Palo Alto Networks - Thiết bị tường lửa hàng đầu thế giới
Palo Alto Networks là gì? Tìm hiểu về Palo Alto và các sản phẩm đang được sử dụng trong hệ thống mạng
Tường lửa theo truyền thống là một công cụ được thiết kế để bảo vệ mọi thứ bên trong chu vi mạng. Tuy nhiên, với dữ liệu và ứng dụng doanh nghiệp ngày nay nằm ở nhiều nơi khác nhau và người dùng truy cập chúng từ vô số vị trí, chu vi thông thường đã chuyển đổi thành nhiều chu vi vi mô cần được bảo mật.
Do đó, thay vì xem tường lửa như một thiết bị đơn lẻ, giờ đây chúng ta phải xem “tường lửa” là một chức năng nhiều hơn - bảo vệ người dùng và dữ liệu trên mạng, đám mây, điểm cuối và ứng dụng - và bất kỳ nơi nào khác mà kẻ tấn công có thể xâm nhập. Với tường lửa bảo mật của Palo Alto, bạn sẽ có được các biện pháp kiểm soát bảo mật đẳng cấp thế giới ở bất cứ đâu bạn cần, với khả năng quản lý và thực thi chính sách nhất quán cũng như khả năng hiển thị thống nhất, chuyên sâu.
Firrewall Palo Alto không chỉ cung cấp các khả năng tường lửa truyền thống, tích hợp các tính năng như ngăn chặn xâm nhập, lọc URL, khả năng hiển thị và kiểm soát ứng dụng cũng như bảo vệ phần mềm độc hại nâng cao, để cung cấp khả năng phòng thủ mạnh mẽ trước trình đơn ngày càng mở rộng của các cuộc tấn công mạng.
Tường lửa Palo Alto Neworks công nghệ mang lại cho 65.000 khách hàng doanh nghiệp sức mạnh để bảo vệ hàng tỷ người trên toàn thế giới. Cung cấp bảo mật cho tất cả các tường lửa thế hệ tiếp theo từ Palo Alto Networks. Nền tảng vận hành bảo mật tích hợp của Palo Alto, các NGFW của Palo Alto Networks cung cấp một kiến trúc tập trung vào phòng ngừa, dễ triển khai và vận hành, thiết bị sử dụng tự động hóa để giảm nỗ lực thủ công để các nhóm bảo mật có thể tập trung vào những gì quan trọng và giúp các doanh nghiêp dễ dàng áp dụng những đổi mới.
Hình ảnh: Logo Palo Alto Networks
Palo Alto Networks là gì?
Palo Alto Networks là công ty an ninh mạng hàng đầu thế giới, có trụ sở tại Santa Clara - California, Palo Alto Networks mang đến cho hơn 60.000 doanh nghiệp sức mạnh để bảo vệ hàng tỷ người trên toàn thế giới. Thiết bị tường lửa Firewall Palo Alto nổi tiếng với việc thách thức hiện trạng bảo mật. Nền tảng hoạt động bảo mật tiên phong của tường lửa này giúp các tổ chức sẵn sàng cho những đột phá mới nhất về bảo mật, tự động hóa và phân tích báo mật. Đơn giản hóa và tăng cường bảo mật của bạn với kiến trúc tập trung vào phòng ngừa của chúng tôi, dễ triển khai và vận hành trên mạng và hiệu quả đến không ngờ. Bất kể bạn cần bảo vệ ở đâu, Tường lửa Palo Alto Firewall PA-Series của chúng tôi đều được cấu trúc để cung cấp sự bảo vệ nhất quán cho toàn bộ chu vi mạng của bạn từ trụ sở chính và khuôn viên văn phòng, văn phòng chi nhánh và trung tâm dữ liệu cho lực lượng lao động và từ xa của bạn.
Tại sao bạn nên chọn Firewall Palo Alto Network?
- Nền tảng vận hành bảo mật với tường lửa Palo Alto Networks cho phép bạn tự động hóa nhận dạng và thực thi mối đe dọa trên đám mây, mạng và điểm cuối của bạn.
