PA-5500系列

要点 •世界上第一个量子优化的NGFW。 •采用FE-400 ASIC构建，可在数据中心的三机架单元设计中实现高吞吐量。•由Precision AI®提供支持，这是一种突破性的人工智能驱动引擎，可实时分析和预防威胁。•采用单次传递架构构建，以提供可预测的性能。•提供Palo Alto Networks 5G原生安全性，具有基于5G标识符的可视性和实施功能。•通过NGFW集群提供高可用性。•采用Strata™Cloud Manager进行管理，这是业界首个由人工智能驱动的网络安全统一管理和运营解决方案。•2025 Gartner®Magic Quadrant™混合网格防火墙领导者。•Forrester Wave™领导者：企业防火墙解决方案，2024年第4季度。 Palo Alto Networks PA-5500 Series Quantum Optimized新一代防火墙(NGFW)包括PA-5540、PA-5550、PA-5560、PA-5570和PA-5580，是高速数据中心、互联网网关和服务提供商部署的理想选择。此系列可洞察并保护所有流量，包括后量子加密流量。 PA-5500 Series的操作系统为PAN-OS®，与运行所有Palo Alto Networks NGFWs的软件相同。PAN-OS对所有流量（包括应用程序、威胁和内容）进行本机分类，然后将该流量与用户联系起来，无论位置或设备类型如何。运行您业务的应用程序、内容和用户是您的安全策略的基础，从而改善安全态势并缩短事件响应时间。PAN-OS在防火墙核心中嵌入机器学习(ML)，为基于文件的攻击提供内联无签名攻击防护，同时识别并立即阻止前所未见的网络钓鱼尝试。 后量子密码学优化 PA-5500系列是一款后量子加密设备，可帮助您通过PAN-OS 12.1在硬件和软件中实现量子安全。PA-5500系列NGFW支持： •后量子密码(PQC)用于PQC SSL/TLS解密、PQC VPN站点到站点、PQC SSL/TLS密码转换代理和用于防火墙管理访问的PQC SSL/TLS服务配置文件。•PQC算法，包括NIST标准，如ML-KEM、ML-DSA和SLH-DSA，以及实验性PQC，如ClassicMcEliece、BIKE、HQC、Frodo-KEM和NTRU-Prime。•新推出的PCIe插槽可用于未来增加后量子功能。 防止加密流量中隐藏的恶意活动 PA-5500系列NGFW提供以下功能： •检查并将策略应用于SSL/TLS加密流量（入站和出站）、使用SSLv3、TLSv1.1、TLSv1.2和TLSv1.3的流量以及应用程序协议SMTP、WebSocket、gRPC、HTTP/1.0、HTTP/1.1和HTTP/2。•使用经典密钥交换算法RSA、ECDHE、DHE和后量子密钥交换标准ML-KEM、HQC以及实验性BIKE和Frodo-KEM解密和检查SSL/TLS会话。•收集TLS流量指标，例如加密流量、SSL/TLS版本和密码。•支持经典密钥交换RSA、ECDHE和DHE等套件，以及后量子密钥交换ML-KEM和HQC（无需解密），为通过防火墙的所有SSL/TLS会话的加密信息带来额外的可见性。•控制旧式TLS协议、不安全和弃用的密码以及错误配置的证书（包括与证书通用名称(CN)不匹配的服务器名称指示符(SNI)）的使用，以降低风险。•促进解密的轻松部署，并让您使用增强的内置日志独立排除客户端和服务器端会话中的问题，以获得无缝的故障排除体验，无论是缺少中间证书还是固定证书。•让您根据URL类别、源和目标区域、地址、用户、用户组、设备和端口灵活地启用或禁用解密，以保护隐私并满足法规遵从性要求。 阅读解密：为什么、在哪里以及如何白皮书了解解密以防止威胁并确保您的业务安全。 