Die ML-fähigen NGFWs der PA-3400-Serie von Palo Alto Networks, zu denen die Modelle PA-3440, PA-3430, PA-3420 und PA-3410 gehören, sind für den Einsatz mit Internet-Gateways in Hochgeschwindigkeitsumgebungen konzipiert und bieten einen wirksamen Schutz für den gesamten Datenverkehr. Mit der ersten ML-fähigen Next-Generation Firewall (NGFW) können Sie sich gegen bisher unbekannte Bedrohungen schützen. Sie profitieren von umfassenden Einblicken und kontinuierlichem Schutz für Ihre gesamte IT-Umgebung, einschließlich IoT-Geräten (Internet of Things), und vermeiden Betriebsfehler durch automatisierte Richtlinienempfehlungen. Die PA-3400-Serie verwendet wie alle NGFWs von Palo Alto Networks das Betriebssystem PAN-OS®, wie alle NGFWs von Palo Alto Networks. PAN-OS klassifiziert nativ den gesamten Netzwerkverkehr (einschließlich aller Anwendungsdaten, Bedrohungen und legitimen Inhalte) und ordnet dann jedes Paket unabhängig vom Standort oder Gerätetyp einem Benutzer zu. Basierend auf den Anwendungen, Inhalten und Benutzern (d. h. den für Ihr Unternehmen relevanten Faktoren) werden dann Sicherheitsrichtlinien angewendet. Dies stärkt die Sicherheit und beschleunigt effektive Reaktionen auf Sicherheitsvorfälle.
Highlights
• Als weltweit erste ML-gestützte NGFW wurde dieses Produkt elf Mal als führend im Gartner Magic Quadrant für Netzwerk-Firewalls und als führend in der Forrester Wave: Enterprise Firewalls, Q4 2022, ausgezeichnet.• Es bietet vorhersagbare Leistung mit Sicherheitsdiensten und vereinfacht die Bereitstellung einer großen Anzahl von Firewalls mit dem optionalen Zero Touch Provisioning (ZTP).
• Die native Web-Proxy-Unterstützung der NGFW vereinfacht und konsolidiert außerdem die Verwaltung von Firewall- und Proxy-Funktionen.
• Darüber hinaus unterstützt das Produkt die zentralisierte Verwaltung mit Panorama-Netzwerksicherheitsmanagement und erweitert die Transparenz und Sicherheit auf alle Geräte, einschließlich nicht verwalteter IoT-Geräte, ohne dass zusätzliche Sensoren bereitgestellt werden müssen.
• Mit Unterstützung für Hochverfügbarkeit im Aktiv/Aktiv- und Aktiv/Passiv-Modus maximiert dieses Produkt die Sicherheitsinvestitionen und verhindert Geschäftsunterbrechungen mit AIOps.
Wichtige Sicherheits- und Konnektivitätsfunktionen
• ML-gestützte Firewall der nächsten Generation• Der Kern der Firewall integriert maschinelles Lernen (ML), um eine signaturlose Inline-Angriffsabwehr für dateibasierte Angriffe zu ermöglichen und gleichzeitig bisher unbekannte Phishing-Versuche schnell zu erkennen und zu stoppen.
o Die PA-1400-Serie ist in der Lage, alle Anwendungen unabhängig vom verwendeten Port kontinuierlich zu identifizieren und zu kategorisieren, mit vollständiger Layer-7-Inspektion. Die Firewall kann Anwendungen identifizieren, die sich durch Ihr Netzwerk bewegen, unabhängig vom verwendeten Port, Protokoll, Ausweichmanövern oder Verschlüsselung (TLS/SSL). Darüber hinaus kann sie mit dem SaaS-Sicherheitsabonnement neue Anwendungen automatisch erkennen und kontrollieren, sobald diese auftauchen, um mit der explosionsartigen Verbreitung von SaaS Schritt zu halten. So haben Sie jederzeit vollständige Transparenz und Kontrolle über die in Ihrem Netzwerk verwendeten Anwendungen.
• Erzwingt Sicherheit für Benutzer an jedem Standort und auf jedem Gerät und passt gleichzeitig die Richtlinien an die Benutzeraktivitäten an. Diese Lösung ermöglicht eine verbesserte Transparenz, Sicherheitsrichtlinien, Berichterstellung und Forensik, die auf Benutzer- und Gruppenidentitäten basieren und sich nicht ausschließlich auf IP-Adressen stützen. Darüber hinaus lässt sie sich nahtlos in verschiedene Repositorys wie WLAN-Controller, VPNs, Verzeichnisserver, SIEMs, Proxys und mehr integrieren, um Benutzerinformationen zu nutzen.
