Palo Alto Networks(パロアルトネットワークス)の次世代ファイアウォールソリューションPAシリーズは、これまでのポート番号やプロトコルベースのファイアウォールでは不可能であった、「アプリケーション」、「ユーザ」、「コンテンツ」といった要素での制御をポリシーベースで実現し、企業や組織において脅威となる、ファイアウォール越えをいとも簡単に行うアプリケーションに対して、即座に対策を施すことが可能です。
- 機能
- ラインナップ
- 利用イメージ
App-ID(アプリケーションの識別)
- ポート番号、プロトコル、検知回避手段、SSL等によらず、アプリケーションを識別
- 対応アプリケーションは、3,000種類以上(2019年10月時点)、今後も適宜増加
- 下記のパロアルトネットワークス社専用ページで、識別可能なアプリケーションの確認が可能
https://applipedia.paloaltonetworks.com/ - アプリケーションの機能毎に制御
- カスタムシグネチャ対応
User-ID(IPアドレスに関わらずユーザを識別)
- UIA※を介してActive Directoryと連携し、ユーザーやグループ情報を取得
※UIA(User Identification Agent)は、無償のソフトウェア。別途、UIA専用ハードウェアが必要 - App-IDで識別したアプリケーションとユーザー情報を紐付けて、可視化と制御を実現
- Active Directoryを利用できない環境では、webを利用した認証でユーザー情報を取得
Content-ID(リアルタイム脅威制御)
- Content-I DFlashMatchTMエンジンで、アンチウイルス・アンチスパイウェア・IPSの機能が統合されたシグネチャ※を利用し、 リアルタイムで一度に高速スキャン
※Threat Preventionのサブスクリプション - ファイルヘッダー情報やMIMEタイプ等によりファイルタイプを識別して検査(ブロック)が可能
- URLフィルタリングは、Palo Alto Networks社データベース、又はBrightCloud社データベースを選択して使用
※URLフィルタリングのサブスクリプション
柔軟なポリシー制御と優れたレポート機能
アドレス、ポート番号、プロトコルに加えて、アプリケーションとユーザに応じてポリシー制御が可能、レポート機能も充実。
 |
 |
 |
 |
 |
 |
|
| パフォーマンスと容量 1 | PA-3260 | PA-3250 | PA-3220 | PA-850 | PA-820 | PA-220 |
| ファイアウォールスループット (App-ID有効) |
8.8 Gbps | 6.3 Gbps | 5 Gbps | 1.9 Gbps | 940 Mbps | 500 Mbps |
| 脅威防御スループット | 4.7 Gbps | 3 Gbps | 2.2 Gbps | 780 Mbps | 610 Mbps | 150 Mbps |
| IPsec VPN のスループット | 4.8 Gbps | 3.2 Gbps | 2.5 Gbps | 500 Mbps | 400 Mbps | 100 Mbps |
| 新規セッション数(session/ 秒) | 135,000 | 94,000 | 58,000 | 9,500 | 8,300 | 4,200 |
| 最大セッション数 | 3,000,000 | 2,000,000 | 1,000,000 | 192,000 | 128,000 | 64,000 |
| Virtual systems (base/max2) | 1/6 | 1/6 | 1/6 | 1 | 1 | 1 |
| ハードウェア仕様 | PA-3260 | PA-3250 | PA-3220 | PA-850 | PA-820 | PA-220 |
| I/O | (12) 10/100/1000,(8) 1G/10G SFP/SFP+,(4) 40G QSFP+ | (12) 10/100/1000, (8) 1G/10G SFP/SFP+ |
(12) 10/100/1000, (4) 1G SFP,(4) 1G/10G SFP/SFP+ | (4)10/100/1000, (4/8)SFP, (0/4)SFP+ |
(4)10/100/1000, (8)SFP |
(8)10/100/1000 |
