Palo Alto PAN-OS 12.1 Orion 发布 - 请访基于机器学习的下一代防火墙操作系统
PAN-OS 12.1 Orion delivers industry firsts including quantum readiness, unified multi-cloud protection, and more.
请访问原文链接:https://sysin.org/blog/pan-os-12/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
PAN-OS 12.1 Orion
量子安全。AI 驱动。面向每一个云环境。
在跨云环境中无畏创新,凭借始终领先一步的安全能力。
体验 PAN-OS 12.1 Orion 带来的未来安全。
这不仅仅是一次网络安全升级,而是对整个环境安全方式的根本性转变。借助 Orion,您将获得所需的智能与敏捷性,以应对当前和未来最关键的挑战。
新增功能
内容检查功能 (2)
✅ DNS 安全日志类型
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
DNS 安全现在支持专门针对 DNS 安全事件的新日志类型,增强了对良性和恶意 DNS 流量的可见性和报告能力,同时提供全面的 DNS 事务详细信息,包括查询和响应信息。以前,DNS 安全日志仅针对被定义为 DNS 威胁类别的 DNS 流量生成,并归档在威胁日志类型下。通过新的 DNS 安全日志类型,您可以配置防火墙生成针对良性 DNS 查询的日志。此外,日志可以转发到外部日志系统,包括 Palo Alto Networks Strata Logging Service,并可通过日志查看器和仪表板访问。
更新后的 DNS 安全日志还提供了全面的 DNS 事务详细信息,包括会话 ID、接收时间、源和目的信息、DNS 类别、威胁名称、严重性和采取的动作等关键字段。还提供详细的 DNS 响应数据,包括标志、查询名称、记录类型、解析的 IP 地址和 TTL 值。这种全面的日志记录使您能够识别被入侵的终端,评估对其他客户端的潜在风险,并在安全事件期间进行 DNS 活动的回溯分析。启用后,您可以捕获所有 DNS 流量日志,从而实现更准确的分析,提高检测、调查和响应基于 DNS 的威胁的能力,并增强事件响应能力。
✅ 支持 Brotli 解压
2025 年 8 月 - 在 PAN-OS 12.1.2 中为防火墙增加 Web 界面和其他平台支持
用于多种 Palo Alto Networks 平台的基于内容威胁检测 (CTD) 引擎现在支持 Brotli 解压,以改善对 HTTP 内容的分析和威胁检测。Brotli 是一种高效数据压缩格式,由 Google 为 HTTP Web 应用和内容开发,具有广泛支持。Palo Alto Networks 的安全订阅服务,如高级威胁防护、Advanced WildFire、高级 URL 过滤等,依赖 CTD 引擎进行流量检查。通过新增 Brotli 解码器,之前被丢弃或作为不受支持的内容编码类型通过网络的流量现在可以被处理,并可供各种 Palo Alto Networks 内容检查功能检查。这包括但不限于 Precision AI™ 优化功能,如 Advanced WildFire: Inline Cloud Analysis、Advanced Threat Prevention: Inline Cloud Analysis、Advanced URL Filtering 的 Inline 深度学习分析;也包括由已配置并启用的安全策略处理的任何 HTTP 流量负载。这提供了更广泛的流量可见性,并帮助防御利用 Brotli 压缩绕过传统安全机制的攻击者。启用时,该基于软件的 Brotli 库集成到现有内容解码框架中。由于预期的流量检查增加,防火墙需要额外资源来启用此功能,因此仅在特定平台上可用。
管理功能 (7)
✅ 通过遥测自动启用加速洞察和增强安全性
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
Palo Alto Networks 设备的遥测自动启用简化了遥测的激活和配置,消除了复杂的工作流程和手动设置。该功能确保在设备上线时,遥测会自动启用并配置为将数据流向由您的位置或现有配置确定的正确数据驻留区域。