• Verhindert böswillige Aktivitäten, die in verschlüsseltem Datenverkehr versteckt sind
o Die PA-1400-Serie ist in der Lage, Richtlinien sowohl für eingehenden als auch für ausgehenden TLS/SSL-verschlüsselten Datenverkehr zu überprüfen und durchzusetzen, einschließlich Datenverkehr, der TLS 1.3 und HTTP/2 verwendet. Sie bietet detaillierte Einblicke in den TLS-Datenverkehr, z. B. die Menge des verschlüsselten Datenverkehrs, TLS/SSL-Versionen, Verschlüsselungssuiten und andere relevante Informationen, ohne dass eine Entschlüsselung erforderlich ist. Darüber hinaus ermöglicht sie die Kontrolle über die Verwendung von älteren TLS-Protokollen, unsicheren Verschlüsselungen und falsch konfigurierten Zertifikaten, was zur Minderung potenzieller Risiken beiträgt.
• Bietet zentralisierte Verwaltung und Transparenz
o Die zentralisierte Verwaltung, Konfiguration und Transparenz für mehrere Palo Alto Networks NGFWs (unabhängig von Standort oder Umfang) kann durch das Panorama-Netzwerksicherheitsmanagement erreicht werden. Dies bietet eine einheitliche Benutzeroberfläche für alle Geräte und ermöglicht eine vereinfachte Verwaltung und Überwachung.
• Native Web-Proxy-Unterstützung für die Firewall der nächsten Generation
o Palo Alto NG-Firewalls ermöglichen die Konsolidierung von Firewall- und Proxy-Funktionen auf einer einzigen Plattform, die über eine zentralisierte Verwaltungsplattform verwaltet werden kann, um Richtlinien zu erstellen und zu implementieren.
• Bietet einen einzigartigen Ansatz für die Paketverarbeitung mit Single-Pass-Architektur. PA-1400-Produkte verwenden einen streambasierten, einheitlichen Signaturvergleichsansatz, der es ermöglicht, den Datenverkehr in einem einzigen Durchgang auf alle Signaturen zu scannen, wodurch potenzielle Latenzprobleme vermieden werden.
• SD-WAN-Funktionalität
• Erkennt und verhindert komplexe Bedrohungen mit Cloud-basierten Sicherheitsdiensten
In der heutigen digitalen Landschaft werden Cyberangriffe immer raffinierter und können innerhalb von nur 30 Minuten bis zu 45.000 Varianten erzeugen, wobei mehrere Bedrohungsvektoren und fortschrittliche Techniken zum Einsatz kommen, um schädliche Payloads zu übertragen. Herkömmliche isolierte Sicherheitsmaßnahmen können für Unternehmen erhebliche Herausforderungen mit sich bringen, darunter Sicherheitslücken, erhöhter Aufwand für Sicherheitsteams und Beeinträchtigungen der Unternehmensproduktivität aufgrund inkonsistenter Zugriffsmöglichkeiten und Sichtbarkeit. Durch die nahtlose Integration mit unseren branchenführenden NGFWs nutzen unsere Cloud-basierten Sicherheitsdienste den Netzwerkeffekt von über 80.000 Kunden, um Informationen zu koordinieren und umfassenden Schutz vor allen Bedrohungen über alle Vektoren hinweg zu bieten. Dadurch werden Lücken in der Abdeckung an Ihren Standorten beseitigt und Sie erhalten erstklassige Sicherheit, die konsistent auf einer einzigen Plattform bereitgestellt wird und selbst vor den fortschrittlichsten und schwer zu erkennenden Bedrohungen Schutz bietet.
o Erweiterte Bedrohungsabwehr: Unsere Sicherheitslösung stoppt effektiv bekannte Exploits, Malware, Spyware und Command-and-Control-Bedrohungen (C2). Darüber hinaus nutzen wir branchenweit einzigartige Präventionsmethoden, um Zero-Day-Angriffe abzuwehren. Dadurch werden bis zu 60 % mehr unbekannte Injektionsangriffe und 48 % mehr schwer zu erkennender Command-and-Control-Datenverkehr verhindert als mit herkömmlichen IPS-Lösungen.
o Advanced WildFire: Palo Alto verfügt über einen automatischen Schutz, der sicherstellt, dass Dateien vor bekannter, unbekannter und schwer zu erkennender Malware geschützt sind. Mit der branchenweit größten Engine für Bedrohungsinformationen und Malware-Prävention können wir solche Bedrohungen 60-mal schneller abwehren.
o Erweiterte URL-Filterung: Unsere Sicherheitslösung garantiert einen sicheren Zugang zum Internet und bietet Echtzeit-Schutz vor bekannten und unbekannten Bedrohungen, wodurch 40 % mehr webbasierte Angriffe verhindert werden. Dank unserer branchenweit einzigartigen Echtzeit-Präventionsfunktionen können wir 88 % der bösartigen URLs mindestens 48 Stunden vor anderen Anbietern stoppen und bieten so einen hervorragenden Schutz vor internetbasierten Bedrohungen.
o DNS-Sicherheit: Erhöhen Sie Ihren Schutz vor DNS-Angriffen um 40 % und verhindern Sie 80 % der Angriffe, die DNS für Datendiebstahl und Command-and-Control ausnutzen, ohne dass Sie Änderungen an Ihrer bestehenden Infrastruktur vornehmen müssen.