通过完整的第7层检查进行应用程序识别和分类 App-ID™可随时识别和分类所有端口上的所有应用程序，并进行完整的第7层检查，支持以下功能： •使用协议解码、启发式和签名匹配等先进技术，准确识别网络上的应用程序，无论使用何种端口、协议或加密方法。可选的App-ID云引擎(ACE)服务为SaaS应用程序提供按需App-ID。•全面了解与各种应用程序相关的风险和价值，有助于对网络安全策略做出明智的决策。 •通过在防火墙级别集中识别和控制应用程序，可以有效地实施针对特定应用程序的安全策略。•识别和管理通常会绕过传统安全措施的规避或自定义应用程序。•不断更新其应用程序标识，确保其能够有效应对最新的应用程序趋势和策略。•使用尖端的人工智能技术来提高识别和分类人工智能应用程序的精度。这些技术确保即使是最先进和动态的应用程序也能在网络中得到准确识别和适当管理。 有关更多信息，请参阅我们的App-ID技术简介。 用户安全实施 PA-5500系列NGFW可在任何位置、任何设备上为用户提供安全保障，同时根据用户活动调整策略。它们包括以下能力： •支持基于用户和组和IP地址的可视性、安全策略、报告和取证。•无论用户位于何处（办公室、家中、旅行中等）和使用何种设备，都应用一致的策略。这些设备包括iOS和Android移动设备；macOS、Windows和Linux台式机和笔记本电脑；Citrix和Microsoft VDI；以及终端服务器。•利用IP地理位置自动实施基于地理位置的安全策略，使您能够减少攻击面、满足合规性要求并通过阻止往返于特定国家或地区的流量来控制应用程序访问。•借助Cloud Identity Engine（这一基于身份安全的云端架构），您可对用户进行持续的身份验证和授权，无论其身处何地，也无论其身份存储在何处（云端、本地目录或二者兼而有之），从而快速迈向零信任安全态势。•使用无密码身份验证保护所有应用程序，无论是本地、SaaS还是混合。•通过在防火墙上定义云动态用户组(CDUG)来提供基于用户行为的动态安全措施，以限制可疑或恶意用户，从而采取基于风险、有时间限制的安全措施，而无需等待将更改应用于用户目录。•通过在网络层为任何应用启用多重身份验证(MFA)而无需做出任何更改，防止公司凭据泄露给第三方网站和被盗凭据的重复使用。•轻松与各种存储库集成以处理用户信息，包括无线局域网控制器、VPN、目录服务器以及安全信息和事件管理(SIEM)工具。•自动化政策建议，节省时间并减少人为错误的可能性。 有关更多信息，请参阅我们的Cloud Identity Engine解决方案简介。 独特的数据包处理方法 PA-5500系列NGFW采用单程架构处理数据包。通过这种方法，NGFW能够： •针对所有威胁和内容，一次性执行联网、策略查找、应用程序和解码以及签名匹配。这大大减少了在一个安全设备中执行多项功能所需的处理开销。 •使用基于流的统一签名匹配，通过一次性扫描流量中的所有签名来避免引入延迟。•启用安全订阅后可产生一致且可预测的性能（见表1）。 借助Strata Cloud Manager实现由AI赋能的统一管理与运维 使用Strata Cloud Manager管理您的PA-5500系列NGFW，它使您能够： •实现对整个网络安全产业的完全可视性通过统一界面，实时、全面地了解整个网络安全状况，包括所有用户、应用程序、设备和需要关注的最关键威胁。•实现简单一致的网络安全管理和操作管理所有强制执行点（包括SASE、硬件和软件防火墙）以及所有安全服务的配置和策略管理，以确保一致性并减少运维开销。•实时加强安全态势利用人工智能驱动的分析来检测、解决和优化策略异常，如影子策略和冗余策略以及过于宽松或未使用的规则。利用集成的最佳实践建议改善您的安全状况，并保持符合行业和信息安全标准。•主动解决网络中断问题，提升用户体验提前90天预测、诊断和解决网络健康问题，如用户体验问题、容量瓶颈、CVE漏洞、服务连接问题和其他130类问题，以确保顺利运行。