- Giảm các bề mặt tấn công và ngăn chặn các mối đe dọa bằng cách bật ứng dụng một cách an toàn
- Cung cấp chính sách tự động, thời gian thực cho mọi môi trường
- Mở rộng bảo vệ cho các công nghệ mới và mạng ảo
- Sử dụng một hệ sinh thái chia sẻ mối đe dọa tình báo rộng lớn
- Giờ đây với Cortex để bảo mật liên tục mở, tích hợp, dựa trên AI
Palo Alto Firewall Feature Overview Datasheet
Bảng báo giá tường lửa Palo Alto Networks phân phối ở Việt nam
PAN-PA-7080-AC-SYS PA-7080 Base AC Hardware Bundle. Includes AC Chassis, 4xAC power supplies, 2xFan Trays, Fan Filter, system cards, or optional upgraded system cards |
#PAN-PA-7080-DC-SYS PA-7080 Base DC Hardware Bundle. Includes DC Chassis, 4xDC power supplies, 2xFan Trays, Fan Filter, system cards, or optional upgraded system cards |
#PAN-PA-7050-AC-SYS PA-7050 Base AC Hardware Bundle. Includes AC Chassis, 4xAC power supplies, 2xFan Trays, Fan Filter, system cards, or optional upgraded system cards |
#PAN-PA-7050-DC-SYS PA-7050 Base DC Hardware Bundle. Includes DC Chassis, 4xDC power supplies, 2xFan Trays, Fan Filter, system cards, or optional upgraded system cards |
#PAN-PA-5280-AC Palo Alto Networks PA-5280 with redundant AC power supplies |
#PAN-PA-5280-DC Palo Alto Networks PA-5280 with redundant DC power supplies |
#PAN-PA-5260-AC Palo Alto Networks PA-5260 with redundant AC power supplies |
#PAN-PA-5260-DC Palo Alto Networks PA-5260 with redundant DC power supplies |
#PAN-PA-5250-AC Palo Alto Networks PA-5250 with redundant AC power supplies |
#PAN-PA-5250-DC Palo Alto Networks PA-5250 with redundant DC power supplies |
#PAN-PA-5220-AC Palo Alto Networks PA-5220 with redundant AC power supplies |
#PAN-PA-5220-DC Palo Alto Networks PA-5220 with redundant DC power supplies |
#PAN-PA-3260 Palo Alto Networks PA-3260 with redundant AC power supplies |
#PAN-PA-3250 Palo Alto Networks PA-3250 with redundant AC power supplies |
#PAN-PA-3220 Palo Alto Networks PA-3220 with redundant AC power supplies |
#PAN-PA-850 Palo Alto Networks PA-850 |
#850-TP-URL4-WF-BKLN-1YR PA-850 - 1 Year Bundle Includes Palo Alto Networks PA-850 (PAN-PA-850), Threat Prevention Subscription (PAN-PA-850-TP), PANDB URL Filtering Subscription (PAN-PA-850-URL4), WildFire Subscription (PAN-PA-850-WF), Partner Enabled Premium Support (PAN-SVC-BKLN-850), and DNS Security subscription (PAN-PA-850-DNS) |
PAN-PA-850-WF-3YR PA-850 - 3 Year Bundle Includes Palo Alto Networks PA-850 (PAN-PA-850), Threat Prevention Subscription (PAN-PA-850-TP-3YR), PANDB URL Filtering Subscription (PAN-PA-850-URL4-3YR), WildFire Subscription (PAN-PA-850-WF-3YR), Partner Enabled Premium Support (PAN-SVC-BKLN-850-3YR), and DNS Security subscription (PAN-PA-850-DNS-3YR) |
#850-TP-URL4-WF-BKLN-1YR-HA2 PA-850-HA Pair - 1 Year Bundle Includes Palo Alto Networks PA-850 (PAN-PA-850), Threat Prevention Subscription for device in an HA pair (PAN-PA-850-TP-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-850-URL4-HA2), WildFire Subscription for device in an HA pair (PAN-PA-850-WF-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-850), and DNS Security subscription for device in an HA pair (PAN-PA-850-DNS-HA2) |
#850-TP-URL4-WF-BKLN-3YR-HA2 PA-850-HA Pair - 3 Year Bundle Includes Palo Alto Networks PA-850 (PAN-PA-850), Threat Prevention Subscription for device in an HA pair (PAN-PA-850-TP-3YR-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-850-URL4-3YR-HA2), WildFire Subscription for device in an HA pair (PAN-PA-850-WF-3YR-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-850-3YR), and DNS Security subscription for device in an HA pair (PAN-PA-850-DNS-3YR-HA2) |
#PAN-PA-820 Palo Alto Networks PA-820 |
#820-TP-URL4-WF-BKLN-1YR PA-820 - 1 Year Bundle Includes Palo Alto Networks PA-820 (PAN-PA-820), Threat Prevention Subscription (PAN-PA-820-TP), PANDB URL Filtering Subscription (PAN-PA-820-URL4), WildFire Subscription (PAN-PA-820-WF), Partner Enabled Premium Support (PAN-SVC-BKLN-820), and DNS Security subscription (PAN-PA-820-DNS) |
