Palo Alto Networks | Fiche technique PA-7000 2
Architecture des pare-feu de la série PA-7000
Les pare-feu de la série PA-7000 sont soutenus par une architecture
évolutive dans le but expresse d’appliquer le type et le volume de
puissance de traitement approprié aux principales tâches fonctionnelles
que sont la gestion de réseau, la sécurité, l’inspection des contenu et
la gestion. Le châssis des modèles de la série PA-7000 distribuent de
façon intelligente les demandes de traitement informatique en matière
de gestion de réseau, de sécurité, de prévention et de gestion des
menaces sur trois sous-systèmes, chacun disposant d’une puissance
de calcul et d’une mémoire dédiée très importantes.
• Network Processing Card (carte de traitement réseau - NPC) : Cette
carte est dédiée à l’exécution de toutes les tâches de traitement de
paquets, notamment la gestion de réseau, la classification du trafic
et la prévention des menaces. Chaque carte NPC possède jusqu’à
67 coeurs, tous étant affectés à une même tâche : protéger votre
réseau à une vitesse pouvant atteindre 20 Gbits/s par carte NPC.
Il est aussi facile d’adapter le débit et la capacité à la valeur
maximale de 200 Gbits/s sur le PA-7080 ou de 120 Gbits/s sur le
PA-7050 que d’ajouter une nouvelle carte NPC et d’autoriser le
système à déterminer comment utiliser au mieux cette puissance
de traitement supplémentaire. Pour répondre à une demande
croissante d’une connectivité de densité supérieure de 10 Gig et
de 40 Gig, et d’alternatives d’interface plus courantes de 10 Gbits/s
et de 1 Gbits/s, quatre options de cartes NPC sont désormais
disponibles et peuvent être utilisées de façon interchangeable.
• Switch Management Card (carte de gestion de commutateur -
SMC) : Véritable centre de contrôle des modèles de la série
PA-7000, cette carte supervise intelligemment l’ensemble du
trafic et exécute toutes les fonctions de gestion en s’appuyant
sur trois éléments : le premier processeur de paquets,
un panneau arrière haute vitesse et le sous-système de gestion.
◦ Le premier paquet de paquets (FPP) est une composante clé
qui optimise les performances et assure une évolutivité linéaire
pour les pare-feu de la série PA-7000. Le FPP assure le suivi
permanent du pool partagé de ressources de traitement et
d’E/S disponibles sur l’ensemble des cartes NPC, et dirige de
façon intelligente le trafic entrant vers les traitements sous-
exploités. En conséquence, l’ajout de cartes NPC dans le but
d’augmenter les performances et la capacité ne nécessite
aucune modification en termes de gestion du trafic ni
recâblage ou reconfiguration du PA-7000.
◦ Le panneau arrière haute vitesse fonctionne à 1,2 Tbits/s,
ce qui signifie que chaque carte de traitement réseau
a accès à une capacité de trafic avoisinant 100 Gbits/s.
Les performances peuvent donc parfaitement s’adapter
à l’évolution des besoins.
◦ Le sous-système de gestion fait office de point de contact
dédié au contrôle de tous les aspects du PA-7000.
• Log Processing Card (carte de traitement des journaux - LPC) : Cette
carte est un sous-système dédié qui a été conçu pour exécuter une
tâche critique, la gestion du grand nombre de journaux générés par
le PA-7000. La carte LPC est propre au PA-7000. Elle utilise deux
processeurs multicoeurs haut débit et un espace de stockage RAID 1
de 2 To pour supprimer les activités liées à la journalisation sans
perturber les traitements nécessaires aux autres tâches de gestion
ou de traitement du trafic. La carte LPC vous permet de générer
des requêtes et des rapports sur le système à partir des derniers
journaux collectés, ou de les transférer à un serveur syslog à des
fins d’archivage ou d’analyse complémentaire.
Le PA-7000 est géré en tant que système unique et unifié, ce qui vous
permet d’affecter facilement les ressources disponibles à la protection
des données. Le pare-feu nouvelle génération de la série PA-7000
utilise un moteur de classification en une passe ultra-efficace qui
analyse l’ensemble du trafic transitant par l’appareil afin de déterminer
instantanément les trois éléments critiques au coeur de votre politique
de sécurité : l’identité de l’application, indépendamment du port ;
le contenu, qu’il soit malveillant ou non ; et l’identité de l’utilisateur.
La détermination de ces éléments en une passe et le fait de baser la
politique de sécurité sur ces éléments métier pertinents présentent
des avantages de trois ordres : Tout d’abord, votre position vis-à-vis
des menaces est renforcée grâce à un alignement plus direct entre
vos politiques de sécurité et vos principales initiatives commerciales.
Ensuite, une réduction des frais administratifs liés à l’actualisation des
politiques de sécurité dans un environnement hautement dynamique
a pu être constaté. Le troisième avantage est la réduction de la
latence, qui résulte de l’élimination des tâches redondantes d’analyse
et de recherche qui existent généralement dans les autres offres.
Pour simplifier davantage les tâches administratives, les frais annuels
d’abonnement et d’assistance applicables au PA-7000 sont calculés
à l’échelle du système. Les frais sont ainsi constants quel que soit
le nombre de cartes NPC installées ; vous disposez par conséquent
d’une structure de coûts annuels prévisible.
Le pare-feu PA-7000 prend en charge une large gamme de fonctionnalités réseau qui vous permettent d’intégrer plus facilement nos
fonctions de sécurité dans votre réseau.
Caractéristiques de mise en réseau
Modes d’interface
• L2, L3, Tap, Virtual Wire (mode transparent)
• Protocoles PPPoE (Point-to-Point Protocol over Ethernet) et
DHCP pris en charge pour l’attribution d’adresses dynamiques
Routage
• OSPFv2/v3 avec redémarrage en douceur, BGP avec redémarrage
en douceur, RIP, routage statique
• Policy-Based Forwarding (transfert basé sur une politique - PBF)
• Adressage multicast : PIM-SM, PIM-SSM, IGMP v1, v2 et v3
• Bidirectional Forwarding Detection (BFD)
IPv6
• L2, L3, Tap, Virtual Wire (mode transparent)
• Fonctionnalités : App-ID™, User-ID™, Content-ID™, WildFire™ et
déchiffrement SSL
VPN IPsec
• Key Exchange : Clé manuelle, IKEv1 et IKEv2 (clé prépartagée,
authentification basée sur certificat)
• Chiffrement : 3DES, AES (128 bit, 192 bit, 256 bit)
• Authentification : MD5, SHA-1, SHA-256, SHA-384, SHA-512
• VPN à grande échelle GlobalProtect (LSVPN) pour une
configuration et une gestion simplifiées
VLAN
• Etiquettes VLAN 802.1q par équipement ou interface : 4 094/4 094
• Interfaces agrégées (802.3ad)
Traduction d’adresses réseaux (NAT)
• Modes NAT (IPv4) : adresse IP statique, adresse IP dynamique,
adresse IP et port dynamiques (traduction port adresse)
• NAT64, NPTv6
• Autres fonctions NAT : réservation d’adresse IP dynamique,
sursouscription ajustable de ports et d’adresses IP dynamiques
Haute disponibilité
• Modes : Actif/Actif, Actif/Passif
• Détection de défaillances : surveillance des chemins d’accès et
des interfaces