Palo Alto Panora 11.2 Virtual Appliance for ESXi, KVM - Palo Alto Networks 防火墙统一管理
Panorama Firewall Management - Palo Alto Networks
请访问原文链接:https://sysin.org/blog/panorama-11/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Panorama
利用 Panorama 自信而有效地管理网络安全
通过跨不同基础架构和云的集中式防火墙管理简化网络安全监督。
管理所有防火墙和安全工具
大多数防火墙违规是由防火墙配置错误引起的。Panorama™ 监控、配置和自动化安全管理。
- 统一策略管理
- 集中可见性
- 自动威胁响应
- 简化配置
- 无与伦比的可扩展性
在整个网络中保持防火墙规则一致
Panorama 使用用于防火墙、威胁预防、URL 过滤、应用程序感知、用户识别、沙箱、文件阻止、访问控制和数据过滤的单一安全规则库来管理网络安全。动态更新可简化管理并改善您的安全状况。
了解流量和可操作的见解
Panorama 提供了应用程序、URL、威胁、数据文件和穿越 Palo Alto Networks 防火墙的模式的交互式图形视图 (sysin)。现在,您可以轻松地可视化网络活动、威胁活动和被阻止的活动,并创建当前和历史数据的自定义视图。
识别受感染的主机并发现恶意行为
Panorama 中的自动关联引擎减少了数据混乱,因此您可以更快地识别受感染的主机并发现恶意行为,从而减少网络中关键威胁的停留时间。
优化防火墙配置并减少错误
Panorama 可帮助您使用分层设备组、动态地址和用户组、基于角色的访问控制和策略标签来组织防火墙管理 (sysin)。预配置模板缩短了创建新规则集所需的时间。
随着组织的发展扩展安全管理
随着您的防火墙部署的增长,Panorama 可以轻松扩展 - 一对高可用性设备可以管理多达 5,000 个虚拟、容器和物理 Palo Alto Networks 防火墙。迁移到集中管理的网络使向网络中添加新防火墙变得更加容易。
新增功能
以下内容介绍了 PAN-OS 11.x 中引入的 Panorama 新功能。
私有端点上的自定义 AI 模型安全防护
2025 年 8 月 在 PAN-OS 11.2.8 中引入
你可以将 AI 安全检测能力扩展到托管在私有管理端点上的 LLM,或扩展到输入/输出架构并非公开已知的模型。通过在 AI 安全配置文件 中启用该支持,所有匹配安全策略规则的流量都会被转发至 AI 云服务进行威胁检测 (sysin),无论该模型是众所周知的公共服务,还是自定义构建的私有模型。这可为整个 AI 生态系统提供全面的安全防护。
新的 AI 安全配置文件可对通过 Prisma AIRS:Network Intercept、并由 Strata Cloud Manager 或 Panorama 管理的 AI 应用与 LLM 模型之间的 AI 流量进行检测与防护。该配置文件可防御提示注入(Prompt Injection)和敏感数据泄露等威胁。
Panorama AI 安全日志增强
2025 年 8 月 在 PAN-OS 11.2.8 中引入
通过新增的 AI 安全报告,你可以获得对 AI 专属威胁的更高可见性,该报告会显示由 Prisma AIRS Network Intercept 转发的完整 AI 安全威胁日志。这使你能够更清晰地了解基于 AI 安全配置文件所检测到的 AI 模型防护、AI 应用防护以及 AI 数据防护相关威胁。
在配置日志转发配置文件或构建自定义报表时,你还可以按 ai-security 威胁类型过滤日志,从而实现更有针对性的分析,并简化 AI 专属威胁的安全运营流程。
Panorama 中的 Prisma AIRS AI Runtime 支持
2024 年 12 月 在 PAN-OS 11.2.5 中引入
PAN-OS 11.2.5 在 Panorama 中引入了 Prisma AIRS AI Runtime:Network Intercept 的部署与管理支持 (sysin),进一步增强了你对 AI 应用、AI 模型和 AI 数据的防护能力。
主要功能包括:
- AI 安全配置文件:直接在 Panorama 中创建和管理 AI 安全配置文件,为你的云网络架构配置特定的防护策略。
- 流量对象:定义包含特定云资产的流量对象,并将其映射到区域,以对 AI 流量强制执行安全策略规则 (sysin)。
