PA-7000 Series Véritables outils redéfinissant la sécurité réseau haute performance, les pare-feu nouvelle génération de la série PA-7000 combinent parfaitement puissance, simplicité et intelligence. La puissance, qui résulte d’une architecture éprouvée, associe des logiciels ultra-efficaces à près de 700 processeurs dédiés à la gestion de réseau, à la sécurité, à l’inspection des contenus et à la gestion. Son intelligence optimise l’utilisation des ressources de traitement de la sécurité et s’adapte automatiquement en cas de hausse de puissance de calcul. Les pare-feu de la série PA-7000 sont simples de par leur approche mono-système de la gestion et des licences. Principales fonctions de sécurité : Classification de toutes les applications, sur tous les ports, à tout moment. • Identification de l’application, indépendamment du port, du chiffrement (SSL ou SSH) ou de la technique d’évasion. • Utilisation de l’application et non du port comme base de toutes les décisions stratégiques d’activation sécurisée : autoriser, refuser, planifier, inspecter ou prioriser le trafic. • Classification des applications non identifiées pour des contrôles stratégiques, l’analyse des menaces ou le développement App-ID™. Application de politiques de sécurité pour tous les utilisateurs, en tout lieu PA-7080 PA-7050 • Déploiement de politiques cohérentes aux utilisateurs locaux et distants des plateformes Windows®, Mac® OS X®, Linux®, Android® ou Apple® iOS. Capacités et performances1 Système Système NPC PA- PA-7000 PA-7080 PA-7050 7000 NPC-XM4 • Intégration sans agent à Microsoft® Active Directory® et Terminal Services, LDAP, Novell® eDirectory™ et Citrix®. Débit du pare-feu (App-ID activé) 200 Gbits/s 120 Gbits/s 20 Gbits/s 20 Gbits/s Débit prévention des menaces (DSRI activé2) 160 Gbits/s 100 Gbits/s 16 Gbits/s 16 Gbits/s Débit prévention des menaces 100 Gbits/s 60 Gbits/s 10 Gbits/s 10 Gbits/s VPN IPsec Débit 80 Gbits/s 48 Gbits/s 8 Gbits/s 8 Gbits/s Nombre max. sessions 80 000 000 48 000 000 4 000 000 8 000 000 • Intégration simple des politiques de pare-feu aux solutions de contrôle d’accès réseau (NAC), proxy et sans fil 802.1X, et à toute autre source d’informations sur l’identité de l’utilisateur. Prévention des menaces connues et inconnues • Blocage d’une grande variété de menaces connues, notamment l’exploitation de vulnérabilités, les logiciels malveillants et les logiciels espions, sur tous les ports, indépendamment des techniques d’évasion utilisées. Nouvelles sessions par seconde • Limitation des transferts non autorisés de fichiers et de données sensibles. Activation en toute sécurité de la navigation Web sans lien avec l’activité professionnelle. • Identification des logiciels malveillants inconnus, analyse sur la base de centaines de comportements malveillants et livraison automatique d’une protection. Palo Alto Networks | Fiche technique PA-7000 Systèmes virtuels (base/max3) 1 200 000 720 000 120 000 120 000 25/225* 25/225* – – Les capacités et performances sont mesurées en conditions de test idéales au moyen de PAN-OS® 7.1. 2 DSRI = Disable Server Response Inspection (Désactiver l’inspection de la réponse du serveur) 3 L’ajout de systèmes virtuels au nombre de base nécessite l’achat d’une licence séparée. 4 Carte de traitement réseau avec capacité de session améliorée. 1 1 Architecture des pare-feu de la série PA-7000 ◦ Le panneau arrière haute vitesse fonctionne à 1,2 Tbits/s, ce qui signifie que chaque carte de traitement réseau a accès à une capacité de trafic avoisinant 100 Gbits/s. Les performances peuvent donc parfaitement s’adapter à l’évolution des besoins. Les pare-feu de la série PA-7000 sont soutenus par une architecture évolutive dans le but expresse d’appliquer le type et le volume de puissance de traitement approprié aux principales tâches fonctionnelles que sont la gestion de réseau, la sécurité, l’inspection des contenu et la gestion. Le châssis des modèles de la série PA-7000 distribuent de ◦ Le sous-système de gestion fait office de point de contact façon intelligente les demandes de traitement informatique en matière dédié au contrôle de tous les aspects du PA-7000. de gestion de réseau, de sécurité, de prévention et de gestion des • Log Processing Card (carte de traitement des journaux - LPC) : Cette menaces sur trois