Strata Cloud Manager 或中心现在管理遥测设置,而不是单个 Panorama 或防火墙设备。这些服务存储租户服务组 (TSG) 内所有设备的信息,简化并自动化遥测配置。此方法消除了操作障碍,使遥测的全部优势得以充分利用,同时保持对数据共享偏好的控制。
一致的遥测数据流提供增强的安全性、更快的安全响应,并通过关键威胁洞察访问高级功能。遥测自动启用确保设备发送有价值的诊断和使用信息,大幅提升支持案例解决速度,并提供性能、使用情况和潜在问题的实时洞察。
您可以在 TSG 级别管理遥测设置,包括通过中心界面或 Strata Cloud Manager 将遥测层级从 “完整” 更改为 “诊断”。这种分层方法确保您可以选择共享信息的级别,同时遵守数据隐私要求。此外,所有遥测配置更改都会被记录以便审计,有助于合规性和安全策略遵循。
✅ 量子密钥分发
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
量子密钥分发 (QKD) 支持使防火墙能够使用量子安全加密进行 IPsec VPN 连接。该功能实现 ETSI GS QKD 014 标准,可与 Toshiba 和 ID Quantique 的外部 QKD 设备互操作。QKD 解决了 IKEv2(用于建立和管理 IPsec VPN 的协议)中的漏洞,例如 “Harvest Now, Decrypt Later” 攻击。密钥管理实体 (KME) 管理由 QKD 生成的密钥(也称量子生成密钥)分发到安全应用实体 (SAEs),即您的防火墙。您可以通过防火墙管理界面上的 QKD 配置文件配置 KME URL、认证方法和其他参数。该解决方案适用于政府、金融服务、医疗等处理敏感数据或需满足特定安全法规的组织。QKD 支持帮助您的网络为潜在的量子威胁做好准备,同时保持与现有 VPN 设置的兼容性。
✅ 安全性增强
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PAN-OS 安全性通过完整性测量架构 (IMA) 得到增强,以防御复杂攻击并在进程被入侵时减少影响。这些安全机制协同工作,限制攻击者在利用 PAN-OS 漏洞时的操作能力,防止其横向移动或篡改关键系统文件和日志。
IMA 仅允许执行由 Palo Alto Networks 加密签名的二进制文件和程序。这阻止攻击者投放的恶意软件执行,并阻止修改现有 PAN-OS 二进制文件的尝试,有效将安全启动和硬件信任根扩展到运行时环境。当 IMA 检测到违规尝试时,会记录关键严重性警报以供调查。
您可以通过 CLI 监控系统日志中的 IMA 违规情况。当这些安全机制检测到违规行为时,PAN-OS 可配置为继续运行(收集日志和警报用于调查)或重启进入维护模式以干扰攻击者并促进更彻底的调查。
IMA 安全增强与其他 PAN-OS 安全功能协同工作,包括更新的开源软件组件、改进的加密库、基于 TPM 的安全启动、硬件信任根(Gen 4 及更高硬件)、启动时和定期软件完整性检查。这些机制共同创建多层防御,显著提高 PAN-OS 设备对复杂攻击的安全防护能力。
✅ 设备安全设置
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
系统级安全违规可能表明防火墙已被攻击者入侵,设备安全设置功能帮助您通过定义防火墙在违规发生时的响应方式,将潜在损害降至最低。当 IMA 检测到防火墙安全违规尝试时,您可以配置系统继续正常运行或自动进入维护模式以限制潜在损害。您的配置更改将以高严重性记录,维护安全策略修改的审计轨迹。
作为网络安全管理员,您可使用此功能在 PAN-OS 遭遇系统级安全违规时保护环境。默认情况下,防火墙在违规发生时继续运行,但您可以选择配置为进入维护模式,这有助于通过限制系统功能来控制安全漏洞,直到您进行调查和修复。
在防火墙发生安全违规尝试时,您可以启动内部事件响应 (IR) 或取证流程进一步调查。该功能提供对安全态势的更大控制,并帮助在检测到潜在安全入侵时实施适当的事件响应措施。
✅ 插件捆绑
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
