Снял из стойки Firewall, получилось сделать фотографии. Для своего времени железка очень даже неплохая, со своими тонкостями, конечно. Впечатляют возможности определения приложений, захотел — заблокировал весь торрент-трафик.
Название операционной системы вызывает улыбку, но в быту прижилось немного другое слово: "палка".
Серия PA-3000 от Palo Alto Networks включает три высокопроизводительные платформы: PA-3060, PA-3050 и PA-3020, предназначенные для развертывания в качестве высокоскоростных интернет-шлюзов. Серия PA-3000 управляет сетевыми потоками данных, используя выделенные вычислительные ресурсы и память для обработки сетевого трафика, обеспечения безопасности, предотвращения угроз и управления.
Центральным элементом управления серии PA-3000 является PAN-OS — специализированная операционная система для защиты, которая автоматически классифицирует весь трафик, включая приложения, угрозы и контент, а затем связывает этот трафик с пользователем — независимо от его местоположения или типа устройства. Приложение, контент и пользователь (то есть бизнес-компоненты, которые управляют вашей компанией) затем используются в качестве основы для политик безопасности, что повышает уровень защиты и сокращает время реагирования на инциденты.
Функции безопасности
Видимость приложений
Номера портов, протоколы и IP-адреса полезны для сетевых устройств, но они ничего не говорят о том, что происходит в вашей сети. Подробная информация о приложениях, пользователях и контенте, передаваемом через сеть, позволяет быстро оценить риски и оперативно на них реагировать. Благодаря детализированным данным, которые предоставляют межсетевые экраны Palo Alto Networks, наши инструменты визуализации, анализа и отчетности помогают быстро изучить активность в сети и проанализировать инциденты в текущем или сравнительном контексте.
Видимость пользователей — ключевой компонент для безопасного доступа к приложениям
Традиционно политики безопасности применялись на основе IP-адресов, но из-за растущей динамичности пользователей и приложений IP-адреса стали ненадежным элементом контроля. Наши межсетевые экраны нового поколения интегрируются с корпоративными каталогами и сервисами терминалов, позволяя:
- Видеть, кто использует приложения в вашей сети.
- Настраивать политики на основе пользователей.
- Проводить анализ событий и формировать отчеты по активности пользователей.
Антивирус — защита от вредоносного ПО на уровне сети
Широкое использование соцсетей, мессенджеров и других нерабочих приложений создает множество векторов для вирусов, шпионского ПО, червей и других угроз. Межсетевые экраны Palo Alto Networks позволяют блокировать нежелательные приложения с помощью App-ID, а затем проверять разрешенные приложения на наличие вредоносного кода.
IPS (Система предотвращения вторжений)
Современные атаки используют комбинацию приложений и эксплойтов. Наши межсетевые экраны предлагают двойной подход к защите:
- Нежелательные приложения блокируются через App-ID.
- Разрешенные приложения проверяются на наличие уязвимостей с помощью IPS-движка, сертифицированного NSS.
Фильтрация данных и блокировка файлов
Гибкий контроль на уровне функций приложений, блокировка файлов по типу и фильтрация данных позволяют внедрять политики, которые балансируют между использованием личных приложений и рисками утечки данных.
Защита от современных угроз — WildFire
Современные злоумышленники используют целенаправленные и неизвестные варианты вредоносного ПО, чтобы обойти традиционные средства защиты. WildFire обнаруживает новые угрозы за минуты, анализируя подозрительные файлы в виртуальной среде. После обнаружения вредоносного кода защитные механизмы автоматически обновляются для всех подписчиков в течение часа.
Фильтрация URL — контроль веб-активности
Дополняя App-ID, встроенная база данных фильтрации URL дает полный контроль над веб-трафиком, защищая от юридических, регуляторных и продуктивных рисков.
Мобильная безопасность
Мобильные устройства меняют подход к работе, поэтому важно обеспечить безопасный доступ к корпоративным данным со смартфонов, планшетов и ноутбуков. Решение GlobalProtect от Palo Alto Networks помогает безопасно подключать мобильные устройства.
Сетевые функции
Расшифровка трафика — контроль SSL и SSH
Политики расшифровки и проверки SSL/SSH позволяют убедиться, что шифрование используется только для бизнес-задач, а не для скрытия угроз или утечки данных.
Поддержка IPv6
Единые политики безопасности работают в средах IPv4, IPv6 и смешанных инфраструктурах.
Гибкость сетевой архитектуры
Динамическая маршрутизация, коммутация и VPN позволяют легко интегрировать межсетевые экраны Palo Alto Networks в любую сетевую среду.
VPN — безопасное подключение
Поддержка стандартного IPSec VPN для защищенного соединения между филиалами и удаленными пользователями.