sous-systèmes, chacun disposant d’une puissance carte est un sous-système dédié qui a été conçu pour exécuter une de calcul et d’une mémoire dédiée très importantes. tâche critique, la gestion du grand nombre de journaux générés par • Network Processing Card (carte de traitement réseau - NPC) : Cette le PA-7000. La carte LPC est propre au PA-7000. Elle utilise deux carte est dédiée à l’exécution de toutes les tâches de traitement de processeurs multicoeurs haut débit et un espace de stockage RAID 1 paquets, notamment la gestion de réseau, la classification du trafic de 2 To pour supprimer les activités liées à la journalisation sans et la prévention des menaces. Chaque carte NPC possède jusqu’à perturber les traitements nécessaires aux autres tâches de gestion 67 coeurs, tous étant affectés à une même tâche : protéger votre ou de traitement du trafic. La carte LPC vous permet de générer réseau à une vitesse pouvant atteindre 20 Gbits/s par carte NPC. des requêtes et des rapports sur le système à partir des derniers Il est aussi facile d’adapter le débit et la capacité à la valeur journaux collectés, ou de les transférer à un serveur syslog à des maximale de 200 Gbits/s sur le PA-7080 ou de 120 Gbits/s sur le fins d’archivage ou d’analyse complémentaire. PA-7050 que d’ajouter une nouvelle carte NPC et d’autoriser le système à déterminer comment utiliser au mieux cette puissance Le PA-7000 est géré en tant que système unique et unifié, ce qui vous de traitement supplémentaire. Pour répondre à une demande permet d’affecter facilement les ressources disponibles à la protection croissante d’une connectivité de densité supérieure de 10 Gig et des données. Le pare-feu nouvelle génération de la série PA-7000 de 40 Gig, et d’alternatives d’interface plus courantes de 10 Gbits/s utilise un moteur de classification en une passe ultra-efficace qui et de 1 Gbits/s, quatre options de cartes NPC sont désormais analyse l’ensemble du trafic transitant par l’appareil afin de déterminer disponibles et peuvent être utilisées de façon interchangeable. instantanément les trois éléments critiques au coeur de votre politique de sécurité : l’identité de l’application, indépendamment du port ; • Switch Management Card (carte de gestion de commutateur le contenu, qu’il soit malveillant ou non ; et l’identité de l’utilisateur. SMC) : Véritable centre de contrôle des modèles de la série PA-7000, cette carte supervise intelligemment l’ensemble du La détermination de ces éléments en une passe et le fait de baser la trafic et exécute toutes les fonctions de gestion en s’appuyant politique de sécurité sur ces éléments métier pertinents présentent sur trois éléments : le premier processeur de paquets, des avantages de trois ordres : Tout d’abord, votre position vis-à-vis un panneau arrière haute vitesse et le sous-système de gestion. des menaces est renforcée grâce à un alignement plus direct entre ◦Le premier paquet de paquets (FPP) est une composante clé qui optimise les performances et assure une évolutivité linéaire pour les pare-feu de la série PA-7000. Le FPP assure le suivi permanent du pool partagé de ressources de traitement et d’E/S disponibles sur l’ensemble des cartes NPC, et dirige de façon intelligente le trafic entrant vers les traitements sousexploités. En conséquence, l’ajout de cartes NPC dans le but d’augmenter les performances et la capacité ne nécessite aucune modification en termes de gestion du trafic ni recâblage ou reconfiguration du PA-7000. vos politiques de sécurité et vos principales initiatives commerciales. Ensuite, une réduction des frais administratifs liés à l’actualisation des politiques de sécurité dans un environnement hautement dynamique a pu être constaté. Le troisième avantage est la réduction de la latence, qui résulte de l’élimination des tâches redondantes d’analyse et de recherche qui existent généralement dans les autres offres. Pour simplifier davantage les tâches administratives, les frais annuels d’abonnement et d’assistance applicables au PA-7000 sont calculés à l’échelle du système. Les frais sont ainsi constants quel que soit le nombre de cartes NPC installées ; vous disposez par conséquent d’une structure de coûts annuels prévisible. Le pare-feu PA-7000 prend en charge une large gamme de fonctionnalités réseau qui vous permettent