- AI 安全日志:在“监控 > 威胁”中查看由 Prisma AIRS AI Runtime:Network Intercept 防火墙生成并转发到 Panorama 的日志。AI 安全威胁日志的类型标识为 ai-security。
Zero Touch Provisioning(ZTP)接入增强
2024 年 5 月 在 PAN-OS 11.2 中引入
Zero Touch Provisioning(ZTP) 通过最大限度减少将设备接入网络所需的人工管理干预,简化了 NGFW 的初始部署流程。然而,在防火墙成功连接到 Panorama® 管理服务器后,管理员通常仍需要手动激活相关许可证并推送内容更新。
PAN-OS 11.2.0 对 ZTP 体验进行了增强,实现了这些关键连接后步骤的自动化。当你将 ZTP NGFW 添加到 Panorama 时,安全管理员现在可以在初始配置阶段添加 NGFW 授权码。这样一来,Panorama 就能在设备首次连接时自动为 ZTP NGFW 激活所需的许可证。
此外,安全管理员还可以将 Panorama 配置为在 NGFW 通过 ZTP 插件生成的模板堆栈成功接入时 (sysin),立即推送最新已下载的动态内容更新。在成功连接到 Panorama 后,Panorama 会自动激活与授权码关联的许可证,推送最新的预定义设备组和模板堆栈配置,并安装最新下载的动态内容版本。这些自动化能力大幅降低了大规模 NGFW 部署的管理负担,并确保每一台新接入的 NGFW 都能立即保持合规且处于最新状态。
启用或禁用选择性推送
2025 年 12 月 在 PAN-OS 11.1.13 中引入
选择性推送(Push Changes Made By)由于只推送由特定管理员修改的配置而更加高效,但某些环境可能对配置一致性有极高要求,因此需要执行完整推送(Push All Changes)。为了强制保持一致性并获得对部署的明确控制,你可以手动 启用或禁用选择性推送。
禁用选择性推送的指南:
- Panorama 默认启用选择性推送。禁用后,管理员将无法只推送其各自的修改,从而确保每次都执行完整配置推送。
- 启用选择性推送并不会限制你在需要时手动执行完整推送。
- 如果你明确要求每次部署或推送都必须执行完整配置推送,可以禁用选择性推送。
- 你可以通过 Panorama Web 界面或命令行界面(CLI)来监控和配置选择性推送的状态。
修改选择性推送状态的要求:
- 当本地 Commit 正在进行,或存在待处理的 Commit and Push 时,无法启用或禁用选择性推送。最佳实践是在维护窗口期间或没有管理员使用 Panorama 时进行该操作。
- 如果已配置 HA,在故障切换期间,选择性推送会在被动 Panorama 上自动启用或禁用。因此,如果被动 Panorama 无法访问或无响应,你将无法在主动设备上启用或禁用选择性推送 (sysin)。
- 如果存在活动的、基于管理员的计划配置推送任务,则无法禁用选择性推送。
Panorama 虚拟设备的设备管理容量提升
2023 年 11 月 在 PAN-OS 11.1.0 中引入
为减轻管理大规模防火墙部署配置的运维负担,Panorama 虚拟设备在 仅管理模式(Management Only) 下现已支持管理多达 5,000 台 Palo Alto Networks 下一代防火墙(NGFW)。
要使用单台 Panorama 虚拟设备管理最多 5,000 台下一代防火墙,你必须将 Panorama 虚拟设备部署在受支持的私有或公有虚拟化平台上,并为其分配支持大规模设备管理所需的最低虚拟资源。
新的模板变量
2023 年 11 月 在 PAN-OS 11.1.0 中引入
模板和模板堆栈变量 允许你通过将模板配置对象替换为针对一个或多个设备的变量值,更轻松地复用模板或模板堆栈。这使你在保留设备特定配置值的同时,减少需要管理的模板和模板堆栈数量。
你现在可以在 Panorama® 管理服务器上的受管防火墙配置中,使用模板和模板堆栈变量来替换以下内容:
- Hostname —— 分配给连接到网络的设备的标签或可读名称
- IPv4 Subnet —— IPv4 地址的子网,例如:255.255.254.0
- IPv6 Subnet —— IPv6 地址的子网,例如:201:db8:3:4:6:7:8:f
- Pre Shared Key —— 配置 VPN 隧道时用于身份验证的安全密钥,最多支持 255 个 ASCII 或非 ASCII 字符
下载地址
Palo Alto Networks Panorama 11.2 for ESXi
Palo Alto Networks Panorama 11.2 for KVM