#820-TP-URL4-WF-BKLN-3YR PA-820 - 3 Year Bundle Includes Palo Alto Networks PA-820 (PAN-PA-820), Threat Prevention Subscription (PAN-PA-820-TP-3YR), PANDB URL Filtering Subscription (PAN-PA-820-URL4-3YR), WildFire Subscription (PAN-PA-820-WF-3YR), Partner Enabled Premium Support (PAN-SVC-BKLN-820-3YR), and DNS Security subscription (PAN-PA-220-DNS-3YR) |
#820-TP-URL4-WF-BKLN-1YR-HA2 PA-820-HA Pair - 1 Year Bundle Includes Palo Alto Networks PA-820 (PAN-PA-820), Threat Prevention Subscription for device in an HA pair (PAN-PA-820-TP-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-820-URL4-HA2), WildFire Subscription for device in an HA pair (PAN-PA-820-WF-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-820), and DNS Security subscription for device in an HA pair (PAN-PA-220-DNS-HA2) |
#820-TP-URL4-WF-BKLN-3YR-HA2 PA-820-HA Pair - 3 Year Bundle Includes Palo Alto Networks PA-820 (PAN-PA-820), Threat Prevention Subscription for device in an HA pair (PAN-PA-820-TP-3YR-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-820-URL4-3YR-HA2), WildFire Subscription for device in an HA pair (PAN-PA-820-WF-3YR-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-820-3YR), and DNS Security subscription for device in an HA pair (PAN-PA-220-DNS-3YR-HA2) |
#PAN-PA-220R Palo Alto Networks PA-220R |
#PAN-PA-220 Palo Alto Networks PA-220 |
#220-TP-URL4-WF-BKLN-1YR PA-220 - 1 Year Bundle Includes Palo Alto Networks PA-220 (PAN-PA-220), Threat Prevention Subscription (PAN-PA-220-TP), PANDB URL Filtering Subscription (PAN-PA-220-URL4), WildFire Subscription (PAN-PA-220-WF), Partner Enabled Premium Support (PAN-SVC-BKLN-220), and DNS Security subscription (PAN-PA-220-DNS) |
#220-TP-URL4-WF-BKLN-3YR PA-220 - 3 Year Bundle Includes Palo Alto Networks PA-220 (PAN-PA-220), Threat Prevention Subscription (PAN-PA-220-TP-3YR), PANDB URL Filtering Subscription (PAN-PA-220-URL4-3YR), WildFire Subscription (PAN-PA-220-WF-3YR), Partner Enabled Premium Support (PAN-SVC-BKLN-220-3YR), and DNS Security subscription (PAN-PA-220-DNS-3YR) |
#220-TP-URL4-WF-BKLN-1YR-HA2 PA-220-HA Pair - 1 Year Bundle Includes Palo Alto Networks PA-220 (PAN-PA-220), Threat Prevention Subscription for device in an HA pair (PAN-PA-220-TP-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-220-URL4-HA2), WildFire Subscription for device in an HA pair (PAN-PA-220-WF-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-220), and DNS Security subscription for device in an HA pair (PAN-PA-220-DNS-HA2) |
#220-TP-URL4-WF-BKLN-3YR-HA2 PA-220-HA Pair - 3 Year Bundle Includes Palo Alto Networks PA-220 (PAN-PA-220), Threat Prevention Subscription for device in an HA pair (PAN-PA-220-TP-3YR-HA2), PANDB URL Filtering Subscription for device in an HA pair (PAN-PA-220-URL4-3YR-HA2), WildFire Subscription for device in an HA pair (PAN-PA-220-WF-3YR-HA2), Partner Enabled Premium Support (PAN-SVC-BKLN-220-3YR), and DNS Security subscription for device in an HA pair (PAN-PA-220-DNS-3YR-HA2) |
Sản phẩm tường lửa Firewall Palo Alto ưu chuộng:
Bảng dự toán hệ thống tưởng lửa Firewall Palo Alto Networks PAN-PA-220, PAN-PA-850, PAN-PA-3250
THIẾT BỊ PHẦN CỨNG PALO ALTO NETWORKS |
|
Kiến trúc phần cứng | Dạng Appliance. Tách biệt về phần cứng đối với khối xử lý điều khiển và khối xử lý dữ liệu |
Firewall throughput được tính sau khi bật tính năng nhận diện và quản trị ứng dụng (Application control) ở Lớp 7 | 540 Mbps |
Thông lượng Threat Prevention (bật tất cả các tinh năng bao gồm Firewall + Application Control + IPS, phát hiện và ngăn chặn Malware, Virus, Spyware, Worms, Botnet) | 275 Mbps |
Kết nối | 64,000 |
Kết nối trên giây | 4,300 |
Giải mã kết nối SSL đồng thời | 6,400 |
Cổng Cáp đồng 10/100/1000 | 8 |
Cổng giao điện quản trị 10/100/1000 dành riêng quản lý | 1 |
Cổng giao điện quản trị Console | 1 |
Số cổng USB | 1 |
Số cổng Micro USB console | 1 |
Hỗ trợ số lượng firewall ảo / có thể nâng cấp tối đa | 1 |
Số Security zone | 15 |
Ổ cứng chứa hệ điều hành | 32 GB EMMC |
Ổ cứng chứa log | Không |
TÍNH NĂNG | |
Kiến trúc xử lý | Xử lý song song đồng thời các tác vụ trong một quy trình xử lý |
Giao tiếp quản trị | Quản trị trên giao diện đồ họa (GUI) Hỗ trợ quản trị tập trung |