d’intégrer plus facilement nos fonctions de sécurité dans votre réseau. Caractéristiques de mise en réseau Modes d’interface • L2, L3, Tap, Virtual Wire (mode transparent) • Protocoles PPPoE (Point-to-Point Protocol over Ethernet) et DHCP pris en charge pour l’attribution d’adresses dynamiques Routage • OSPFv2/v3 avec redémarrage en douceur, BGP avec redémarrage en douceur, RIP, routage statique • Policy-Based Forwarding (transfert basé sur une politique - PBF) • Adressage multicast : PIM-SM, PIM-SSM, IGMP v1, v2 et v3 •Bidirectional Forwarding Detection (BFD) IPv6 • L2, L3, Tap, Virtual Wire (mode transparent) • Fonctionnalités : App-ID™, User-ID™, Content-ID™, WildFire™ et déchiffrement SSL VPN IPsec • Key Exchange : Clé manuelle, IKEv1 et IKEv2 (clé prépartagée, authentification basée sur certificat) • Chiffrement : 3DES, AES (128 bit, 192 bit, 256 bit) • Authentification : MD5, SHA-1, SHA-256, SHA-384, SHA-512 • VPN à grande échelle GlobalProtect (LSVPN) pour une configuration et une gestion simplifiées VLAN • Etiquettes VLAN 802.1q par équipement ou interface : 4 094/4 094 • Interfaces agrégées (802.3ad) Traduction d’adresses réseaux (NAT) • Modes NAT (IPv4) : adresse IP statique, adresse IP dynamique, adresse IP et port dynamiques (traduction port adresse) • NAT64, NPTv6 • Autres fonctions NAT : réservation d’adresse IP dynamique, sursouscription ajustable de ports et d’adresses IP dynamiques Haute disponibilité • Modes : Actif/Actif, Actif/Passif • Détection de défaillances : surveillance des chemins d’accès et des interfaces Palo Alto Networks | Fiche technique PA-7000 2 Caractéristiques matérielles NPC PA-7000 Système complet PA-7080 Système complet PA-7050 DHCP Option 1 : 1 NPC-XM Option 1 : (2) QSFP+, (12) SFP+ (20) QSFP+, (120) SFP+ (12) QSFP+, (72) SFP+ DHCP Option 2 : 1 NPC-XM Option 2 : (12) 10/100/1000, (8) SFP, (4) SFP+ (120) 10/100/1000, (80) SFP, (40) SFP+ (72) 10/100/1000, (48) SFP, (24) SFP+ Entrée/sortie gestion - (2) 10/100/1000, (2) haute disponibilité QSFP+, (1) 10/100/1000 gestion hors-bande, (1) port console RJ45 Options de stockage - Disque système SSD 80 Go, 4 disques durs 1 To sur carte LPC (Log Processing Card) Capacité de stockage - Tension d’entrée (Hz en entrée) - 90 - 305 VCA (de 47 à 66 Hz) 90 - 264 VCA (de 47 à 63 Hz) Bloc d’alimentation CA (en sortie) - 2 500 W à 240 VCA 1 200 W à 120 VCA 2 500 W à 240 VCA 1 200 W à 120 VCA RAID1 2 To : Tension d’entrée CC : - -36 - 75 VCC -40 - 72 VCC Alimentation CC (en sortie) - 2 500 Watts/bloc d’alimentation 2 500 Watts/bloc d’alimentation Courant maximal/bloc d’alimentation - 12 ACC à 240 VCA (entrée) 75 A CC à >40 VCC (entrée) 16 A à 180 VCA (entrée) 75 A à 37,5 VCC (entrée) Blocs d’alimentation (base/max) - 4/8 4/4 Courant d’appel max./ bloc d’alimentation - 30 A CA / 100 A CC (crête) 50 A CA / 75 A CC (crête) Temps moyen entre défaillances (MTBF) Variable selon la configuration. Pour plus d’informations sur le MTBF, contactez un représentant. BTU/h max. - 20 132 10 236 En rack (dimensions) - 19U, rack standard 19” (81,83 cm (H) x 48,26 cm (L) x 62,63 cm (P)) 9U, rack standard 19” (40 cm (H) x 48,26 cm (L) x 60,96 cm (P)) 85 kg CA/83,91 kg CC Poids (boîtier seul/avec l’emballage) - 135,76 kg CA/135,30 kg CC Sécurité - cTUVus, cCSAus, CB EMI (potentiel d’interférence électromagnétique) - FCC classe A, CE classe A, VCCI classe A Certifications - NEBS Niveau 3 Température de fonctionnement - 32 à 122 °F, 0 à 50 °C Température de non fonctionnement - -4° to 158° F, -20° to 70° C Environnement 1 Carte de traitement réseau prenant en charge une capacité de table de sessions améliorée pouvant aller jusqu’à 8 millions de sessions. Pour obtenir des informations supplémentaires sur les fonctionnalités de sécurité et les capacités associées des pare-feu de la série PA-7000, visitez www.paloaltonetworks.com/products. 4401 Great America Parkway Santa Clara, CA 95054 Accueil téléphonique : +1.408.753.4000 Service commercial : +1.866.320.4788 Assistance : +1.866.898.9087 www.paloaltonetworks.com © 2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks. La liste de nos marques est disponible sur le site http://www. paloaltonetworks.com/company/trademarks.html. Toutes les autres marques mentionnées dans le présent document appartiennent à leur propriétaire respectif. pa-200-040116