新的插件捆绑功能根本性改变了升级流程,通过自动化插件管理提升效率。以前,您必须手动比较并下载插件,以确保其与 PAN-OS 版本兼容。这一过程容易出错,可能导致网络中断和数据丢失,例如覆盖 VPN 预共享密钥。
通过将兼容插件直接捆绑到基础镜像中,此功能消除了版本不匹配风险并保留您的配置。升级时,系统会自动下载正确的插件版本,无需手动操作,确保无缝且无冲突的更新。
插件界面现在提供管理所有捆绑插件的单一位置。界面显示并排序插件,便于轻松安装所需插件。如拥有必要许可,可在独立的专用区域管理云服务。
✅ 升级检查
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
升级检查功能为独立防火墙、Panorama 设备及 Panorama 管理防火墙引入报告生成,帮助准备设备升级,同时提供升级后系统的全面可见性。您现在可以生成升级检查报告,包括关键和信息性检查,以识别设备潜在问题,如磁盘空间、证书到期、内存使用、许可验证等。升级后,可生成对比报告验证功能或协助故障排查。该功能对大规模部署尤其有用,提高多设备升级准备可见性,减少升级失败,并最小化停机时间。
✅ 基于蜂窝网络的零触自动配置
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
通过蜂窝网络进行零触自动配置 (ZTP) 支持在远程位置自动部署和配置由 Panorama 管理的 NGFW,即使在连接受限或缺乏传统有线连接的环境下也可使用蜂窝接口。扩展的蜂窝支持使 ZTP 可适应多种连接场景,包括仅蜂窝、仅以太网或两者结合,为各种网络环境提供灵活性。此功能与现有 Panorama 管理服务器工作流集成,保持一致的管理体验,确保高效部署,无需现场 IT 干预。ZTP 上线可简化远程 NGFW 部署,降低运营成本,快速保障远程站点安全。蜂窝 ZTP 对分布式网络、零售网点或临时站点等组织尤其有价值,可支持当前和未来的 5G 平台,确保长期价值与适应性。
网络功能 (6)
✅ 带条件检查的 DNS 重写
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
您现在可以配置 DNS 重写条件,根据 DNS 客户端特性控制何时进行 DNS 地址转换。此增强功能允许您指定仅在 DNS 客户端匹配 NAT 规则中配置的特定源区域或源地址时才修改 DNS 响应。启用 DNS 重写条件后,防火墙在执行 DNS 响应的地址转换前,会评估请求解析的 DNS 客户端是否符合配置标准。
当某些 DNS 客户端需要不同解析行为时,可使用此功能。例如,内部用户应收到某些服务的翻译地址,而外部或访客用户应收到原始地址,可配置 DNS 重写条件仅应用于指定内部区域流量。这样可精细控制哪些客户端接收修改后的 DNS 响应,而非对所有请求特定地址解析的客户端全局应用 DNS 重写。
该功能支持正向匹配(仅当客户端匹配 NAT 规则的源区域和地址时进行 DNS 重写)和反向匹配(通过排除列表,指定某些源区域或 IP 范围不进行 DNS 重写)。
配置条件后,防火墙仍执行原有 DNS 重写映射查找流程,但增加额外验证步骤,以确认请求 DNS 客户端符合指定条件。若客户端不匹配,则跳过该请求的 DNS 重写,同时继续处理可能适用于其他客户端的 DNS 重写规则。
✅ 通过蜂窝接口的 GRE 隧道
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PAN-OS 蜂窝接口上的 GRE 支持允许在下一代防火墙上通过蜂窝连接建立 GRE 隧道。该功能支持动态 IP 地址的 GRE 隧道配置,可用于隧道端点和流量的 IPv4。可用于安全连接远程 IoT 设备(如视频摄像头和传感器)至移动核心网络。
通过蜂窝接口的 GRE 隧道对于大型服务提供商扩展路由基础设施同时降低运营成本尤为有用。通过支持动态地址,可适应 IP 地址可能变化的场景,提供移动和蜂窝环境下的灵活性。此 GRE over Cellular 解决方案允许在无传统以太网连接的地点部署 NGFW,适用于政府、工业及远程站点,确保蜂窝网络的安全可靠通信。
✅ PA-5450 防火墙支持安全 Web 网关
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
