Véritables outils redéfinissant la sécurité réseau haute performance
Palo Alto Networks | Fiche technique PA-7000 1
Principales fonctions de sécurité :
Classification de toutes les applications, sur tous les ports,
à tout moment.
• Identification de l’application, indépendamment du port,
du chiffrement (SSL ou SSH) ou de la technique d’évasion.
• Utilisation de l’application et non du port comme base de
toutes les décisions stratégiques d’activation sécurisée :
autoriser, refuser, planifier, inspecter ou prioriser le trafic.
• Classification des applications non identifiées pour des
contrôles stratégiques, l’analyse des menaces ou le
développement App-ID™.
Application de politiques de sécurité pour tous les
utilisateurs, en tout lieu
• Déploiement de politiques cohérentes aux utilisateurs
locaux et distants des plateformes Windows®, Mac® OS X®,
Linux®, Android® ou Apple® iOS.
• Intégration sans agent à Microsoft® Active Directory® et
Terminal Services, LDAP, Novell® eDirectory™ et Citrix®.
• Intégration simple des politiques de pare-feu aux solutions
de contrôle d’accès réseau (NAC), proxy et sans fil 802.1X,
et à toute autre source d’informations sur l’identité
de l’utilisateur.
Prévention des menaces connues et inconnues
• Blocage d’une grande variété de menaces connues,
notamment l’exploitation de vulnérabilités, les logiciels
malveillants et les logiciels espions, sur tous les ports,
indépendamment des techniques d’évasion utilisées.
• Limitation des transferts non autorisés de fichiers et de
données sensibles. Activation en toute sécurité de la
navigation Web sans lien avec l’activité professionnelle.
• Identification des logiciels malveillants inconnus, analyse
sur la base de centaines de comportements malveillants
et livraison automatique d’une protection.
Véritables outils redéfinissant la sécurité réseau haute performance, les pare-feu nouvelle
génération de la série PA-7000 combinent parfaitement puissance, simplicité et intelligence.
La puissance, qui résulte d’une architecture éprouvée, associe des logiciels ultra-efficaces
à près de 700 processeurs dédiés à la gestion de réseau, à la sécurité, à l’inspection des
contenus et à la gestion.
Son intelligence optimise l’utilisation des ressources de traitement de la sécurité et
s’adapte automatiquement en cas de hausse de puissance de calcul. Les pare-feu de la série
PA-7000 sont simples de par leur approche mono-système de la gestion et des licences.
PA-7000
Series
PA-7050PA-7080
1 Les capacités et performances sont mesurées en conditions de test idéales
au moyen de PAN-OS® 7.1.
2 DSRI = Disable Server Response Inspection (Désactiver l’inspection de la
réponse du serveur)
3 L’ajout de systèmes virtuels au nombre de base nécessite l’achat d’une
licence séparée.
4 Carte de traitement réseau avec capacité de session améliorée.
Capacités et
performances1
Système
PA-7080
Système
PA-7050
NPC PA-
7000
PA-7000
NPC-XM4
Débit du pare-feu
(App-ID activé) 200 Gbits/s 120 Gbits/s 20 Gbits/s 20 Gbits/s
Débit prévention
des menaces
(DSRI activé2)
160 Gbits/s 100 Gbits/s 16 Gbits/s 16 Gbits/s
Débit prévention
des menaces 100 Gbits/s 60 Gbits/s 10 Gbits/s 10 Gbits/s
VPN IPsec Débit 80 Gbits/s 48 Gbits/s 8 Gbits/s 8 Gbits/s
Nombre max. sessions 80 000 000 48 000 000 4 000 000 8 000 000
Nouvelles sessions
par seconde 1 200 000 720 000 120 000 120 000
Systèmes virtuels
(base/max3)25/225* 25/225* – –
Palo Alto Networks | Fiche technique PA-7000 2
Architecture des pare-feu de la série PA-7000
Les pare-feu de la série PA-7000 sont soutenus par une architecture
évolutive dans le but expresse d’appliquer le type et le volume de
puissance de traitement approprié aux principales tâches fonctionnelles
que sont la gestion de réseau, la sécurité, l’inspection des contenu et
la gestion. Le châssis des modèles de la série PA-7000 distribuent de
façon intelligente les demandes de traitement informatique en matière
de gestion de réseau, de sécurité, de prévention et de gestion des
menaces sur trois sous-systèmes, chacun disposant d’une puissance
de calcul et d’une mémoire dédiée très importantes.
• Network Processing Card (carte de traitement réseau - NPC) : Cette
carte est dédiée à l’exécution de toutes les tâches de traitement de
paquets, notamment la gestion de réseau, la classification du trafic
et la prévention des menaces. Chaque carte NPC possède jusqu’à
67 coeurs, tous étant affectés à une même tâche : protéger votre
réseau à une vitesse pouvant atteindre 20 Gbits/s par carte NPC.