o Enterprise DLP: Reduzieren Sie die Wahrscheinlichkeit von Datenverletzungen, verhindern Sie unbefugte Datenübertragungen und gewährleisten Sie die Compliance in Ihrem gesamten Unternehmen mit einer doppelt so hohen Abdeckung wie bei jeder anderen cloudbasierten Enterprise-DLP-Lösung.
o SaaS-Sicherheit: Halten Sie mit der schnell wachsenden SaaS-Landschaft Schritt ? mit unserem Next-Generation CASB, der einzigen Lösung der Branche, die automatisch alle Anwendungen über jedes Protokoll hinweg erkennen und sichern kann.
o IoT-Sicherheit: Schützen Sie alle Ihre verbundenen Geräte und implementieren Sie Zero-Trust-Sicherheit für Ihre Geräte 20-mal schneller mit der intelligentesten Sicherheitslösung der Branche, die speziell für Smart Devices entwickelt wurde.
PA-3400-Serie: Leistung und Kapazitäten
| PA-3410 | PA-3420 | PA-3430 | PA-3440 | |
|---|---|---|---|---|
| Firewall-Durchsatz (HTTP/Appmix) * | 14,1/11,0 Gbit/s | 20,8/16,9 Gbit/s | 25,5/20,5 Gbit/s | 30,2/24 Gbit/s |
| Durchsatz bei der Abwehr von Bedrohungen (HTTP/Appmix) † | 5,1/5,6 Gbit/s | 7,6/8,7 Gbit/s | 9,2/10,5 Gbit/s | 11,0/12,8 Gbit/s |
| IPsec-VPN-Durchsatz ‡ | 6,8 Gbit/s | 9,9 Gbit/s | 12,2 Gbit/s | 14,5 Gbit/s |
| Maximale Anzahl von Sitzungen | 1,4 Mio. | 2 Mio. | 2,5 Mio. | 3 Mio. |
| Neue Sitzungen pro Sekunde § | 145.000 | 205.000 | 240.000 | 268.000 |
| Virtuelle Systeme (Basis/Max) ∥ | 1/11 |
Hinweis: Die Ergebnisse wurden unter PAN-OS 11.0 gemessen.
* Der Firewall-Durchsatz wird mit aktivierter App-ID und Protokollierung unter Verwendung von 64-KB-HTTP/Appmix-Transaktionen gemessen.
† Der Durchsatz der Bedrohungsabwehr wird mit aktivierter App-ID, IPS, Antivirus, Antispyware, WildFire, DNS-Sicherheit, Dateiblockierung und Protokollierung unter Verwendung von 64-KB-HTTP/Appmix-Transaktionen gemessen. ‡ Der IPsec-VPN-Durchsatz wurde mit 64 KB HTTP-Transaktionen und aktivierter Protokollierung gemessen.
§ Neue Sitzungen pro Sekunde wurden mit Anwendungsüberschreibung unter Verwendung von 1-Byte-HTTP-Transaktionen gemessen.
∥ Das Hinzufügen virtueller Systeme über die Grundmenge hinaus erfordert eine separat erworbene Lizenz und mindestens PAN-OS 11.0.
PA-3400 Netzwerkfunktionen der Serie
| Schnittstellenmodi |
| L2, L3, Tap, Virtual Wire (transparenter Modus) |
| Routing |
| OSPFv2/v3 mit sanftem Neustart, BGP mit sanftem Neustart, RIP, statisches Routing |
| Richtlinienbasierte Weiterleitung |
| Point-to-Point-Protokoll über Ethernet (PPPoE) |
| Multicast: PIM-SM, PIM-SSM, IGMP v1, v2 und v3 |
| Bidirektionale Weiterleitungserkennung (BFD) |
| IPsec-VPN |
| Schlüsselaustausch: manueller Schlüssel, IKEv1 und IKEv2 (vorab geteilter Schlüssel, zertifikatsbasierte Authentifizierung) |
| Verschlüsselung: 3DES, AES (128 Bit, 192 Bit, 256 Bit) |
| Authentifizierung: MD5, SHA-1, SHA-256, SHA-384, SHA-512 |
| VLANs |
| 802.1Q VLAN-Tags pro Gerät/pro Schnittstelle: 4.094/4.094 |
| Aggregierte Schnittstellen (802.3ad), LACP |
| Netzwerkadressübersetzung |
| NAT-Modi (IPv4): statische IP, dynamische IP, dynamische IP und Port (Port-Adressübersetzung) |
| NAT64, NPTv6 |
| Zusätzliche NAT-Funktionen: dynamische IP-Reservierung, einstellbare dynamische IP und Port-Überbelegung |
| Hohe Verfügbarkeit |
| Modi: aktiv/aktiv, aktiv/passiv, HA-Clustering |
| Fehlererkennung: Pfadüberwachung, Schnittstellenüberwachung |
| Mobile Netzwerkinfrastruktur* (PA-3440 und PA-3430) |
| 5G-Sicherheit |
| 5G-MEC-Sicherheit (Multi-Access Edge Computing) |
| GTP-Sicherheit |
| SCTP-Sicherheit |