针对总部、大型企业和数据中心等高性能环境,PAN-OS 12.1 通过支持 PA-5450 防火墙解决高流量代理的挑战。此增强功能利用 PA-5450 的多 CPU 机箱显著提升性能和可扩展性,确保需要代理解决方案的用户能够享受安全 Web 网关 (SWG) 的增强功能。
✅ IPv6 地理位置支持
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入。以下内存小于 9GB 的平台不支持 IPv6 地理位置:硬件 NGFW:PA-410、PA-410R、PA-410R-5G、PA-415 和 PA-415-5G;VM 系列:Software NGFW Credits 和内存小于 9GB 的 VM 系列型号(如 VM-100、VM-50 等)
IPv6 支持的 IP 地理位置补充了现有 IPv4 的国家级安全、解密和 DoS 防护策略支持,在双栈和仅 IPv6 环境中使用现有安全策略规则和单一全局开关,实现可见性与控制。此统一方法简化策略管理,确保 IPv4 与 IPv6 网络上的安全执行一致,适应 ISP 和大型企业的 IPv6 采用,以及需逐步淘汰 IPv4 的客户。
为确保地理位置数据最新,Palo Alto Networks 提供定期更新的全球内容文件,包括 IPv4/IPv6 到国家映射数据库,用于确定特定 IP 空间的归属。IPv6 地址的 IP 到地理位置映射支持与 IPv4 相同的粒度和覆盖范围,确保两种地址类型的策略一致性。您也可自定义映射,指定 IPv6 地址范围对应区域,这些映射优先于默认映射,可用于微调安全策略。
此外,IPv6 对 IP 地理位置的支持可与现有 Palo Alto Networks 日志和监控工具无缝集成。IPv6 流量的源和目的国家将在日志中显示,您可以按源或目的国家筛选日志以包含 IPv6 流量。所有显示源或目的国家信息的 ACC 小部件现在也计入 IPv6 流量。
✅ ICMPv6 的增强应用日志
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PAN-OS 使用深度包检测 (DPI) 从 ICMPv6 邻居发现协议 (NDP) 包生成增强应用日志 (EAL)。通过 ICMPv6 EAL,设备安全功能可以了解设备及其属性,并支持 IPv6 部署的高级设备 ID。Cortex XDR 也可以使用来自 PAN-OS 的 ICMPv6 EAL。
ICMPv6 NDP 的 EAL 默认启用。为防止 ICMPv6 部署造成日志泛滥,可通过 CLI 禁用 ICMPv6 EAL。禁用 EAL 后,需要提交设备配置以生效:
set deviceconfig setting logging enhanced-application-logging disable-global icmpv6-ndp
若禁用后需重新启用 EAL,可通过 CLI 操作,并提交配置以生效:
delete deviceconfig setting logging enhanced-application-logging disable-global icmpv6-ndp
✅ 增强的数据包捕获,支持范围过滤
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
现在可在自定义数据包捕获 (PCAP) 中使用范围过滤器。范围过滤器解决在未知确切源 IP、端口和协议时排查批量流量问题的挑战。设置捕获过滤器时,可为 IP 地址、端口和协议设置以连字符分隔的值范围,可设置源 / 目的 IP 子网或特定 IP 范围,也可设置源 / 目的端口和协议范围,并可混合单值与范围过滤。下一代防火墙将捕获落在定义范围内(含边界值)的数据包,并送达数据平面。
Panorama 功能 (2)
✅ 日志收集器扩展优化
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
为解决大规模日志收集环境的性能瓶颈,日志收集器优化了主节点选择流程。日志收集器扩展允许显式选择主节点候选。每个收集器组最多选择四个日志收集器以获得最佳性能。
此前,收集器组内所有日志收集器均可成为主节点。主节点故障时,系统动态选举新主节点。该选举过程涉及多个节点间持续通信,产生大量开销,尤其在大型部署中。通过减少潜在主节点数量,可实现更高日志速率。