Chế độ triển khai | L2, L3, Tap, Transparent mode |
Giao thức | IPv4 và IPv6 with SLAAC Chuyển mạch lớp 2: 802.1Q OSPFv2/v3 with graceful restart, RIP, BGP with graceful restart, static, PPPoE, IGMP v1/2/3, PIM-SM, PIM-SSM Policy-based Forwarding nhận dạng theo vùng, địa chỉ nguồn/đích, cổng nguồn hoặc đích, ứng dụng và người dùng hoặc nhóm người dùng AD/LDAP/RADIUS |
Hoạt động với độ sẵn sàng cao | Active/Passive, Active/Active Chế độ HA Active/Active phải hỗ trợ multicast, giao thức định tuyến động (OSPF, BGP,..), định tuyến bất đối xứng, IPSec VPN, SSL VPN, QoS Chế độ HA Active/Active phải hỗ trợ đồng bộ phiên kết nối (sessions), stateful table. Failure detection: Path monitoring, interface monitoring |
Kiểm soát ứng dụng | Sử dụng mô hình giám sát chủ động với việc chỉ những ứng dụng được cho phép bởi security policy thì mới được đi vào, toàn bộ các ứng dụng còn lại đều bị cấm Một ứng dụng bất kỳ chỉ cần sử dụng một chữ ký nhận diện là hỗ trợ các phiên bản của ứng dụng đó Cho phép sửa đổi chữ ký của ứng dụng, định nghĩa chữ ký ứng dụng mới dựa vào payload thực của ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các ứng dụng chưa có chữ ký nhận dạng trong thiết bị (unknown application) Thực thi các chính sách kiểm soát các ứng dụng với cổng dịch vụ chuẩn hoặc phi chuẩn Có khả năng giải mã (decryption) cho các giao thức mã hóa SSL, SSH trên từng chính sách cho các ứng dụng cả hai chiều inbound và outbound. |
Kiểm soát người dùng | Có khả năng tích hợp với các hệ thống để kiểm soát người dùng: • Microsoft Active Directory, LDAP, Novell eDirectory, XenApp, Microsoft Terminal Services, MS Exchange • Hỗ trợ XML API để tích hợp với các ứng dụng quản lý người dùng không theo tiêu chuẩn định trước. |
Kiểm soát bảo mật theo zone: cho phép phân vùng chức năng và thiết lập chính sách theo vùng. Cho phép thiết lập chính sách dựa trên các điều kiện: Zone nguồn/đích, Địa chỉ nguồn/đích, người dùng/nhóm người dùng, ứng dụng/nhóm ứng dụng, cổng dịch vụ và các chính sách security IPS, Anti-Virus, Anti-Spyware, URL Filtering, Data Filtering, APT trên cùng một chính sách bảo mật. |
|
Ngăn chặn xâm nhập | Có khả năng ngăn chặn tấn công mạng và khai thác lỗ hổng ứng dụng, lỗi tràn bộ đệm và quét cổng. Khả năng phòng chống virus, spyware, worm dựa trên công nghệ stream-base Phát hiện và phòng chống tấn công SYN Flood, SYN Cookies, Brute-force, UDP Flood, ICMP Flood, Bad Option IP, Fragment traffic, ICMP Fragment, Large ICMP packet. Ngăn chặn virus, spyware và các dò quét hỗ hổng trên các ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các unknown Malwares (là các Malwares chưa có trong database trên thiết bị) trên toàn bộ traffic và không bị hạn chế bởi file quota Hỗ trợ kết nối đến hệ thống cloud nhằm xác định, phân tích và đánh giá các malwares mà thiết bị tường lửa chưa có chữ ký nhận diện, khởi tạo signature cho các gói tin bị nhúng malwares, mã độc. Hỗ trợ người quản trị giám sát quá trình và kết quả phân tích. Signature tạo ra để nhận diện và block unknown malware phải dựa trên payload của malware chứ không dựa trên MD5 hash Không cần phải mua license cho Windows, Office, Adobe, APK cho các máy ảo sử dụng trên hệ thống sandbox |
Mã hóa | Nhận diện, kiểm soát các ứng dụng mã hóa (SSL) vào/ra Bóc tách gói tin SSL trên các ứng dụng/nhóm ứng dụng |
Lọc dữ liệu | LỌC FILE VÀ DỮ LIỆU. Cho phép các quản trị viên thực hiện các chính sách làm giảm rủi ro liên quan đến chuyển tập tin và dữ liệu. Chuyển tập tin và tải về kiểm soát bằng cách tìm kiếm bên trong các tập tin (có thể không như phần mở rộng tập tin), để xác định cho phép hay không. Các tập tin thực thi có thể bị chặn. • Kiểm soát truyền những dữ liệu không được phép (xác định theo mẫu dữ liệu hoặc kiểu file) • Xác định chữ ký số SSN và thẻ tín dụng • Xác định tối thiểu 59 các loại tập tin khác nhau |
Kết nối từ xa | Kết nối IPSec VPN và SSL VPN trên các hệ điều hành Windows, MAC, Linux mà không cần phải mua thêm licenses cho người dùng. |
