Palo Alto Networks 特徴・構成例
便利なビジネスアプリケーションを安全に利用しましょう
昨今、便利なビジネスアプリケーションが増えてきましたが、それに伴いそれらのアプリケーションを狙う攻撃も増えてきました。Palo Alto Networks社が開発した3つのコアテクノロジApp-ID、User-ID、Content-IDは従来のプロトコル、ポート番号でのアクセス制御に加え、アプリケーション制御、ポリシー制御により、アプリケーション、ユーザ、およびコンテンツの安全な運用を可能にします。
アプリケーションの可視化 ( App-ID )
従来型ファイアウォールにおけるトラフィック分類手段は一般的にポートとプロトコルが利用されますが、現在のアプリケーションへの対応にはいささか不足しています。Palo
Alto
Networks次世代ファイアウォールでは、ネットワーク上に流れるアプリケーションの正確な身元をデバイスが即座に特定できる複数の分類メカニズムをトラフィックストリームに対して適用するApp-ID
(特許出願中)
を利用してポートやプロトコルにとらわれない新しい分類手段を取っています。
詳しくはこちら
詳しくはこちら
ユーザの可視化・制御 ( User-ID )
Palo Alto Networks次世代ファイアウォールはMicrosoft Active
Directory、Open
LDAPなど主要なディレクトリサービスとシームレスに統合できるUser-IDにより、エンドユーザにとって完全に透過的なポリシーを適用することができます。
また、App-IDで識別したアプリケーションとユーザー情報を紐付け、誰がどのアプリケーションやコンテンツを使っているか見ることが可能となり、従業員や部門ID毎に、アプリケーションやコンテンツの監視と制御を行うことが可能です。
詳しくはこちら
また、App-IDで識別したアプリケーションとユーザー情報を紐付け、誰がどのアプリケーションやコンテンツを使っているか見ることが可能となり、従業員や部門ID毎に、アプリケーションやコンテンツの監視と制御を行うことが可能です。
詳しくはこちら
脅威防御 ( Content-ID )
Content-IDは、IPS (オプション)、ファイル検査、URLフィルタ
(オプション)を利用し、ポリシー制御による柔軟なWeb利用の運用及び、コンテンツの可視化、制御が可能です。
詳しくはこちら
詳しくはこちら
高速処理を実現するアーキテクチャ
無駄を極力排除した、ソフトウェアアーキテクチャ
Single Pass Software (シングルパス方式)
全ての機能が一つのエンジンで処理統合されたシグネチャをストリームベースでリアルタイムに処理(Proxyしない)
キャリアルータの設計思想を持つ、ハードウェア アーキテクチャ
Parallel Processing Hardware
制御プレーン(マネジメント)と、データ転送 プレーン(トラフィック処理)が 独立したCPUで処理データ転送プレーンの中も3層構造に分かれており、それぞれ異なる処理を行うチップで並列処理
※PA-500, PA-200を除く
導入構成例
優れたGUI
おもな機能
ネットワーク機能
BGP、OSPF、RIP v2完全透過型のバーチャル ワイヤ (レイヤ1) モード
レイヤ2 / レイヤ3モード
ポリシーベースフォワーディング
VPN
IPsec VPN (サイト間)SSL VPN (リモートアクセス)
QoS
最大 / 保証帯域と優先制御ユーザ、アプリ、インタフェース、Zoneなど
リアルタイム帯域モニタ
Zoneベースアーキテクチャ
すべてのインタフェースをZoneにアサインしてポリシー制御冗長構成
アクティブ/アクティブアクティブ/パッシブ
設定およびセッション同期
パス、リンク、HAリンクの監視
バーチャルシステム
1デバイスで複数のセキュリティドメインを構築可能 (一部モデルをのぞく)管理
充実したレポート機能ログ作成機能
セッション追跡ツール