日志收集器扩展支持所有平台,可显著提升日志速率。在使用最多 16 台 M-700 设备的收集器组中,日志摄取速率可扩展至每秒超过 100 万条 (lps)。该扩展目前仅在 M-700 平台支持。
可根据硬件容量、网络弹性或地理分布等策略标准,将特定日志收集器指定为主节点候选,以优化日志架构。可通过 Panorama Web 界面或 CLI 配置主节点候选。实施时应选择硬件规格最佳、网络连接稳定、地理分布合理的节点,确保性能和可用性。此方法在故障切换场景下提供更可预测行为,并提高收集器组资源使用效率,构建高性能且弹性的日志基础设施。
✅ 增强共享优化
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
增强共享优化显著提升 Panorama 向多虚拟系统防火墙推送配置的效率,解决对象重复、内存耗尽和提交失败等关键问题。
该功能引入全优化模式,可将所有防火墙对象移入防火墙共享位置,包括以前排除的对象,如外部动态列表 (EDL)、自定义 URL 类别及各种安全配置文件(防病毒、反间谍、URL 过滤和 HIP 对象)。消除各虚拟系统间对象复制,显著减少典型部署的配置大小,并防止因超出对象限制导致的提交失败。
该增强功能简化管理、提升可扩展性,防止部署时触及对象限制。
证书管理功能 (1)
✅ PAN-OS 系统证书
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
防火墙 Web 界面现在在 Device → Certificate Management → Certificates → PAN-OS System Certificates 显示所有内部 Palo Alto Networks 证书列表。这些证书用于保护 Palo Alto Networks 产品与服务之间的连接。在此标签页中,您可以查看证书详细信息、检查到期日期,并跟踪 PAN-OS 系统证书的整体状态。
解密功能 (2)
✅ 全面的解密日志字段与错误信息
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
Orion 对解密日志进行了多项增强,以改善故障排查和日志条目分析。
首先,解密日志字段现在区分客户端会话(客户端与防火墙之间流量)和服务器会话(防火墙与服务器之间流量),反映 SSL 正向代理和 SSL 入站检查中 NGFW 作为客户端与服务器之间代理的情况。相关字段前缀为 “client” 或 “server”,而适用于整个会话的字段(如 Session ID)不加前缀。这种区分有助于精确理解代理连接的各阶段情况,便于定位故障排查。例如,若会话失败,可观察客户端和服务器端同一字段的值差异。
其次,新字段提供解密状态、解密排除原因及基于 OCSP 和 CRL 检查的证书撤销状态信息。例如,Decryption Status 记录会话是否解密及其失败或设计原因。此信息有助于集中资源与重点处理。
最后,现有错误信息被简化,并新增错误信息,帮助您优先处理解密日志错误。
所有解密日志增强默认启用于具备解密日志功能的所有平台。新增字段和错误信息不会影响现有日志过滤器和报告。
- 若将解密日志导出为 CSV 格式,客户端字段和新增字段遵循现有字段顺序。
- 错误信息更新和新增字段会增加解密日志包大小,但不影响内存或 CPU 使用。
✅ TLSv1.3 解密的后量子密码学 (PQC) 支持
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
Orion 增加了使用后量子 (PQ) 密钥封装机制 (KEMs) 建立 TLSv1.3 会话的支持,适用于 SSL 正向代理、SSL 入站检查、解密镜像和网络数据包代理。Palo Alto Networks NGFW 现在可作为密码翻译代理,在尚未支持后量子的应用中实现 PQC 与传统加密方法的转换。此功能保护组织免受未来量子计算威胁影响,同时与尚未采用 PQC 的现有系统保持兼容。
您可指定用于保护 SSL/TLS 会话的 PQC 密钥交换算法,以及这些算法在客户端、服务器端或双方连接中的适用。例如,可在用户与 NGFW 之间使用量子安全加密,而 NGFW 与应用之间使用传统加密。PQC 选项仅在 TLSv1.3 支持解密时可用。