Quản lý lưu lượng | Kiểm soát policy-based traffic shaping dựa trên application, user, source, destination, interface, IPSec VPN tunnel, URL category Thiết lập các chính sách Guaranteed, Maximum và Priority Bandwidth |
Quản trị và Báo cáo | Phải có khả năng tương quan tất cả các bản ghi (traffic, IPS, Anti-Virus, Anti-Spyware, Data Filtering, ...) với danh tính người dùng theo thời gian thực mà không cần thêm bất kỳ module bổ sung. "Các vai trò quản trị qua giao diện Web, có thể phân quyền quản trị viên: • Đọc/ ghi. • Chỉ đọc. • Không có quyền truy cập." Hỗ trợ realtime monitoring và màn hình quản lý thống kê các ứng dụng, người dùng, băng thông, URL. Phân tích unkown traffic và tự động phân nhóm các unknown traffic theo unknown-tcp, unknown-udp, unknown-p2p để tiện giám sát chủ động Nhận diện được unknown traffic ngay từ giao diện quản trị (GUI) và log Tự động capture các gói tin (packets) của các phiên làm việc chưa biết (unknown sessions) Cho phép việc báo cáo có thể tùy chỉnh, hoặc nhóm lại với nhau để phù hợp với các yêu cầu cụ thể. Cho phép xuất báo cáo Botnet theo từng ngày ngay trên thiết bị Cho phép giám sát được mối đe doạ (lỗ hổng bảo mật, virus, spyware) tương ứng với từng ứng dụng từ giao diện quản trị giám sát Cho phép báo cáo theo các ứng dụng, người dùng / nhóm người dùng, băng thông, URL, các mối đe dọa (lỗ hổng bảo mật, virus, spyware). Dễ dàng phân biệt cấp độ rủi ro đối với hệ thống. Cho phép các định dạng xuất báo cáo PDF, CSV, XML và gửi qua hệ thống email. |
Logging | Nhật ký thời gian thực tạo điều kiện nhanh chóng điều tra. Chỉ sử dụng 1 thông tin log đầu vào với một log database duy nhất tương ứng với 1 traffic session Chiết xuất thông tin các luồng dữ liệu IP ra Syslog, Netflow v9, SNMP v2/v3 |
THIẾT BỊ PHẦN CỨNG PALO ALTO NETWORKS |
|
Kiến trúc phần cứng | Dạng Appliance. Tách biệt về phần cứng đối với khối xử lý điều khiển và khối xử lý dữ liệu Có phần cứng chuyên dụng (FPGA) xử lý cho từng tác vụ nhận diện ứng dụng, người dùng và nội dung Có phần cứng chuyên dụng (FPGA) xử lý cho từng tác vụ nhận diện ứng dụng, người dùng và nội dung |
Firewall throughput được tính sau khi bật tính năng nhận diện và quản trị ứng dụng (Application control) ở Lớp 7 | 6 Gbps |
Thông lượng Threat Prevention (bật tất cả các tinh năng bao gồm Firewall + Application Control + IPS, phát hiện và ngăn chặn Malware, Virus, Spyware, Worms, Botnet) | 3.4 Gbps |
Kết nối | >= 2.000.000 |
Kết nối trên giây | >= 73.000 |
Cổng Cáp đồng 10/100/1000 | 12 x 1G RJ45, |
Cổng Gigabit SFP | 8 x 1G/10G SF+ |
Cổng giao điện cáp đồng 10/100/1000 High Availability | 2 |
Cổng giao điện quản trị 10/100/1000 dành riêng quản lý | 1 |
Cổng giao điện quản trị Console | 1 |
Số vùng an ninh (security zone): 200 | 200 |
Hỗ trợ số lượng firewall ảo / có thể nâng cấp tối đa | 1/6 |
TÍNH NĂNG | |
Kiến trúc xử lý | Xử lý song song đồng thời các tác vụ trong một quy trình xử lý |
Giao tiếp quản trị | Quản trị trên giao diện đồ họa (GUI) Hỗ trợ quản trị tập trung |
Chế độ triển khai | L2, L3, Tap, Transparent mode |
Giao thức | IPv4 và IPv6 Chuyển mạch lớp 2: 802.3ad, 802.1Q OSPF, RIPv2, BGP, static, PPPoE, IGMP v1/2/3 Policy-based Forwarding nhận dạng theo vùng, địa chỉ nguồn/đích, cổng nguồn hoặc đích, ứng dụng và người dùng hoặc nhóm người dùng AD/LDAP/RADIUS |
Hoạt động với độ sẵn sàng cao | Active/Passive, Active/Active Chế độ HA Active/Active phải hỗ trợ multicast, giao thức định tuyến động (OSPF, BGP,..), định tuyến bất đối xứng, IPSec VPN, SSL VPN, QoS Chế độ HA Active/Active phải hỗ trợ đồng bộ phiên kết nối (sessions), stateful table. |
Kiểm soát ứng dụng | Sử dụng mô hình giám sát chủ động với việc chỉ những ứng dụng được cho phép bởi security policy thì mới được đi vào, toàn bộ các ứng dụng còn lại đều bị cấm Một ứng dụng bất kỳ chỉ cần sử dụng một chữ ký nhận diện là hỗ trợ các phiên bản của ứng dụng đó Cho phép sửa đổi chữ ký của ứng dụng, định nghĩa chữ ký ứng dụng mới dựa vào payload thực của ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các ứng dụng chưa có chữ ký nhận dạng trong thiết bị (unknown application) Thực thi các chính sách kiểm soát các ứng dụng với cổng dịch vụ chuẩn hoặc phi chuẩn Có khả năng giải mã (decryption) cho các giao thức mã hóa SSL, SSH trên từng chính sách cho các ứng dụng cả hai chiều inbound và outbound. |
