabled) 20Gbps 威胁防御吞吐量 10Gbps IPSec VPN 吞吐量 4Gbps 每秒新建并发连接数 120,000 最大并发连接数 4,000,000 IPSec VPN 通道 8,000 SSL VPN 用户 20,000 SSL 解密连接数 90,000 SSL 入站证书 1,000 虚拟路由器 225 虚拟系统 25/225 安全域 900 最大策略数 40,000 地址数量 80,000 FQDN数量 2,000 硬件技术指标 端口: PA-5060/PA-5040 12个10/100/1000千兆电口,8个千兆SFP,4个10G SF+ PA-5020 12个10/100/1000千兆电口,8个千兆SFP 管理端口: 2个10/100/1000 HA端口1个10/100/1000 带外管理端口, 1个 DB-9 console 端口 电源 (平均/最大电源消耗量): PA-5060:冗余450W (330W/415W) PA-5050:冗余450W (270W/340W) PA-5020:冗余450W (270W/340W) 输入电压 (输入频率): 100-240VAC (50-60Hz),-40 to -70 VDC 最大电流消耗量: 8A@100VAC,14A@48VDC 最大输入电流: 80A@230VAC; 40A@120VAC, 40A@48VDC 尺寸: 3.5”高 x 10”深 x 17”宽,2U,19寸标准机柜 重量(毛重): 41lbs/55lbs 安全: UL, CUL, CB EMI: FCC Class A, CE Class A, VCCI Class A 环境: 操作温度: 32°to 122°F, 0° to 50° C 非操作温度: -4°to158°F, -20°to70°C 网络 部署模式: L2,L3,TAP,Virtual Wire(透明模式) 路由 路由协议:OSPF,RIP,BGP,静态 转发表(每个设备/每个VR):64,000/64,000 基于策略的转发:支持 PPPoE:支持 Jumbo帧:支持,9120字节 组播:PIM-SM,PIM-SSM,IGMPv1/v2/v3 高可用性 模式:A/A,A/S 故障检测:线路监测、接口检测 NAT/PAT 最大NAT规则数:8,000(PA-5060), 4,000(PA-5050),1000(PA-5020) 最大NAT规则数(DIPP):450(PA-5060), 250(PA-5050),200(PA-5020) 动态IP及端口池:254 动态IP池:16234 NAT模式:1:1NAT,n:n NAT,m:n NAT DIPP 过载(每原端口和IP唯一目的IP):8 VLAN 802.1q VLAN tags(每设备/每端口): 4,094/4,094 最大接口: 4,096(PA-5060/PA-5050), 2,048(PA-5020) 端口汇聚(802.3ad):支持 虚拟网线 最大虚拟网线(vwire): 12 与VW映射的物理端口: 支持 地址分配 对设备地址分配: DHCP客户端/PPPoE/静态 对用户地址分配: DHCP服务器/DHCP中继/静态 IPV6 模式: L2, L3, Tap, 虚拟网线 (透明模式) 服务: App-ID, Content-ID 和 SSL Decryption L2 转发 ARP 表大小/设备: 32,000(PA-5060/PA-5050), 20,000(PA-5020) IPv6 邻居表大小: 5,000(PA-5060/PA-5050), 2,000(PA-5020) MAC 地址表大小/设备: 32,000(PA-5060/PA-5050), 20,000(PA-5020) 安全 防火墙 基于策略的应用、用户、内容控制 数据包碎片保护 侦察扫描保护 DoS/DDoS保护 解密: SSL (入站 和 出站), SSH 用户集成 (USER-ID) 活动目录AD, LDAP, eDirectory, Citrix和 Microsoft 终端服务, Xenworks, XML API IPSEC VPN (SITE-TO-SITE) Key交换: Manual key, IKE v1 加密: 3DES, AES (128-bit, 192-bit, 256-bit) 认证: MD5, SHA1, SHA-256, SHA-384, SHA-512 GLOBALPROTECT (REMOTE ACCESS) GlobalProtect 网关 GlobalProtect 门户 Transport: IPSec with SSL fall-back 认证: LDAP, RADIUS, SecurID, Kerberos, 本地用户 客户端OS: Mac OS X 10.6, 10.7 (32/64 bit), Windows XP, Windows Vista (32/64 bit), Windows 7 (32/64 bit) 第三方客户端支持: Apple iOS 文件和数据过滤 控制非授权数据传输(数据模式和文件类型) 路过式下载(Drive-by download)保护 预定义签名和信用卡号 唯一文件类型识别: 59 管理、报告、可视化工具 集成web接口, CLI或中心管理软件 (Panorama) Syslog, SNMP v2/v3 基于XML的 REST API 应用、URL类、威胁、和数据的图形化总结(ACC) 视图, 过滤器, 输出流量, 威胁, URL, 和数据过滤日志 完全定制化报告 威胁防护 (订购) 应用, 操作系统脆弱性漏洞保护 基于数据流的病毒防护(包括那些预置在HTML, Javas cript, PDF 和压缩文件中的病毒), 间谍软件、蠕虫。 WILDFIRE 识别并分析已知或未知的恶意软件 自动化分析未知文件的恶意行为 对于新发现恶意软件的的正式分析并保护不受感染 服务质量 (QOS) 通过应用、用户、源、目的地址、接口、IPSec VPN通道等执行基于策略的流量整形 支持根据保障、最大和优先带宽等参数设定的8个流量等级 实时带宽监控 基于策略diffserv标记 物理接口支持QoS: 12 URL 过滤 (订购) 76大类, 20M URL 数据库 动态 URL 过滤 (1M URL cache) 自定义阻止页和URL类 |