Palo Alto Networks® PA-220R 下一代防火墙确保恶劣工况下的网络安全

一、主要安全功能

1、每时每刻在各端口对全部应用进行分类

• 将 App-ID 用于工业协议和应用，例如 Modbus、 DNP3、IEC 60870-5-104、Siemens S7、OSIsoft PI® 等。

• 不论采用何种端口、SSL/SSH 加密或者其他规避技术，都会识别应用。

• 使用应用而非端口作为所有安全启用策略的决策基础：允许、拒绝、计划、检测以及应用流量整形。

• 对未识别的应用进行分类，以便进行策略控制、威胁取证或 App-ID™ 技术开发。

2、为所有位置上的所有用户实施安全策略

• 将统一策略部署至使用 Windows®、macOS®、 Linux、Android® 或 Apple iOS 平台的本地或远程用户。

• 支持与 Microsoft Active Directory® 和 Terminal  Services、LDAP、Novell eDirectory™ 以及 Citrix  的无代理集成。

• 将防火墙策略与 802.1X 无线、代理、网络访问控制和任何其他用户身份信息源轻松进行集成。

3、预防已知和未知威胁

• 阻止一系列已知的常见威胁和特定于 ICS 的威胁，其中包括在所有端口的漏洞利用、恶意软件和间谍软件（不受所用常见规避策略的影响）。

• 限制未经授权的文件和敏感数据传输。

• 识别未知的恶意软件，根据数百种恶意行为对其进行分析，然后自动创建并提供保护。

在这里插入图片描述

PA-220R 是增强型的新一代防火墙，可在公用变电站、发电厂、制造工厂、石油和天然气设施、建筑管理系统和医疗保健网络等各种严苛环境中保护工业和国防网络。

PA-220R 的控制性要素是 PAN-OS®，可在本机分类所有流量，包括应用、威胁和内容，然后将该流量与用户绑定，而不受位置或设备类型的影响。随后，将应用、内容和用户（即运行业务的要素）用作安全策略的基础，由此实现改善的安全状况，并缩短事件响应时间。

二、亮点

1、更高的工作温度范围;

2、通过 IEC 61850-3 和 IEEE 1613 环境以及测试标准认证，能够有效抗震动、电磁干扰，并具有较高的工作温度范围;

3、双直流电源 (12-24V)

4、高可用性防火墙配置（主动/主动和主动/被动;

5、无风扇设计，无活动部件；

6、灵活的 I/O，通过 SFP 端口支持铜线和光纤;

7、灵活的安装选项，包括 DIN 导轨、机架和壁挂；

8、通过基于 USB 的引导简化远程站点部署。

在这里插入图片描述

在启用 App-ID 和日志记录的情况下利用 64 KB HTTP/appmix 事务测量防火墙吞吐量
在启用 App-ID、IPS、防病毒、反间谍软件、WildFire 和日志记录的情况下，利用 64 KB HTTP/appmix 事务测量 Threat Prevention 吞吐量
使用 64 KB HTTP 事务测量 IPsec VPN 吞吐量
使用 1 字节 HTTP 事务通过应用覆盖测量每秒新会话数

三、硬件规格参数

1、接口模式
L2、L3、旁接、虚拟线路（透明模式）

2、路由
支持平稳重新启动的 OSPFv2/v3 和 BGP、RIP、静态路由；
基于策略的转发；
以太网上的点到点协议 (PPPoE)；
多播：PIM-SM，PIM-SSM，IGMP v1、v2 和 v3；

3、IPv6
L2、L3、旁接、虚拟线路（透明模式）；
特性：App-ID、User-ID、Content-ID、WildFire 和 SSL 解密；
SLAAC；

4、IPsec VPN
密钥交换：手动密钥、IKEv1 和 IKEv2（预共享密钥、基于证书的身份验证）
加密：3DES、AES（128 位、192 位、256 位）
身份验证：MD5、SHA-1、SHA-256、SHA-384、SHA-512

5、VLAN
每个设备/接口的 802.1Q VLAN 标签数量：4,094/4,094

6、网络地址转换
NAT 模式 (IPv4)：静态 IP、动态 IP、动态 IP 和端口（端口地址转换）
NAT64、NPTv6
其他 NAT 功能：动态 IP 保留、可调式动态 IP 和端口超额订阅

7、高可用性
模式：主动/主动、主动/被动
故障检测：路径监视、接口监视

四、网络特性

I/O
(1) 10/100/1000 (2) SFP

管理 I/O
(1) 10/100/1000 带外管理端口、 (2) RJ-45 控制台端口、(3) USB 端口、(4) Micro USB 控制台端口

存储容量
64 GB EMMC