Kiểm soát người dùng | Có khả năng tích hợp với các hệ thống để kiểm soát người dùng: • Microsoft Active Directory, LDAP, Novell eDirectory, XenApp, Microsoft Terminal Services, MS Exchange • Hỗ trợ XML API để tích hợp với các ứng dụng quản lý người dùng không theo tiêu chuẩn định trước. |
Chính sách bảo mật | Kiểm soát bảo mật theo zone: cho phép phân vùng chức năng và thiết lập chính sách theo vùng. Cho phép thiết lập chính sách dựa trên các điều kiện: Zone nguồn/đích, Địa chỉ nguồn/đích, người dùng/nhóm người dùng, ứng dụng/nhóm ứng dụng, cổng dịch vụ và các chính sách security IPS, Anti-Virus, Anti-Spyware, URL Filtering, Data Filtering, APT trên cùng một chính sách bảo mật. |
Ngăn chặn xâm nhập | Có khả năng ngăn chặn tấn công mạng và khai thác lỗ hổng ứng dụng, lỗi tràn bộ đệm và quét cổng. Khả năng phòng chống virus, spyware, worm dựa trên công nghệ stream-base Phát hiện và phòng chống tấn công SYN Flood, SYN Cookies, Brute-force, UDP Flood, ICMP Flood, Bad Option IP, Fragment traffic, ICMP Fragment, Large ICMP packet. Ngăn chặn virus, spyware và các dò quét hỗ hổng trên các ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các unknown Malwares (là các Malwares chưa có trong database trên thiết bị) trên toàn bộ traffic và không bị hạn chế bởi file quota Hỗ trợ kết nối đến hệ thống cloud nhằm xác định, phân tích và đánh giá các malwares mà thiết bị tường lửa chưa có chữ ký nhận diện, khởi tạo signature cho các gói tin bị nhúng malwares, mã độc. Hỗ trợ người quản trị giám sát quá trình và kết quả phân tích. Signature tạo ra để nhận diện và block unknown malware phải dựa trên payload của malware chứ không dựa trên MD5 hash Không cần phải mua license cho Windows, Office, Adobe, APK cho các máy ảo sử dụng trên hệ thống sandbox |
Mã hóa | Nhận diện, kiểm soát các ứng dụng mã hóa (SSL) vào/ra |
Bóc tách gói tin SSL trên các ứng dụng/nhóm ứng dụng | |
Lọc dữ liệu | LỌC FILE VÀ DỮ LIỆU. Cho phép các quản trị viên thực hiện các chính sách làm giảm rủi ro liên quan đến chuyển tập tin và dữ liệu. Chuyển tập tin và tải về kiểm soát bằng cách tìm kiếm bên trong các tập tin (có thể không như phần mở rộng tập tin), để xác định cho phép hay không. Các tập tin thực thi có thể bị chặn. • Kiểm soát truyền những dữ liệu không được phép (xác định theo mẫu dữ liệu hoặc kiểu file) • Xác định chữ ký số SSN và thẻ tín dụng • Xác định tối thiểu 59 các loại tập tin khác nhau |
Kết nối từ xa | Kết nối IPSec VPN và SSL VPN trên các hệ điều hành Windows, MAC, Linux mà không cần phải mua thêm licenses cho người dùng. |
Quản lý lưu lượng | Kiểm soát policy-based traffic shaping dựa trên application, user, source, destination, interface, IPSec VPN tunnel, URL category Thiết lập các chính sách Guaranteed, Maximum và Priority Bandwidth |
Quản trị và Báo cáo | Phải có khả năng tương quan tất cả các bản ghi (traffic, IPS, Anti-Virus, Anti-Spyware, Data Filtering, ...) với danh tính người dùng theo thời gian thực mà không cần thêm bất kỳ module bổ sung. "Các vai trò quản trị qua giao diện Web, có thể phân quyền quản trị viên: • Đọc/ ghi. • Chỉ đọc. • Không có quyền truy cập." Hỗ trợ realtime monitoring và màn hình quản lý thống kê các ứng dụng, người dùng, băng thông, URL. Phân tích unkown traffic và tự động phân nhóm các unknown traffic theo unknown-tcp, unknown-udp, unknown-p2p để tiện giám sát chủ động Nhận diện được unknown traffic ngay từ giao diện quản trị (GUI) và log Tự động capture các gói tin (packets) của các phiên làm việc chưa biết (unknown sessions) Cho phép việc báo cáo có thể tùy chỉnh, hoặc nhóm lại với nhau để phù hợp với các yêu cầu cụ thể. Cho phép xuất báo cáo Botnet theo từng ngày ngay trên thiết bị Cho phép giám sát được mối đe doạ (lỗ hổng bảo mật, virus, spyware) tương ứng với từng ứng dụng từ giao diện quản trị giám sát Cho phép báo cáo theo các ứng dụng, người dùng / nhóm người dùng, băng thông, URL, các mối đe dọa (lỗ hổng bảo mật, virus, spyware). Dễ dàng phân biệt cấp độ rủi ro đối với hệ thống. Cho phép các định dạng xuất báo cáo PDF, CSV, XML và gửi qua hệ thống email. |