Безопасность виртуальных сред (VM-Series)
VM-Series предоставляет те же функции, что и физические устройства, обеспечивая защиту в частных, публичных и гибридных облаках. Поддерживаются гипервизоры:
- VMware ESXi/NSX
- Citrix SDX
- KVM (CentOS/RHEL, Ubuntu)
- Amazon Web Services
Автоматизация и API позволяют динамически обновлять политики безопасности при изменениях в виртуальной среде.
Функции управления
Централизованное управление (Panorama)
Упрощает администрирование межсетевых экранов в распределенных сетях, обеспечивая единый контроль над конфигурациями, политиками, логами и отчетами.
Гибкость управления
Единый интерфейс для генерации отчетов, анализа логов и настройки политик через веб-интерфейс, Panorama, CLI или API.
Избыточность и отказоустойчивость
Функции резервирования гарантируют бесперебойную работу межсетевого экрана.
Виртуальные системы (Multi-Tenancy)
Возможность создания изолированных виртуальных межсетевых экранов в рамках одного физического устройства для безопасного мультитенантного развертывания.
Характеристики
| Model | PA-3050 |
| Performance and Capacities Specifications | |
| Firewall throughput (App-ID enabled) | 4 Gbps |
| Threat prevention throughput | 2 Gbps |
| IPSec VPN throughput | 500 Mbps |
| New sessions per second | 50,000 |
| Max sessions | 500,000 |
| IPSec VPN tunnels/tunnel interfaces | 2,000 |
| GlobalProtect (SSL VPN) concurrent users | 2,000 |
| SSL inbound certificates | 25 |
| Virtual routers | 10 |
| Virtual systems (base/max) | 1/6 |
| Security zones | 40 |
| Max. number of policies | 5,000 |
| Hardware Specifications | |
| I/O | (12) 10/100/1000, (8) SFP optical gigabit |
| Management I/O | (1) 10/100/1000 out-of-band management port, (2) 10/100/1000 high availability, (1) RJ-45 console port |
| Storage Capacity | 120GB SSD |
| Power supply (Avg/Max power consumption) | Single 250W AC (150/200) |
| Max BTU/HR | 683 |
| Input Voltage (Input Frequency) | 100-240VAC (50-60Hz) |
| Max Current Consumption | 2A@100VAC |
| Rack Mountable | 1U, 19" standard rack |
| Dimensions | 1.75"H x 17"D x 17"W |
| Weight (Stand alone device/as shipped) | 15lbs/20lbs |
| Safety | UL, CUL, CB |
| EMI | FCC Class A, CE Class A, VCCI Class A, TUV |
| Certifications | ICSA |
| Environment | |
| Operating temperature | 32° to 122° F, 0° to 50° C |
| Non-operating temperature | -4° to 158° F, -20° to 70° C |
Спецификация сети
Interface Modes
- L2, L3, Tap, Virtual wire (transparent mode)
Routing
- OSPFv2/v3, BGP with graceful restart, RIP, static routing
- Policy-based forwarding
- Point-to-Point Protocol over Ethernet (PPPoE)
- Multicast: PIM-SM, PIM-SSM, IGMP v1, v2, and v3
IPV6
- Features: L2, L3, Tap, Virtual Wire (transparent mode)
- Services: App-ID, User-ID, Content-ID, WildFire and SSL Decryption
IPSEC VPN
- Key Exchange: Manual key, IKE v1 (Pre-shared key, certificate-based authentication)
- Encryption: 3DES, AES (128-bit, 192-bit, 256-bit)
- Authentication: MD5, SHA-1, SHA-256, SHA-384, SHA-512
VLANS
- 802.1q VLAN tags per device/per interface: 4,094/4,094
- Aggregate interfaces (802.3ad), LACP
Network Address Translation (NAT):
- NAT modes (IPv4): Static IP, dynamic IP, dynamic IP and port (port address translation)
- NAT64
- Additional NAT features: Dynamic IP reservation, dynamic IP and port oversubscription
High-Availability
- Modes: Active/Active, Active/Passive
- Failure detection: Path monitoring, Interface monitoring
Спецификация безопасности
Firewall
- Policy-based control over applications, users and content
- Fragmented packet protection
- Reconnaissance scan protection
- Denial of Service (DoS)/Distributed Denial of Services (DDoS) protection
- Decryption: SSL (inbound and outbound), SSH
Wildfire
- Identify and analyze targeted and unknown files for more than 100 malicious behaviors
- Generate and automatically deliver protection for newly discovered malware via signature updates
- Signature update delivery in less than 1 hour, integrated logging/reporting; access to WildFire API for programmatic submission of up to 100 samples per day and up to 1,000 report queries by file hash per day (Subscription Required)
File and Data Filtering
- File transfer: Bi-directional control over more than 60 unique file types
- Data transfer: Bi-directional control over unauthorized transfer of CC# and SSN