您可以选择由美国国家标准与技术研究院 (NIST) 标准化的 PQC 选项或实验性选项。PQC - 标准选项支持 ML-KEM,PQC - 实验选项支持 HQC、Bike 和 Frodo-KEM。若客户端和服务器均不支持 PQC,系统将自动回退至传统加密算法。
设备安全功能 (1)
✅ 高级 Device-ID
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
高级 Device-ID 在现有 Device-ID 基础上增强了设备分组功能,使策略建议的设备分组更加精细和准确。通过高级 Device-ID,您可以创建复杂的 Device-ID 对象,定义匹配条件,使用多个资产类别和属性。匹配条件可用于匹配特定资产类型、操作系统和设备类别,甚至可以基于风险和其他因素排除特定设备。
使用高级 Device-ID,您可以创建更有针对性的安全策略规则,从而提升网络整体安全性。例如,可以为所有 IoT 资产定义策略规则,同时排除部分预定义资产,或为尚无设备安全判定的资产创建规则。该功能还支持将多个 Device-ID 对象组合用于安全策略规则,有助于简化策略管理。
在医疗、制造及多样化资产生态的行业中,高级 Device-ID 提供更精确的资产访问控制和安全策略应用,帮助满足合规要求并降低安全风险。通过对安全策略规则在各种资产上的应用采取更细致的方法,高级 Device-ID 可在确保网络安全的同时保持运营效率。
高级 Device-ID 提供三种操作模式:传统模式、混合模式和高级模式。这些模式允许从现有 Device-ID 实现平滑过渡到新功能。在混合模式下,可以同时使用传统和高级 Device-ID 对象,保证向后兼容,并确保安全策略规则继续生效,同时可探索新功能。高级模式提供新功能的全部能力,使用 Device Security 学习的资产属性实现更精准的资产定位。
SD-WAN 功能 (2)
✅ NGFW 与 Prisma SD-WAN 数据中心集成
2025 年 8 月 - 在 SD-WAN 3.4.0 和 PAN-OS 12.1.2 中引入,支持运行 PAN-OS 12.1.2 或更高版本的 Prisma SD-WAN 6.5.2 设备。
您现在可以将 Palo Alto Networks 下一代防火墙与 Prisma® SD-WAN 数据中心集成。此集成使分支 Prisma SD-WAN 设备能够连接到统一的数据中心平台,解决传统网络依赖独立安全和 SD-WAN 设备所导致的复杂性、不一致策略和对云需求适应能力有限的问题,从而改善用户体验和生产力。
通过 SD-WAN 功能,数据中心可与分支 Prisma SD-WAN 设备建立安全隧道,根据 SD-WAN 策略规则进行流量引导,同时提供先进的安全特性。
该集成数据中心解决方案具有以下优势:
- 在单一平台提供先进安全与 SD-WAN 功能。
- 结合 Prisma SD-WAN 的高级网络能力与 PAN-OS 强大安全特性,提供全面安全的 SD-WAN 解决方案。
- 确保分支与数据中心之间的连续连接,智能路由流量,优化性能,满足应用需求、网络条件和安全策略规则。
- 通过统一平台 Strata Cloud Manager 简化操作并提升整体效率。
集成 Palo Alto Networks NGFW 与 Prisma SD-WAN 数据中心需要以下许可:
- 下一代防火墙的高级 SD-WAN 许可
- Prisma SD-WAN 设备的 Prisma SD-WAN 分支订阅
此功能在 PA-5440 防火墙上支持。
✅ SD-WAN 中简化的 HA 设备配置
2025 年 8 月 - 在 SD-WAN 3.4.0 和 PAN-OS 12.1.2 中引入
在 SD-WAN 设备中添加高可用性 (HA) 设备时,现在可以同时添加其 HA 对端。该功能简化配置,使您可以从单一配置页面配置两台设备,确保主动和被动设备配置一致。系统会识别 HA 对端并显示设备名称,提示您为对端指定站点名称,两台设备将创建匹配配置。对于 HA 对的 SD-WAN 配置,除站点名称外必须完全一致。
在此增强之前,需要分别添加 HA 对中的每台设备,可能导致配置不匹配。系统虽会显示警告,但手动纠正容易出错。
通过此功能,对一台设备的配置更改会自动同步到其对端,保持设备间一致性。该功能在将设备加入 VPN 集群时尤其有用,因为 SD-WAN 需要 HA 对的配置一致,以确保故障切换时正常运行。