Il est aussi facile d’adapter le débit et la capacité à la valeur
maximale de 200 Gbits/s sur le PA-7080 ou de 120 Gbits/s sur le
PA-7050 que d’ajouter une nouvelle carte NPC et d’autoriser le
système à déterminer comment utiliser au mieux cette puissance
de traitement supplémentaire. Pour répondre à une demande
croissante d’une connectivité de densité supérieure de 10 Gig et
de 40 Gig, et d’alternatives d’interface plus courantes de 10 Gbits/s
et de 1 Gbits/s, quatre options de cartes NPC sont désormais
disponibles et peuvent être utilisées de façon interchangeable.
• Switch Management Card (carte de gestion de commutateur -
SMC) : Véritable centre de contrôle des modèles de la série
PA-7000, cette carte supervise intelligemment l’ensemble du
trafic et exécute toutes les fonctions de gestion en s’appuyant
sur trois éléments : le premier processeur de paquets,
un panneau arrière haute vitesse et le sous-système de gestion.
◦ Le premier paquet de paquets (FPP) est une composante clé
qui optimise les performances et assure une évolutivité linéaire
pour les pare-feu de la série PA-7000. Le FPP assure le suivi
permanent du pool partagé de ressources de traitement et
d’E/S disponibles sur l’ensemble des cartes NPC, et dirige de
façon intelligente le trafic entrant vers les traitements sous-
exploités. En conséquence, l’ajout de cartes NPC dans le but
d’augmenter les performances et la capacité ne nécessite
aucune modification en termes de gestion du trafic ni
recâblage ou reconfiguration du PA-7000.
◦ Le panneau arrière haute vitesse fonctionne à 1,2 Tbits/s,
ce qui signifie que chaque carte de traitement réseau
a accès à une capacité de trafic avoisinant 100 Gbits/s.
Les performances peuvent donc parfaitement s’adapter
à l’évolution des besoins.
◦ Le sous-système de gestion fait office de point de contact
dédié au contrôle de tous les aspects du PA-7000.
• Log Processing Card (carte de traitement des journaux - LPC) : Cette
carte est un sous-système dédié qui a été conçu pour exécuter une
tâche critique, la gestion du grand nombre de journaux générés par
le PA-7000. La carte LPC est propre au PA-7000. Elle utilise deux
processeurs multicoeurs haut débit et un espace de stockage RAID 1
de 2 To pour supprimer les activités liées à la journalisation sans
perturber les traitements nécessaires aux autres tâches de gestion
ou de traitement du trafic. La carte LPC vous permet de générer
des requêtes et des rapports sur le système à partir des derniers
journaux collectés, ou de les transférer à un serveur syslog à des
fins d’archivage ou d’analyse complémentaire.
Le PA-7000 est géré en tant que système unique et unifié, ce qui vous
permet d’affecter facilement les ressources disponibles à la protection
des données. Le pare-feu nouvelle génération de la série PA-7000
utilise un moteur de classification en une passe ultra-efficace qui
analyse l’ensemble du trafic transitant par l’appareil afin de déterminer
instantanément les trois éléments critiques au coeur de votre politique
de sécurité : l’identité de l’application, indépendamment du port ;
le contenu, qu’il soit malveillant ou non ; et l’identité de l’utilisateur.
La détermination de ces éléments en une passe et le fait de baser la
politique de sécurité sur ces éléments métier pertinents présentent
des avantages de trois ordres : Tout d’abord, votre position vis-à-vis
des menaces est renforcée grâce à un alignement plus direct entre
vos politiques de sécurité et vos principales initiatives commerciales.
Ensuite, une réduction des frais administratifs liés à l’actualisation des
politiques de sécurité dans un environnement hautement dynamique
a pu être constaté. Le troisième avantage est la réduction de la
latence, qui résulte de l’élimination des tâches redondantes d’analyse
et de recherche qui existent généralement dans les autres offres.
Pour simplifier davantage les tâches administratives, les frais annuels
d’abonnement et d’assistance applicables au PA-7000 sont calculés
à l’échelle du système. Les frais sont ainsi constants quel que soit
le nombre de cartes NPC installées ; vous disposez par conséquent
d’une structure de coûts annuels prévisible.
Le pare-feu PA-7000 prend en charge une large gamme de fonctionnalités réseau qui vous permettent d’intégrer plus facilement nos
fonctions de sécurité dans votre réseau.
