（全新行货Palo Alto Networks PA-450 防火墙吞吐量：3.2 Gbps；威胁防御吞吐量：1.7 Gbps

基于机器学习的下一代防火墙

• 在防火墙核心嵌入机器学习 (ML)，为基于文件的攻击提供内联无特征码攻击防御，同时识别并立即阻止前所未见的网络钓鱼尝试。
• 利用基于云的机器学习流程，将零延迟签名和指令推送回下一代防火墙。
• 利用行为分析来检测物联网设备，并作为云交付和原生集成到 NGFW 上的服务的一部分，提出策略建议。
• 实现政策建议的自动化，从而节省时间并减少人为错误的几率。

对所有端口上的所有应用程序进行持续识别和分类，并进行完整的第 7 层检测。

• 无论端口、协议、规避技术或加密（TLS/SSL）如何，都能识别通过您的网络传输的应用程序。
• 使用应用程序而不是端口作为所有安全启用策略决策的基础：允许、拒绝、调度、检查和应用流量整形。
• 提供为专有应用程序创建自定义 App-ID™ 标签的功能，或向 Palo Alto Networks 请求为新应用程序开发 App-ID。
• 识别应用程序中的所有有效载荷数据（e.g.、文件和数据模式）阻止恶意文件并挫败数据泄露企图。
• 创建标准和自定义应用程序使用情况报告，包括软件即服务 (SaaS) 报告，提供有关网络上所有已批准和未批准的 SaaS 流量的深入信息。
• 通过内置的策略优化器，可以安全地将传统的第 4 层规则集迁移到基于 App-ID 的规则，从而为您提供更安全、更易于管理的规则集。

提供集中管理和可视性

• 通过 Panorama 网络安全管理，在一个统一的用户界面中，即可对多个分布式 Palo Alto Networks NGFW（无论位置或规模如何）进行集中管理、配置和查看，从而获得诸多益处。
• 通过 Panorama 的模板和设备组功能，简化了配置共享，并可根据日志记录需求的增长扩展日志收集。PA-410、PA-415、PA-440、PA-445、PA-450 和 PA-460 允许将会话日志导出到 Panorama 和 Cortex 数据湖。PA-415、PA-440、PA-445、PA-450 和 PA-460 还支持本地会话日志记录。
• 通过应用程序指挥中心 (ACC)，使用户能够深入了解网络流量和威胁，并获得全面的洞察。

利用 AIOps 最大化您的安全投资并防止业务中断

• AIOps for NGFW 提供持续的最佳实践建议，这些建议可根据您独特的部署进行定制，以增强您的安全态势并最大限度地利用您的安全投资。
• 它基于先进的遥测数据和机器学习技术，智能预测防火墙的健康状况、性能和容量问题，并提供可操作的见解来解决预测到的故障。

启用 SD-WAN 功能

• 只需在现有防火墙上启用 SD-WAN，即可轻松采用 SD-WAN。
• 使您能够安全地实施 SD-WAN，SD-WAN 与我们业界领先的安全功能原生集成。
• 通过最大限度地减少延迟、抖动和丢包，提供卓越的终端用户体验。

防止隐藏在加密流量中的恶意活动

• 检查并对入站和出站的 TLS/SSL 加密流量应用策略，包括使用 TLS 1.3 和 HTTP/2 的流量。
• 无需解密即可提供丰富的 TLS 流量可见性，例如加密流量、TLS/SSL 版本、密码套件等。
• 能够控制对旧版 TLS 协议、不安全密码和配置错误的证书的使用，以降低风险。
• 方便部署解密功能，并允许您使用内置日志来排查问题，例如具有固定证书的应用程序。
• 允许您根据 URL 类别、源区域和目标区域、地址、用户、用户组、设备和端口灵活地启用或禁用解密，以达到隐私和合规性目的。
• 允许您创建来自防火墙的已解密流量的副本（i.e（例如，解密镜像）并将其发送到流量收集工具，用于取证、历史用途或数据丢失预防 (DLP)。
• 允许您使用网络数据包代理将所有流量（解密的 TLS、未解密的 TLS 和非 TLS）智能地转发到第三方安全工具，优化您的网络性能并降低运营成本。