如果尝试单独配置 HA 设备,SD-WAN 插件将阻止操作,并指导您添加 HA 对。此安全措施及可视化指标可提示 HA 对间配置不匹配,有助于保持 SD-WAN 部署完整性并确保高可用环境下的故障切换功能。
身份验证功能 (1)
✅ Kerberos 保护应用的无密码身份验证
2025 年 8 月 - 在使用 PAN-OS 12.1.2 的以下平台引入:
PA-7500、PA-5450、PA-5400 系列、PA-3400、PA-1400、VM 系列
重复身份验证请求会中断工作流程,降低用户生产力。用户在成功认证后仍需多次登录,体验不佳。为简化认证流程、降低用户摩擦,可启用网络用户的无密码身份验证。
无密码身份验证使用防火墙代表已认证用户委派票据,用户仅需一次登录即可认证。认证成功后,在认证有效期内,可访问认证服务器管理的任何应用,无需重复登录。
密码是数据泄露的常见因素,攻击者不断寻找获取密码的新方法。许多企业应用仍依赖密码,无密码身份验证可减轻用户记忆和更新关键应用密码的负担,从而降低网络攻击面并提升整体安全性。
启用无密码身份验证后,用户只需登录一次即可认证,然后可在多个应用间轻松切换,无需立即重新认证。减少用户重复登录次数,有助于简化身份验证体验并提升网络安全。
虚拟化功能 (2)
✅ Google Cloud Platform (GCP) 上 VM 系列的安全启动支持
2025 年 8 月 - 在 GCP 上的 VM 系列防火墙中引入,PAN-OS 12.1.2 支持
Google Cloud Platform (GCP) 上的 VM 系列防火墙现已支持安全启动,为抵御低级威胁(如 rootkit 和 bootkit)提供额外保护。安全启动确保在启动过程中仅加载受信任的软件组件,防止恶意代码注入和未经授权的修改。此功能通过统一可扩展固件接口 (UEFI) 和加密签名建立可靠的信任链,维护 VM 系列实例的完整性和真实性。
安全启动支持仅适用于全新安装且 PAN-OS 版本为 12.1 或更高的 VM 系列。升级后的 VM 系列模型不会自动启用安全启动。降级时,必须在 GCP 控制台中禁用安全启动并重新启动实例,然后方可继续操作。
✅ 超大规模安全架构 (Hyperscale Security Fabric)
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
组织日益需要可扩展、弹性化和高可用的虚拟化防火墙。广泛的公有云和私有云基础设施需要动态扩展、高吞吐量保护和会话弹性,以保障业务连续性并适应组织的运营节奏。
超大规模安全架构 (HSF) 是一种创新解决方案,通过其 Gateway 节点和自动扩展的 DP 节点满足组织的可扩展性和性能需求。HSF 通过部署 AI-Gateway 作为固定容量的 NGFW,既执行流量检查,又为其后动态扩展的 DP 节点提供负载均衡,从而消除第三方外部负载均衡的需求。随着数据中心增长,您可以高效管理网络安全,并使用 4 个 AI-Gateway 实现约 100 Gbps 的高吞吐量,借助额外 AI-DP 实例可扩展至超过 200 Gbps(最多 6 个实例)。
HSF 支持以下功能:
- 会话弹性,可将会话故障转移至健康的防火墙实例。
- 基于会话利用率的自动扩展,可根据流量需求动态调整 AI-DP 实例数量。
- 通过 Panorama 插件进行简化和自动化部署。
- 支持滚动升级及回滚,确保维护期间的最小中断。
- 可视化与监控,将防火墙集群视为 Panorama 中的单一实体。
- 面向客户的 API 和 CLI,用于查询单个防火墙成员状态和性能指标。
企业数据防泄漏功能 (1)
✅ 细粒度数据配置文件
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
细粒度数据配置文件提升企业数据防泄漏 (E-DLP) 的检测能力,允许在同一安全策略规则中应用差异化的内容检查和响应动作。例如,可使用单个细粒度数据配置文件阻止高风险数据模式,同时对低风险模式发出警报,为不同数据配置文件设置不同日志严重性,并为每个数据配置文件指定特定文件类型。
细粒度数据配置文件通过将多条规则整合为单条灵活的安全策略规则,简化策略管理。此外,它们减少误报,使数据安全管理员能够采用更精细的数据保护策略,贴合组织风险管理策略,同时保持精简高效的安全策略规则库。