•知识触手可及，快速解决问题：借助Strata Copilot™，我们由AI赋能的助手具有自然语言界面，因此您可以在安全和运维挑战升级之前快速发现、理解并加以应对。此外，凭借其精简的案例创建功能，您可以在最需要时获得快速支持。 结合NGFW集群和高可用性元素 NGFW集群优化资源使用并提高吞吐量，同时保持高度冗余和弹性的解决方案。该解决方案可实现高可用性网络的高效水平扩展。 有关详细信息，请参阅迁移到NGFW集群白皮书。 由Precision AI赋能的一流云交付安全服务 PA-5500系列NGFW通过云交付安全服务(CDSS)提供一流的安全性。我们的CDSS的核心是精准人工智能。与传统的被动工具不同，Precision AI通过主动威胁检测、内联预防和自动响应增强您的防御能力，甚至可以在最具规避性、前所未见的攻击造成损害之前将其阻止。在全球超过70,000名客户的威胁情报的支持下，我们的云交付服务不断学习、适应和发展。CDSS与我们的NGFW和SASE平台无缝集成，无论您的用户或数据位于何处，都能跨Web、DNS、电子邮件、应用程序等提供统一保护。 无论您是在进行混合工作、拥抱云转型还是防御复杂的对手，由Precision AI提供支持的CDSS都能为您提供可视性、自动化和信心，从而保持领先地位。 高级威胁预防 每天分析多达6.73亿个新会话，并主动实时阻止282亿个威胁（包括零日漏洞、恶意软件、命令与控制(C2)流量和规避技术），以前所未有的规模提供尖端安全性。 高级WildFire 利用业界最强大的恶意软件防护引擎，每天主动阻止多达450,000个新威胁。Advanced WildFire®可在各种高级威胁影响您的组织之前识别并阻止它们，包括零日恶意软件、勒索软件、远程访问木马(RAT)、武器化文档和其他规避攻击技术。 Advanced URL Filtering 每天在线阻止多达1.51亿个威胁，同时分析38亿个新URL，从而保障网络访问安全。高级URL过滤可防御网络钓鱼、恶意软件、勒索软件、C2通信和基于Web的规避性攻击。 Advanced DNS Security 高级DNS安全提供实时保护，可立即阻止基于复杂DNS请求和响应的威胁-包括DNS劫持、域生成算法(DGA)、DNS隧道和C2回调。它每天分析超过11亿个新域名，识别多达770万个新恶意域名，在线阻止超过20亿个威胁。这一强大的第一道防线可以识别并阻止DNS层的威胁——无论这些威胁来自网络外部还是内部。 设备安全 使用针对行业（包括制造业、零售业、医疗保健业、高科技业和一般企业）量身定制的解决方案保护每台联网设备的安全，并在48小时内实现90%的设备发现率——提供优先的漏洞和风险评估。此外，还可以在一个NetSec平台上识别异常、获取最小特权访问控制安全策略建议并虚拟修补漏洞。 SaaS Security 通过了解超过75,000个SaaS应用程序以及针对超过150个SaaS应用程序的数据丢失防护(DLP)控制来发现和控制所有SaaS消费。通过对117个SaaS应用程序进行姿态管理以及对39个应用程序进行SaaS内联租赁控制来防止SaaS配置错误。 AI Access Security 通过实时查看GenAI应用程序、用户访问控制、数据保护和持续风险监控，实现GenAI的安全使用。AI Access Security™提供业界领先的超过2,500个GenAI应用程序目录，其中包括超过15个GenAI特定的应用程序属性，可准确识别和降低风险。它包括针对13个以上GenAI应用程序的姿态管理和针对11个应用程序的SaaS内联租赁控制。 Advanced SD-WAN 只需在具有集成安全性的现有防火墙上启用SD-WAN即可轻松采用它。通过使用SD-WAN路径测量和应用程序转向功能，智能地将应用程序转向性能最佳的路径，获得卓越的最终用户体验并确保SLA。 3000 Tannery WaySanta Clara, CA