无论用户身处何地，使用何种设备，都能确保其安全，并根据用户活动调整策略。

• 支持基于用户和组（而不仅仅是 IP 地址）的可见性、安全策略、报告和取证。
• 可轻松与各种存储库集成，以利用用户信息：无线局域网控制器、VPN、目录服务器、SIEM、代理等。
• 允许您在防火墙上定义动态用户组 (DUG)，以便在不等待更改应用到用户目录的情况下，采取有时限的安全操作。
• 无论用户身处何地（办公室、家中、旅行途中等）以及使用何种设备（iOS 和 Android® 移动设备、macOS®、Windows®、Linux 桌面、笔记本电脑；Citrix 和 Microsoft VDI 以及终端服务器），均采用一致的策略。
• 通过在网络层为任何应用程序启用多因素身份验证 (MFA)，防止企业凭证泄露给第三方网站，并防止被盗凭证被重复使用，而无需对应用程序进行任何更改。
• 根据用户行为提供动态安全措施，以限制可疑或恶意用户。
• 无论用户身处何地以及用户身份存储于何处，Cloud Identity Engine 都能始终如一地验证和授权用户身份，从而借助 Cloud Identity Engine 快速迈向零信任安全态势——这是一种全新的基于云的身份安全架构。

采用单遍架构，为数据包处理提供了一种独特的方法。

• 一次性完成所有威胁和内容的网络攻击、策略查找、应用程序解码和签名匹配。这显著降低了在单个安全设备中执行多种功能所需的处理开销。
• 通过一次扫描流量中的所有签名，利用基于流的统一签名匹配，避免引入延迟。
• 启用安全订阅后，可实现稳定可靠的性能。（表 1 中的“威胁防御吞吐量”是在启用多个订阅的情况下测量的。）

利用云交付的安全服务检测和阻止高级威胁

如今，复杂的网络攻击可以在 30 分钟内利用多种威胁载体和先进技术生成 45,000 个变种，从而传播恶意载荷。传统的孤立式安全机制会给组织带来诸多挑战，例如引入安全漏洞、增加安全团队的负担，以及因访问权限和可见性不一致而阻碍业务效率。

我们的云交付安全服务与我们业界领先的下一代防火墙 (NGFW) 无缝集成，利用 8 万家客户的网络效应，即时协调情报，抵御所有渠道的所有威胁。消除您各地点的安全覆盖盲区，并利用平台上始终如一的一流安全保障，抵御即使是最先进、最难以捉摸的威胁。

• 高级威胁防御： Cobalt Strike C2 可阻止已知的漏洞利用、恶意软件、恶意 URL、间谍软件和命令与控制 (C2) 攻击，对基于 Web 的 Cobalt Strike C2 的防御率高达 96%，并且检测到的未知 C2 数量比业界领先的入侵防御 (IPS) 解决方案高出 48%。
• WildFire恶意软件防护： 借助业界最大的威胁情报和恶意软件防御引擎，自动检测并阻止未知恶意软件，速度提升 180 倍，确保文件安全。
• 高级URL过滤： 利用业内首个实时阻止已知和未知网站的功能，实现安全访问互联网，比其他供应商提前 24 小时阻止 76% 的恶意 URL。
• DNS 安全： 无需对基础设施进行任何更改，即可获得 40% 以上的 DNS 攻击防护能力，并阻止 80% 利用 DNS 进行命令控制和数据窃取的攻击。
• 企业级数据防泄漏： 通过比任何云交付的企业级 DLP 提供 2 倍的覆盖范围，最大限度地降低数据泄露风险，阻止违反政策的数据传输，并在整个企业内实现一致的合规性。
• SaaS 安全： 利用业界唯一的下一代云访问安全代理 (CASB)，在 SaaS 爆炸式增长的浪潮中保持领先地位，自动查看并保护所有协议下的所有应用程序。
• 物联网安全： 借助业界最智能的智能设备安全解决方案，保护所有“事物”，并以 20 倍的速度实施零信任设备安全。