Caractéristiques de mise en réseau
Modes d’interface
• L2, L3, Tap, Virtual Wire (mode transparent)
• Protocoles PPPoE (Point-to-Point Protocol over Ethernet) et
DHCP pris en charge pour l’attribution d’adresses dynamiques
Routage
• OSPFv2/v3 avec redémarrage en douceur, BGP avec redémarrage
en douceur, RIP, routage statique
• Policy-Based Forwarding (transfert basé sur une politique - PBF)
• Adressage multicast : PIM-SM, PIM-SSM, IGMP v1, v2 et v3
• Bidirectional Forwarding Detection (BFD)
IPv6
• L2, L3, Tap, Virtual Wire (mode transparent)
• Fonctionnalités : App-ID™, User-ID™, Content-ID™, WildFire™ et
déchiffrement SSL
VPN IPsec
• Key Exchange : Clé manuelle, IKEv1 et IKEv2 (clé prépartagée,
authentification basée sur certificat)
• Chiffrement : 3DES, AES (128 bit, 192 bit, 256 bit)
• Authentification : MD5, SHA-1, SHA-256, SHA-384, SHA-512
• VPN à grande échelle GlobalProtect (LSVPN) pour une
configuration et une gestion simplifiées
VLAN
• Etiquettes VLAN 802.1q par équipement ou interface : 4 094/4 094
• Interfaces agrégées (802.3ad)
Traduction d’adresses réseaux (NAT)
• Modes NAT (IPv4) : adresse IP statique, adresse IP dynamique,
adresse IP et port dynamiques (traduction port adresse)
• NAT64, NPTv6
• Autres fonctions NAT : réservation d’adresse IP dynamique,
sursouscription ajustable de ports et d’adresses IP dynamiques
Haute disponibilité
• Modes : Actif/Actif, Actif/Passif
• Détection de défaillances : surveillance des chemins d’accès et
des interfaces
Pour obtenir des informations supplémentaires sur les fonctionnalités de sécurité et les capacités associées des pare-feu de la
série PA-7000, visitez www.paloaltonetworks.com/products.
Caractéristiques matérielles NPC PA-7000 Système complet PA-7080 Système complet PA-7050
DHCP Option 1 :
NPC-XM Option 11:(2) QSFP+, (12) SFP+ (20) QSFP+, (120) SFP+ (12) QSFP+, (72) SFP+
DHCP Option 2 :
NPC-XM Option 21:
(12) 10/100/1000,
(8) SFP, (4) SFP+
(120) 10/100/1000,
(80) SFP, (40) SFP+
(72) 10/100/1000, (48) SFP,
(24) SFP+
Entrée/sortie gestion - (2) 10/100/1000, (2) haute disponibilité QSFP+, (1) 10/100/1000
gestion hors-bande, (1) port console RJ45
Options de stockage - Disque système SSD 80 Go, 4 disques durs 1 To sur carte LPC
(Log Processing Card)
Capacité de stockage - RAID1 2 To :
Tension d’entrée (Hz en entrée) - 90 - 305 VCA (de 47 à 66 Hz) 90 - 264 VCA (de 47 à 63 Hz)
Bloc d’alimentation CA (en sortie) - 2 500 W à 240 VCA
1 200 W à 120 VCA
2 500 W à 240 VCA
1 200 W à 120 VCA
Tension d’entrée CC : - -36 - 75 VCC -40 - 72 VCC
Alimentation CC (en sortie) - 2 500 Watts/bloc d’alimentation 2 500 Watts/bloc d’alimentation
Courant maximal/bloc d’alimentation - 12 ACC à 240 VCA (entrée)
75 A CC à >40 VCC (entrée)
16 A à 180 VCA (entrée)
75 A à 37,5 VCC (entrée)
Blocs d’alimentation (base/max) - 4/8 4/4
Courant d’appel max./
bloc d’alimentation - 30 A CA / 100 A CC (crête) 50 A CA / 75 A CC (crête)
Temps moyen entre
défaillances (MTBF) Variable selon la configuration. Pour plus d’informations sur le MTBF, contactez un représentant.
BTU/h max. - 20 132 10 236
En rack (dimensions) -
19U, rack standard 19”
(81,83 cm (H) x 48,26 cm (L) x
62,63 cm (P))
9U, rack standard 19”
(40 cm (H) x 48,26 cm (L) x
60,96 cm (P))
Poids (boîtier seul/avec l’emballage) - 135,76 kg CA/135,30 kg CC 85 kg CA/83,91 kg CC
Sécurité - cTUVus, cCSAus, CB
EMI (potentiel d’interférence
électromagnétique) - FCC classe A, CE classe A, VCCI classe A
Certifications - NEBS Niveau 3
Environnement
Température de fonctionnement - 32 à 122 °F, 0 à 50 °C
Température de non fonctionnement - -4° to 158° F, -20° to 70° C
1 Carte de traitement réseau prenant en charge une capacité de table de sessions améliorée pouvant aller jusqu’à 8 millions de sessions.
4401 Great America Parkway Santa
Clara, CA 95054
Accueil téléphonique : +1.408.753.4000
Service commercial : +1.866.320.4788
Assistance : +1.866.898.9087
www.paloaltonetworks.com
© 2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée
de Palo Alto Networks. La liste de nos marques est disponible sur le site
http://www. paloaltonetworks.com/company/trademarks.html. Toutes les
autres marques mentionnées dans le présent document appartiennent à leur
propriétaire respectif. pa-200-040116
1
/
3
100%