| 管理I/O | (1) 10/100/1000アウトオブバンド管理ポート、(2) 10/100/1000HA 、(1)10G SEP+ HA 、(1)RJ-45コンソール ポート、(1)Micro USB | (1)10/100/1000 アウトオブバンド管理ポート (2)10/100/1000 HA (1)RJ-45 コンソールポート, (1)USBポート,(1)マイクロ USB コンソールポート |
(1)10/100/1000 アウトオブバンド管理ポート(1)RJ-45 コンソールポート(1)USBポート(1)マイクロUSBポート | |||
| ラックサイズ | 2U, 19 インチ標準ラック | 1U, 19 インチ標準ラック | 4.1cm × 16cm × 20.5cm | |||
| 電源 | 650ワット冗長ACまたはDC (180/240) | Two 500W AC. (片方は冗長用) |
200W | デュアル 40W | ||
| 電源冗長 | 対応 | 対応 | 非対応 | 対応( オプション ) | ||
| ディスク容量 | 240GB SSD | 240GB SSD | 32GB EMMC | |||
| ホットスワップファン | 対応 | 非対応 | 非対応 | |||
 |
 |
 |
|
| パフォーマンスと容量1 | PA-5260 | PA-5250 | PA-5220 |
| ファイアウォールスループット (App-ID有効) |
68Gbps | 39Gbps | 18Gbps |
| 脅威防御スループット | 30Gbps | 20Gbps | 9Gbps |
| IPsec VPN のスループット | 24Gbps | 16Gbps | 8Gbps |
| 新規セッション数(session/秒) | 462,000 | 348,000 | 171,000 |
| 最大セッション数 | 32,000,000 | 8,000,000 | 4,000,000 |
| Virtual system(s base/max2) | 25/225 | 25/125 | 10/20 |
| ハードウェア仕様 | PA-5260 | PA-5250 | PA-5220 |
| I/O もしくは 拡張モジュール14 | (4)100/1000/10G Cu, (16)1G/10G SFP/SFP+, (4)40G/100G QSFP28 |
(4)100/1000/10G Cu, (16)1G/10G SFP/SFP+, (4)40G QSFP+ |
|
| I/O もしくは 拡張モジュール24 | |||
| 管理I/O | (2)10/100/1000 Cu(1)10/100/1000 アウトオブバンド管理ポート(1)RJ45コンソールポート | ||
| (1)40G/100G QSFP28 HA | (1)40G QSFP+ HA | ||
| ラックサイズ | 3U, 19インチ標準ラック | ||
| 電源 | 2x1200W AC電源もしくはDC電源(1:1フル冗長性) | ||
| 電源冗長 | 対応 | ||
| ディスク容量 | システムストレージ:240GB SSD, RAID1. ログストレージ:2TB HDD, RAID1 | ||
| ホットスワップファン | 対応 | ||
(1)性能および容量は、PAN-OS 8.0を用いた理想的な試験条件下で測定しています。VM-シリーズの場合、基盤となる仮想化インフラストラクチャ(ハイパーバイザ/クラウド)に基づいて異なる場合があります。パフォーマンスとテストの詳細については、個々のデータシートを参照してください。
(2)仮想システムを追加するには、別途購入したライセンスが必要です。
(3)標準メモリ/拡張メモリを備えたPA-7000 NPCの最大セッション容量になります。
(4)オプティカル/カッパートランシーバは別売です。
(5)CPUのオーバーサブスクリプションは、2つのCPU構成で実行中のインスタンスを最大5つサポートします。
(6)初期ブート時に60GBが必要です。VM-シリーズはライセンスアクティベーション後に32 GBを使用します。
PAシリーズでは、設置環境に応じた柔軟な導入構成が可能です。
TAPモード
- Span ポートへの接続
- インライン設置を必要とせず、アプリケーションの可視化を提供
Vwire、L2モード
- 既存のファイアウォールの後方への透過的な設置
- ネットワークの変更を必要とせず、アプリケーションの可視化とコントロールを提供
L3モード
- 既存のファイアウォールの置き換え
- アプリケーションと「ネットワークの可視化とコントロール」、統合化されたポリシー、 ハイ パフォーマンスを提供