Logging | Nhật ký thời gian thực tạo điều kiện nhanh chóng điều tra. Chỉ sử dụng 1 thông tin log đầu vào với một log database duy nhất tương ứng với 1 traffic session Chiết xuất thông tin các luồng dữ liệu IP ra Syslog, Netflow v9, SNMP v2/v3 |
THIẾT BỊ PHẦN CỨNG PALO ALTO NETWORKS |
|
Kiến trúc phần cứng | Dạng Appliance. Tách biệt về phần cứng đối với khối xử lý điều khiển và khối xử lý dữ liệu |
Firewall throughput được tính sau khi bật tính năng nhận diện và quản trị ứng dụng (Application control) ở Lớp 7 | 2.1 Gbps |
Thông lượng Threat Prevention (bật tất cả các tinh năng bao gồm Firewall + Application Control + IPS, phát hiện và ngăn chặn Malware, Virus, Spyware, Worms, Botnet) | 1.0 Gbps |
Kết nối | 192,000 |
Kết nối trên giây | 13,000 |
Cổng Cáp đồng 10/100/1000 | 4 |
Cổng Gigabit SFP | 4/8 |
Cổng 10 Gigabit SFP+ | 0/4 |
Cổng giao diện cáp đồng 10/100/1000 High Availability | 2 |
Năng lực IPSEC VPN throughput | 1.6 Gbps |
Ổ cứng chứa hệ điều hành | 240GB SSD |
TÍNH NĂNG | |
Kiến trúc xử lý | Xử lý song song đồng thời các tác vụ trong một quy trình xử lý |
Giao tiếp quản trị | Quản trị trên giao diện đồ họa (GUI) Hỗ trợ quản trị tập trung |
Chế độ triển khai | L2, L3, Tap, Transparent mode |
Giao thức | IPv4 và IPv6 Chuyển mạch lớp 2: 802.3ad, 802.1Q OSPF, RIPv2, BGP, static, PPPoE, IGMP v1/2/3 Policy-based Forwarding nhận dạng theo vùng, địa chỉ nguồn/đích, cổng nguồn hoặc đích, ứng dụng và người dùng hoặc nhóm người dùng AD/LDAP/RADIUS |
Hoạt động với độ sẵn sàng cao | Active/Passive, Active/Active Chế độ HA Active/Active phải hỗ trợ multicast, giao thức định tuyến động (OSPF, BGP,..), định tuyến bất đối xứng, IPSec VPN, SSL VPN, QoS Chế độ HA Active/Active phải hỗ trợ đồng bộ phiên kết nối (sessions), stateful table. |
Kiểm soát ứng dụng | Sử dụng mô hình giám sát chủ động với việc chỉ những ứng dụng được cho phép bởi security policy thì mới được đi vào, toàn bộ các ứng dụng còn lại đều bị cấm Một ứng dụng bất kỳ chỉ cần sử dụng một chữ ký nhận diện là hỗ trợ các phiên bản của ứng dụng đó Cho phép sửa đổi chữ ký của ứng dụng, định nghĩa chữ ký ứng dụng mới dựa vào payload thực của ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các ứng dụng chưa có chữ ký nhận dạng trong thiết bị (unknown application) Thực thi các chính sách kiểm soát các ứng dụng với cổng dịch vụ chuẩn hoặc phi chuẩn Có khả năng giải mã (decryption) cho các giao thức mã hóa SSL, SSH trên từng chính sách cho các ứng dụng cả hai chiều inbound và outbound. |
Kiểm soát người dùng | Có khả năng tích hợp với các hệ thống để kiểm soát người dùng: • Microsoft Active Directory, LDAP, Novell eDirectory, XenApp, Microsoft Terminal Services, MS Exchange • Hỗ trợ XML API để tích hợp với các ứng dụng quản lý người dùng không theo tiêu chuẩn định trước. |
Kiểm soát bảo mật theo zone: cho phép phân vùng chức năng và thiết lập chính sách theo vùng. Cho phép thiết lập chính sách dựa trên các điều kiện: Zone nguồn/đích, Địa chỉ nguồn/đích, người dùng/nhóm người dùng, ứng dụng/nhóm ứng dụng, cổng dịch vụ và các chính sách security IPS, Anti-Virus, Anti-Spyware, URL Filtering, Data Filtering, APT trên cùng một chính sách bảo mật. |
|
Ngăn chặn xâm nhập | Có khả năng ngăn chặn tấn công mạng và khai thác lỗ hổng ứng dụng, lỗi tràn bộ đệm và quét cổng. Khả năng phòng chống virus, spyware, worm dựa trên công nghệ stream-base Phát hiện và phòng chống tấn công SYN Flood, SYN Cookies, Brute-force, UDP Flood, ICMP Flood, Bad Option IP, Fragment traffic, ICMP Fragment, Large ICMP packet. Ngăn chặn virus, spyware và các dò quét hỗ hổng trên các ứng dụng Cho phép nhận dạng và kiểm soát một cách có hệ thống các unknown Malwares (là các Malwares chưa có trong database trên thiết bị) trên toàn bộ traffic và không bị hạn chế bởi file quota Hỗ trợ kết nối đến hệ thống cloud nhằm xác định, phân tích và đánh giá các malwares mà thiết bị tường lửa chưa có chữ ký nhận diện, khởi tạo signature cho các gói tin bị nhúng malwares, mã độc. Hỗ trợ người quản trị giám sát quá trình và kết quả phân tích. Signature tạo ra để nhận diện và block unknown malware phải dựa trên payload của malware chứ không dựa trên MD5 hash Không cần phải mua license cho Windows, Office, Adobe, APK cho các máy ảo sử dụng trên hệ thống sandbox |