- Drive-by download protection
User Integration (User-ID)
- Microsoft Active Directory, Novell eDirectory, Sun One and other LDAP-based directories
- Microsoft Windows Server 2003/2008/2008r2, Microsoft Exchange Server 2003/2007/2010
- Microsoft Terminal Services, Citrix XenApp
- XML API to facilitate integration with non-standard user repositories
IPSEC VPN (Site-To-Site)
- Key Exchange: Manual key, IKE v1
- Encryption: 3DES, AES (128-bit, 192-bit, 256-bit)
- Authentication: MD5, SHA-1, SHA-256, SHA-384, SHA-512
- Dynamic VPN tunnel creation (GlobalProtect)
Threat Prevention (Subscription Required)
- Application, operating system vulnerability exploit protection
- Stream-based protection against viruses (including those embedded in HTML, Javascript, PDF and compressed), spyware, worms
URL Filtering (Subscription Required)
- Pre-defined and custom URL categories
- Device cache for most recently accessed URLs
- URL category as part of match criteria for security policies
- Browse time information
Quality of Service (QOS)
- Policy-based traffic shaping by application, user, source, destination, interface, IPSec VPN tunnel and more
- 8 traffic classes with guaranteed, maximum and priority bandwidth parameters
- Real-time bandwidth monitor
- Per policy diffserv marking
- Physical interfaces supported for QoS: 6
SSL VPN/Remote Access (GlobalProtect)
- GlobalProtect Gatewayю
- GlobalProtect Portal
- Transport: IPSec with SSL fall-back
- Authentication: LDAP, SecurID, or local DB
- Client OS: Mac OS X 10.6, 10.7 (32/64 bit), 10.8 (32/64 bit), Windows XP, Windows Vista (32/64 bit), Windows 7 (32/64 bit)
- Third party client support: Apple iOS, Android 4.0 and greater, VPNC IPSec for Linux
Management, Reporting, Visibility Tools
- Integrated web interface, CLI or central management (Panorama)
- Multi-language user interface
- Syslog, Netflow v9 and SNMP v2/v3
- XML-based REST API
- Graphical summary of applications, URL categories, threats and data (ACC)
- View, filter and export traffic, threat, WildFire, URL, and data filtering logs
- Fully customizable reporting
Ссылки
| Вложение | Размер |
|---|---|
| pa-3000.pdf | 207.39 КБ |
| firewall-features-overview_new.pdf | 1.61 МБ |
Панели
Передняя панель
Задняя панель
Для безопасности спереди может быть установлен щиток.
По бокам тоже могут устанавливаться щитки. Я такие не видел, но, кажется, при этом происходит перенаправление воздушного потока. Охлаждение хуже работает.
Внешний вид
Вид спереди. Уже в сборе, с ушами.
Вид сверху.
Вид сбоку. Вентиляторы.
Справа консольный порт, USB порт и индикация.
Левее порт управления и интерфейсы HA. Кстати, две железки могут работать в active-active режиме и в active-passive.
Порты.
Логитип.
Сзади блок питания. Без горячей замены. Плохо что один.
Есть винт для заземления.
Заключение
Классифицируйте все приложения на всех портах в любое время с помощью App-ID
- Определяйте приложения независимо от порта, шифрования (SSL или SSH) или методов маскировки.
- Используйте приложение (а не порт) в качестве основы для политик безопасного доступа: разрешение, блокировка, расписание, проверка, применение контроля полосы пропускания.
- Классифицируйте неопознанные приложения для управления политиками, анализа угроз, создания пользовательских App-ID или захвата пакетов для разработки новых App-ID.
Распространяйте политики безопасного доступа на любого пользователя из любой локации с User-ID и GlobalProtect
- Безагентная интеграция с Active Directory, LDAP, eDirectory, Citrix и Microsoft Terminal Services.
- Легкая интеграция политик межсетевого экрана с NAC, 802.1X (Wi-Fi), прокси-серверами и решениями NAC.
- Применяйте единые политики для локальных и удаленных пользователей на платформах Microsoft Windows, Mac OS X, Linux, Android и iOS.
Защищайтесь от всех угроз — известных и неизвестных — с Content-ID и WildFire
- Блокируйте широкий спектр известных угроз, включая эксплойты, вредоносное ПО и шпионские программы, на всех портах, независимо от тактик маскировки.
- Ограничивайте несанкционированную передачу файлов и конфиденциальных данных, а также контролируйте нерабочий веб-трафик.
- Выявляйте неизвестное вредоносное ПО, анализируйте его на наличие более 230 опасных поведений, автоматически создавайте и распространяйте сигнатуры в следующем обновлении.
