Palo Alto Panorama 12.1 Virtual Appliance for ESXi, KVM - 管理所有防火墙和安全工具
Panorama Firewall Management - Palo Alto Networks
请访问原文链接:https://sysin.org/blog/panorama-12/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Panorama
利用 Panorama 自信而有效地管理网络安全
通过跨不同基础架构和云的集中式防火墙管理简化网络安全监督。
管理所有防火墙和安全工具
大多数防火墙违规是由防火墙配置错误引起的。Panorama™ 监控、配置和自动化安全管理。
- 统一策略管理
- 集中可见性
- 自动威胁响应
- 简化配置
- 无与伦比的可扩展性
在整个网络中保持防火墙规则一致
Panorama 使用用于防火墙、威胁预防、URL 过滤、应用程序感知、用户识别、沙箱、文件阻止、访问控制和数据过滤的单一安全规则库来管理网络安全。动态更新可简化管理并改善您的安全状况。
了解流量和可操作的见解
Panorama 提供了应用程序、URL、威胁、数据文件和穿越 Palo Alto Networks 防火墙的模式的交互式图形视图 (sysin)。现在,您可以轻松地可视化网络活动、威胁活动和被阻止的活动,并创建当前和历史数据的自定义视图。
识别受感染的主机并发现恶意行为
Panorama 中的自动关联引擎减少了数据混乱,因此您可以更快地识别受感染的主机并发现恶意行为,从而减少网络中关键威胁的停留时间。
优化防火墙配置并减少错误
Panorama 可帮助您使用分层设备组、动态地址和用户组、基于角色的访问控制和策略标签来组织防火墙管理 (sysin)。预配置模板缩短了创建新规则集所需的时间。
随着组织的发展扩展安全管理
随着您的防火墙部署的增长,Panorama 可以轻松扩展 - 一对高可用性设备可以管理多达 5,000 个虚拟、容器和物理 Palo Alto Networks 防火墙。迁移到集中管理的网络使向网络中添加新防火墙变得更加容易。
新增功能
以下内容介绍了 PAN-OS 12.1 中引入的 Panorama 新功能。
日志收集器扩展优化
2025 年 8 月 在 PAN-OS 12.1.2 中引入
PAN-OS® 12.1 引入了对 Log Collector Scaling 的支持。该功能允许你显式选择具备主节点资格的节点,以解决大规模日志收集环境中的性能瓶颈。此优化可提供更可预测的故障切换行为 (sysin),并在 Collector Group 中实现更高效的资源利用。
为获得最佳性能,建议在每个 Collector Group 中最多选择四个日志收集器作为主节点候选。此前,Collector Group 中的所有日志收集器都具备成为主节点的资格。当当前主节点发生故障时,系统会动态选举新的主节点。该选举过程需要大量节点之间持续通信,在大规模部署中会产生显著的系统开销。
该功能支持所有平台,可实现显著更高的日志写入速率。例如,在一个最多使用 16 台 M-700 设备的 Collector Group 中,日志摄取速率可扩展至每秒超过 100 万条日志(lps)。目前,这一级别的扩展能力仅支持 M-700 设备。
你可以根据硬件性能、网络可靠性或地理位置等战略性因素,将特定日志收集器指定为主节点候选。你可以通过 Panorama 的 Web 界面或命令行界面来配置主节点候选。
在实施该功能时,建议选择硬件规格更优、网络连接更稳定、地理位置更合理的节点,以确保最佳的性能与可用性。通过有策略地指定主节点候选,你可以构建一个在高负载条件下依然保持高性能和高可靠性的日志基础架构。
增强的 Shared 优化
2025 年 8 月 在 PAN-OS 12.1.2 中引入
Enhanced Shared Optimization 功能显著改进了 Panorama 向多 VSYS 防火墙推送配置的方式,解决了对象重复、内存耗尽以及提交失败等关键问题。
