PAN的产品及网络部署

部署方式

Palo Alto Networks 新一代安全防护网关，采用全新设计的软/硬件架构，可在不影响任何服务的前提下，以旁接模式接入现有网络架构中，协助网管人员进行环境状态分析，并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」（AVR Report）。在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态，更能进一步发现潜在安全风险，作为先行预防可能面临的各种网络威胁与安全策略调整的依据。

Palo Alto Networks 新一代安全防护网关也支持以透明模式运行，以便在不影响现有路由、地址转换架构下进行布署，还能做到协助原有安全设备（F/W ,IDP ,Proxy…）分析过去无法掌握的网络使用行为、威胁攻击等信息，使其逐步成为安全控管中心，方便IT部门重新评估现有安全设备效益从而进行架构的调整，降低整体持有成本（TCO）。

Palo Alto Networks 新一代安全防护网关，能支持路由、地址转换等工作模式，主要用于首次或升级部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。

中央管理平台实现集中管理

在国家企业中心部署集中管理平台，集中对国家及各个分支企业的PA设备进行统一的管理和集中的数据挖掘分析。

Palo Alto Networks 下一代安全防护网关，除了内建的 Web 管理接口、命令接口 (Command LineInterface, CLI) 之外，总部还能额外建立中央管理系统 - Panorama。Panorama 具备与PA下一代安全网关设备内建的 Web 管理接口相同的外观与操作方式，可减少 IT 人员在转换操作接口时的学习曲线。另外，Panorama 具备管理者分权管理的功能，对于不同角色设定不同的管理权限，例如：分支企业管理者仅能针对被授权管理的设备或安全策略条目，执行必要的管理功能，而总部管理部门则可集中制定整个企业的政策，并强制所有分支或下属部门切实遵循。

PaloAlto中央管理平台Panorama，可提供全网完整的日志储存与报表分析功能。

PAN方案功能

Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷，从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。在网络的应用可是想方面能够实现：

应用程序、用户和内容的可视化

管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于管理员现有的工具无法为其提供有关网络活动的最新信息，因而使得这场竞赛的难度更大。利用 Palo Alto 新一代防火墙，管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。应用程序命令中心 (ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。

• 应用程序命令中心 (ACC)：这是一项无需执行任何配置工作的标准功能，ACC 以图形方式显示有关当前网络活动（包括应用程序、URL 类别、威胁和数据）的大量信息。如果 ACC 中出现一个新的应用程序，则单击一次即可显示该应用程序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。也可以添加更多的过滤器，从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。只需短短几分钟时间的时间，ACC 就可以为管理员提供所需的数据，供其做出更为合理的安全策略决定。

• App-Scope：作为 ACC 提供的应用程序和内容的实时视图的补充，App-scope 提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。

• 管理：为了适应不同的管理风格、要求和人员配备，管理员可以使用基于 Web 的界面、完全的命令行界面 (CLI)或集中式管理解决方案 (Panorama) 来控制 Palo AltoNetworks 防火墙的各个方面。对于各类员工需要具有访问管理界面的不同权限级别的环境，在所有这三种管理机制中均可通过使用基于角色的管理，将不同的管理职能委派给合适的个人。利用基于标准的 Syslog 和 SNMP 接口，可实现与第三方管理工具的集成。

• 日志记录和报告：实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。