硬件功能 (3)
✅ PA-455R-5G 下一代防火墙
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PA-455R-5G 下一代防火墙 设计用于工业、商业和政府场景,支持 5G 蜂窝通信。防火墙采用安全坚固外壳,可在户外环境中安装,即使暴露于风、雨和高温等恶劣环境下也能安全运行。
PA-455R-5G 支持 PAN-OS 12.1.2 及更高版本。设备具有可安装 4x4 MIMO 天线的连接器和两个 nano (4FF) SIM 卡槽,可启用双运营商连接。I/O 面板包括两个 SFP/RJ-45 复合端口和六个 RJ-45 端口,提供 10/100/1000Mbps 网络速度。
PA-455R-5G 使用交流电供电,并提供四个专用 PoE 端口,总功率可达 180W。设备采用无风扇设计、防水布线,可安全安装在墙面或杆上。
✅ PA-500 系列下一代防火墙
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PA-500 系列防火墙 是 Palo Alto Networks 最新的 NGFW 系列,面向现代企业分支、零售及托管服务部署扩展功能。PA-500 系列包括 PA-510、PA-520、PA-540、PA-545-POE、PA-550、PA-555-POE 和 PA-560。设备运行 PAN-OS 12.1.2 及以上版本。
所有 PA-500 系列型号支持本地日志,提供多种 RJ-45、多速率 RJ-45、SFP 和 SFP+ 连接选项,威胁防护性能高达 6 Gbps。
- PA-510 配备 8 个 RJ-45 端口,威胁防护性能 1.2 Gbps;PA-520 配备 8 个 RJ-45 端口,性能 1.8 Gbps;PA-540 配备 8 个 RJ-45 端口和 2 个 SFP 接口,性能 2.2 Gbps。两者均配有重置按钮和电压监控。
- PA-545-POE、PA-550 和 PA-555-POE 增强了上述型号功能,提供不同组合的 SFP/SFP+ 端口、12 个 RJ-45 端口、关键网络的 fail-to-wire 功能,威胁吞吐量 3 至 6 Gbps。PA-560 扩展至 24 个端口,包括 16 个 RJ-45 和 8 个 SFP/SFP+ 接口。
- PA-545-POE 和 PA-555-POE 提供 PoE 功能,可为 IP 电话、摄像头和打印机等设备供电。PA-545-POE 四个端口总功率 181W,PA-555-POE 八个端口总功率 330W。
所有 PA-500 系列防火墙支持 ZTP(零接触配置),简化部署和初始化。可通过 CLI、Web、Panorama 和 Strata Cloud Manager 管理。通过 SSL 解密和高可用性等全面安全功能,为现代分布式网络架构提供强大、灵活的安全平台。
✅ PA-5500 系列下一代防火墙
2025 年 8 月 - 在 PAN-OS 12.1.2 中引入
PA-5500 系列 为企业数据中心和服务提供商环境提供高性能安全。该 3RU 固定配置防火墙采用最新处理器和 Palo Alto Networks 自研 FE400 ASIC,用于专用安全处理。
PA-5500 系列包括 PA-5540、PA-5550、PA-5560、PA-5570 和 PA-5580,支持 PAN-OS 12.1.2 及以上版本,并可使用 Panorama 或 Strata Cloud Manager 提升设备管理和运维效率。
PA-5500 系列采用 App-ID、User-ID 和 Content-ID 技术,实现精确流量控制、基于用户的策略执行和全面内容检查。CDSS 服务如高级威胁防护、高级 URL 过滤、高级 WildFire 和高级 DNS 安全提供多层次保护,对抗复杂攻击,确保关键资产安全。
PA-5500 系列威胁防护吞吐量为 90 至 300 Gbps,最大支持 9900 万会话,每秒连接速率高达 300 万次。提供灵活接口,包括多个 400 Gbps、100/40 Gbps 和 25/10 Gbps 接口,适应高带宽网络需求。
PA-5500 系列支持 NGFW 集群。
下载地址
想要开始学习和研究?