该功能引入了 Full 优化模式,允许你将所有防火墙对象移动到防火墙的 shared 位置中。这包括此前被排除的对象,例如外部动态列表(EDL)、自定义 URL 分类,以及多种安全配置文件(如防病毒、防间谍软件、URL 过滤和 HIP 对象)。这样可以消除在各个虚拟系统之间的对象复制,在典型部署中大幅减少配置体积 (sysin),并避免因超出对象数量限制而导致的提交失败。
该增强功能简化了管理流程,提高了可扩展性,并防止部署触及对象数量上限。
优化的全局查找与策略管理
2025 年 8 月 在 PAN-OS 12.1.2 中引入
Global Find 功能现已完成优化,在多个管理员同时操作系统时显著提升搜索响应速度,从而改善整体搜索体验。
启用优化搜索后,系统会基于管理员的使用模式优先搜索最相关的记录。新的基于使用情况的引用搜索会以批次方式返回结果,避免在高强度搜索时导致 GUI 卡顿。这在大型配置环境中可大幅缩短搜索时间 (sysin)。你还可以通过启用 Search UUIDs 和 Include Template References 选项,分别选择仅搜索 UUID 或模板引用。
在策略管理中,升级后默认会隐藏 Rule Usage、App Usage 列以及 Policy Optimizer。这样可以防止系统自动获取这些组件的数据,从而避免明显的性能下降。只有在你显式显示这些列时,系统才会获取相应数据。
为获得最佳性能,建议仅在需要时才显示 Rule Usage、App Usage 列和 Policy Optimizer。
通过 Panorama 编排高可用防火墙对升级
2025 年 8 月 在 PAN-OS 12.1.2 中引入
借助 High Availability(HA)Firewall Pair Upgrade Orchestration 功能,你可以简化并自动化 HA 防火墙对的升级过程。使用该功能后,Panorama 将为你编排整个升级流程,消除以往需要在每台设备上手动执行的大多数步骤。该功能会按照严谨且自动化的顺序智能地管理升级过程:
- 先升级被动(或 Active-Secondary)节点
- 自动重启被动节点
- 在被动节点重新上线并完成 HA 状态同步后,系统触发 HA 切换并升级另一台节点
系统会自动执行升级前检查,以验证环境是否已准备就绪 (sysin)。检查内容包括:确认两台防火墙均已连接到 Panorama、验证配置已同步、并确认 HA 链路处于正常状态。若检查通过,升级流程将自动开始。升级完成后,系统也会自动执行所需的重启操作,无需人工干预。如升级失败,则需要对失败的防火墙执行手动升级。
该功能支持在单个工作流任务中同时升级多达 200 对 HA 防火墙,并同时支持升级和降级操作,为防火墙软件版本管理提供了更高的灵活性。通过将原本的手动流程自动化和编排化,该功能可显著降低运维成本,并减少升级过程中人为错误的风险。
要使用该功能,Panorama 必须运行在 12.1.2 或更高版本,且 HA 防火墙必须运行 PAN-OS 10.2.0 或更高版本。
插件捆绑
2025 年 8 月 在 PAN-OS 12.1.2 中引入
全新的 Plugin Bundling 功能通过自动化插件管理,从根本上改变了升级流程。以往,你需要手动对比并下载插件,以确保它们与 PAN-OS 版本兼容。这一过程容易出错,可能导致网络中断或数据丢失,例如 VPN 预共享密钥被覆盖。
通过将兼容的插件直接捆绑到基础镜像中 (sysin),该功能消除了版本不匹配的风险,并能保留现有配置。在升级过程中,系统会自动下载正确版本的插件,你无需再手动下载,从而确保升级过程顺畅且无冲突。
插件界面现在提供了一个统一的位置来管理所有已捆绑的插件。该界面会显示并分类插件,方便你按需安装。如果你具备相应的许可证,还可以在单独的专用区域中管理 Cloud Services。
下载地址
Palo Alto Networks Panorama 12.1 for ESXi
Palo Alto Networks Panorama 12.1 for KVM