Mã hóa | Nhận diện, kiểm soát các ứng dụng mã hóa (SSL) vào/ra |
Bóc tách gói tin SSL trên các ứng dụng/nhóm ứng dụng | |
Lọc dữ liệu | LỌC FILE VÀ DỮ LIỆU. Cho phép các quản trị viên thực hiện các chính sách làm giảm rủi ro liên quan đến chuyển tập tin và dữ liệu. Chuyển tập tin và tải về kiểm soát bằng cách tìm kiếm bên trong các tập tin (có thể không như phần mở rộng tập tin), để xác định cho phép hay không. Các tập tin thực thi có thể bị chặn. • Kiểm soát truyền những dữ liệu không được phép (xác định theo mẫu dữ liệu hoặc kiểu file) • Xác định chữ ký số SSN và thẻ tín dụng • Xác định tối thiểu 59 các loại tập tin khác nhau |
Kết nối từ xa | Kết nối IPSec VPN và SSL VPN trên các hệ điều hành Windows, MAC, Linux mà không cần phải mua thêm licenses cho người dùng. |
Kiểm soát policy-based traffic shaping dựa trên application, user, source, destination, interface, IPSec VPN tunnel, URL category Thiết lập các chính sách Guaranteed, Maximum và Priority Bandwidth |
|
Quản trị và Báo cáo | Phải có khả năng tương quan tất cả các bản ghi (traffic, IPS, Anti-Virus, Anti-Spyware, Data Filtering, ...) với danh tính người dùng theo thời gian thực mà không cần thêm bất kỳ module bổ sung. "Các vai trò quản trị qua giao diện Web, có thể phân quyền quản trị viên: • Đọc/ ghi. • Chỉ đọc. • Không có quyền truy cập." Hỗ trợ realtime monitoring và màn hình quản lý thống kê các ứng dụng, người dùng, băng thông, URL. Phân tích unkown traffic và tự động phân nhóm các unknown traffic theo unknown-tcp, unknown-udp, unknown-p2p để tiện giám sát chủ động Nhận diện được unknown traffic ngay từ giao diện quản trị (GUI) và log Tự động capture các gói tin (packets) của các phiên làm việc chưa biết (unknown sessions) Cho phép việc báo cáo có thể tùy chỉnh, hoặc nhóm lại với nhau để phù hợp với các yêu cầu cụ thể. Cho phép xuất báo cáo Botnet theo từng ngày ngay trên thiết bị Cho phép giám sát được mối đe doạ (lỗ hổng bảo mật, virus, spyware) tương ứng với từng ứng dụng từ giao diện quản trị giám sát Cho phép báo cáo theo các ứng dụng, người dùng / nhóm người dùng, băng thông, URL, các mối đe dọa (lỗ hổng bảo mật, virus, spyware). Dễ dàng phân biệt cấp độ rủi ro đối với hệ thống. Cho phép các định dạng xuất báo cáo PDF, CSV, XML và gửi qua hệ thống email. |
Logging | Nhật ký thời gian thực tạo điều kiện nhanh chóng điều tra. Chỉ sử dụng 1 thông tin log đầu vào với một log database duy nhất tương ứng với 1 traffic session Chiết xuất thông tin các luồng dữ liệu IP ra Syslog, Netflow v9, SNMP v2/v3 |
Yêu cầu kĩ thuật: M-200 |
|
Bản quyền số lượng thiết bị quản lý: 25 Giao diện quản trị: Giao diện Web/ CLI / API Dung lượng lưu trữ tối đa của phần mềm quản lý tập trung ≥ 8 TB Phần cứng chuyên dụng Quản lý thiết bị cho phép cấu hình và log từ các thiết bị tường lửa Quản lý chính sách theo nhóm thiết bị, mô hình phân cấp Khả năng giám sát lưu lượng: cung cấp khả năng giám sát các lưu lượng phục vụ khả năng phân tích, báo cáo và điều tra khi cần Có tính năng nhận Snort và Suricata signature từ thiết bị quản trị tập trung Thiết bị quản lý tập trung có khả năng phân phối thông tin về người dùng trên các thiết bị tường lửa được quản lý Quản trị: Có tính năng phần quyền theo vai trò của quản trị viên Quản lý việc cập nhật phần mềm và cơ sở dữ liệu an ninh cho các thiết bị tường lửa Bảo hành và cập nhật cơ sở dữ liệu: 1 năm |
Mời bạn tìm hiểu thêm bài viết bộ chuyển mạch công nghiệp TELTONIKA trên Website như:
BÁO GIÁ PHÂN PHỐI SẢN PHẨM PALO ALTO NETWORKS CHÍNH HÃNG TẠI VIỆT NAM
[ Hà Nội ] Liền kề TT17-B4 Khu đô thị Văn Quán, Hà Đông, Hà Nội
Điện thoại: 024.22255666 - Hotline: 038 559 8080
[ Hồ Chí Minh ] 108/1/6 Biệt Thự Làng Hoa, Cây Trâm, Gò Vấp, HCMC
Điện thoại: 028.62959899 - Hotline: 0385 90 8282
[ Email ] nhận báo giá: info@hopnhat.com.vn
Câu hỏi thường gặp của khách hàng
↑
0983 111 050