فایروال پالو آلتو PA-7080فایروال نسل بعدی Palo Alto Networks است که به سازمان ها و ارائه دهندگان خدمات کمک می کند امنیت را در محیط های پرسرعتی همچون دیتاسنترهای بزرگ و محیط های شبکه ای با پهنای باند بالا پیاده سازی کنند. این سیستم ها که برای تأمین توان عملیاتی مورد نیاز برای داده های ایجاد شده توسط اپلیکیشن، کاربر و دیوایس طراحی شده اند از عملکرد بسیار عالی، امکانات لازم برای مقابله با پیشرفته ترین حملات سایبری و رمزنگاری قدرتمند برای جلوگیری از تهدیدات مخفی شده زیر پوشش رمزنگاری برخوردارند. سری PA-7000 که برای افزایش بهره وری از پردازش امنیتی و تغییر مقیاس خودکار هنگام اضافه شدن توان محاسباتی جدید طراحی شده است، برای مدیریت و لایسنس گذاری ساده تر از رویکرد تک سیستمی استفاده می کند.
قابلیت های امنیتی کلیدی سری PA-7000
دسته بندی تمام اپلیکیشن ها بر روی تمام پورت ها
قابلیت شناسایی اپلیکیشن، صرف نظر از پورت، رمزنگاری (SSL یا SSH) یا تکنیک های به کار رفته
به کارگیری اپلیکیشن (و نه پورت) به عنوان مبنای تمام تصمیمات سیاست گذاری امن برای مجوزها: اجازه دادن، رد کردن، زمان بندی، بازبینی و شکل دهی به ترافیک
دسته بندی اپلیکیشن های ناشناس برای کنترل سیاست، شناسایی تهدیدات یا پیاده سازی App-ID
اجرای سیاست های امنیتی برای تمام کاربران و در هر مکان
به کارگیری سیاست های منسجم برای کاربران محلی و راه دور برای پلتفرم های ویندوز، مک، OS X، لینوکس، اندروید یا iOS
امکان یکپارچه سازی خودکار با Microsoft Active Directory and Terminal Services، LDAP، Novell eDirectory و Citrix
قابلیت یکپارچه سازی سیاست های فایروال با وایرلس 1X، پراکسی ها و راه حل های NAC و تمام منابع اطلاعات هویتی کاربران
جلوگیری از تهدیدات شناخته شده یا ناشناخته
مسدودسازی تهدیدات شناخته شده شامل سوء استفاده ها، بدافزارها و جاسوس افزارها بر روی تمام پورت ها، صرف نظر از تاکتیک های رایج فرار از تهدید
محدودسازی انتقال غیرمجاز فایل ها و داده های حساس و فراهم سازی امکان وبگردی غیرکاری امن
شناسایی بدافزارهای ناشناخته، آنالیز آن ها بر اساس صدها رفتار مخرب و فراهم سازی محافظت خودکار
معماری سری PA-7000
سری PA-7000 به منظور به کارگیری نوع و حجم توان پردازشی برای کارهای عملیاتی کلیدی شبکه، امنیت و مدیریت از معماری مقیاس پذیر بهره می برد. سری PA-7000 به صورت هوشمندانه ای نیازهای پردازشی را میان سه زیر سیستم توزیع می کند که هر یک از آن ها دارای توان عملیاتی بالا و حافظه اختصاصی هستند.
کارت پردازش شبکه
کارت پردازش شبکه یا همان NPC تمام کارهای پردازش بسته (پکت) را برعهده دارد که شامل شبکه سازی، دسته بندی ترافیک و جلوگیری از تهدید می شود. هر NPC بین 64 (اولین نسل) تا 144 (دومین نسل) هسته پردازشی دارد که قادرند محافظت از شبکه را تا سرعت 72 گیگابیت بر ثانیه انجام دهند. با افزودن NPC جدید می توان به حداکثر توان عملیاتی 720 گیگابیت بر ثانیه در مدل PA-7080 و حداکثر توان عملیاتی 430 گیگابیت بر ثانیه در مدل PA-7050 دست یافت و با این کار سیستم می تواند از توان پردازشی جدید به بهترین نحو ممکن استفاده کند. برای برآورده سازی نیاز روزافزون به ظرفیت های 40 و 100 گیگابیت بر ثانیه و همچنین جایگزین رایج تری برای اینترفیس 10 گیگابیت بر ثانیه سه NPC اختیاری عرضه شده است (اولین نسل NPC-20GXM و NPC-20GQXM و دومین نسل NPC-100G هستند) که به جای کارت مدیریت سوئیچ نسل اول قابل استفاده اند.
کارت مدیریت سوئیچ
کارت مدیریت سوئیچ یا همان SMC که به عنوان مرکز کنترل سری PA-7000 عمل می کند بر کل ترافیک نظارت دارد و تمام کارهای عملیاتی را با استفاده از سه المان پردازنده اولیه بسته، یک بک پلین (back-plane) سریع و زیرسیستم مدیریتی انجام می دهد. SMC های نسل اول و دوم عرضه شده اند و نسل دوم در سه حوزه زیر به بهینه سازی های چشمگیری دست یافته است:
پردازنده اولیه بسته یا همان FPP عنصری بسیار مهم برای افزایش سرعت و مقیاس پذیری خطی در سری PA-7000 محسوب می شود. FPP منابع پردازشی و I/O اشتراکی در میان تمام NPC ها را دائماً تحت نظر دارد و به صورت هوشمندانه ای ترافیک داخلی را به پردازنده های کم کارتر منتقل می کند. بدین معنا که با افزودن NPC ها برای افزایش سرعت و ظرفیت دیگر نیازی به تغییر مدیریت ترافیک و سیم کشی یا پیکربندی مجدد سری PA-7000 نیست.
بک پلین سریع بدین معناست که هر NPC به بیش از 100 گیگابیت بر ثانیه از ظرفیت ترافیک کلی دسترسی دارد. با داشتن ظرفیت اختصاصی برای هر اسلات NPC، عملکرد به صورت خطی قابل افزایش است. هر چه نیازهای شما افزایش یابد می توانید با افزودن NPC، ظرفیت سیستم را بدون ایجاد مشکل در بک پلین افزایش دهید.
زیرسیستم مدیریتی به عنوان یک نقطه تماس اختصاصی برای کنترل تمام جنبه های سری PA-7000 عمل می کند.
کارت لاگینگ اختصاصی
کارت لاگینگ (Logging Card)، که جزء لازم تمام سیستم ها محسوب می شود از طراحی دو پردازنده ای بهره می برد و یک زیرسیستم اختصاصی را برای مدیریت حجم عظیم لاگ های تولیدی سری PA-7000 ایجاد می کند. دو کارت لاگ شامل نسل اول کارت پردازش لاگ (LPC) و نسل دوم کارت فوروارد لاگ (LFC) عرضه شده است. LPC برای کارهای مربوط به لاگ گیری حداکثر 4 گیگابایت از حافظه RAID 1 را مورد استفاده قرار می دهد و به شما اجازه می دهد کوئری ها و گزارش ها را از جدیدترین لاگ های جمع آوری شده اجرا کنید. هر دو نسل به شما اجازه می دهند لاگ ها را برای آنالیز آفلاین به مدیریت امنیت شبکه Panorama، Logging Service و Syslog ارسال کنید. LPC از پیکربندی ترکیبی NPC-20G و NPC-100G پشتیبانی می کند، در حالی که LFC برای استفاده با SMC نسل دوم و NPC-100G بهینه سازی شده است.
سری PA-7000 به صورت سیستمی واحد و یکپارچه مدیریت می شود و به شما اجازه می دهد از تمام منابع موجود برای محافظت از داده های خود استفاده کنید. المان کنترل کننده سری PA-7000 سیستم عامل امنیتی PAN-OS است که کل ترافیک را در دسته های اپلیکیشن، تهدید و محتوا قرار می دهد و این ترافیک را صرف نظر از مکان یا نوع دیوایس به کاربران ارسال می کند. اپلیکیشن، محتوا و کاربر (که در واقع کسب و کار شما بر مبنای آن هاست) به عنوان مبنای سیاستگذاری های امنیتی شما مورد استفاده قرار می گیرند و در نتیجه امنیت بهبود یافته، زمان پاسخگویی به حادثه کاهش می یابد و هزینه های سرباز مدیریتی مربوط به آپدیت سیاست های امنیتی در محیط کاملاً پویا به حداقل خود می رسد.
برای کمک به ساده سازی کارهای مدیریت، نرخ های پشتیبانی و حق عضویت سالانه برای سری PA-7000 به شکل کاملاً متنوع در نظر گرفته شده است. نرخ های سالانه صرف نظر از تعداد NPC های نصب شده ثابت اند و در نتیجه به راحتی می توان هزینه ها را پیش بینی کرد.
سری PA-7000 از قابلیت های شبکه سازی مختلفی بهره می برد که به شما اجازه می دهند قابلیت های این سیستم ها را با شبکه فعلی خود یکپارچه سازی کنید.