Palo Alto Networks 新世代AP防火牆為在整個企業網路上傳輸的應用程式、使用者和內容提供史無前例的可視度和控制。

防火牆是企業最重要的網路安全基礎架構元件，可以檢測所有通訊流。因此，防火牆是實施安全政策的理想位置。傳統防火牆的技術仰賴連接埠(port)、通訊協定(protocol)進行通訊流的分類，如此將導致精心設計的應用程式及技術高超的使用者可以輕鬆地規避它們，例如：在連接埠間轉換、使用SSL、暗中跨過連接埠80，或使用通常會保持開啟的非標準連接埠。

缺乏對應用程式可視性與控制的結果，將導致企業暴露在包括：網路服務中斷、違反法令遵循、增加營運成本，及 資料外洩的安全風險。為解決此問題，傳統方法要求在防火牆後面部署其他“輔助防火牆”。這種高成本的作法由於 通信流的低可視性、繁瑣的管理程序，及包括多層掃描的軟體設計、低執行效能而導致的延遲，因此並非解決問題 最佳方式。

Palo Alto Networks 新一代防火牆系列產品，回復原屬於防火牆應該具備的高效能，以及以政策為基礎，對應用程式、使用者與通訊內容的可視性和控制能力。

Palo Alto Networks 新一代防火牆的基礎是一種單通道平行處理架構(SP3; Single Pass Parallel Processing Architecture)，它採用一種獨特的軟體和硬體整合方法，可以簡化管理程序、使處理流程化且最大程度地提高性能。對於給定的一組通信流，單通道軟體可以同時執行政策查詢、應用程式識別與解碼、Active Directory 使用者對映，與內容掃描(病毒、間諜軟體及IPS)。此軟體運行在一個平行處理硬體平臺之上，平臺使用特定功能的處理器執行聯網、安全、威脅預防及管理等方面的任務，從而獲得最大執行效能，並將延遲時間減至最少。

單通道平行處理架構
(Single Pass Parallel Processing Architecture)

Palo Alto 型號

• PA-500
• PA-2000 系列
• PA-4000 系列
  

獨特的識別技術實現了可視性和控制

單通道平行處理架構實現對應用程式、使用者與內容的可視性及控制，包含三個關鍵要素，分別是：

• App-ID^TM
• User-ID
• Content-ID

這些獨特的識別技術可幫助IT管理者精準判斷網路中有哪些應用程式，如此便可讓管理員能夠做出更為合理的政策決定，並改善其安全狀況。

App-ID

通過使用多達四種不同的通訊流分類機制，App-ID^TM可準確識別網路上正在運行的應用程式，而不論這些應用程式使用哪個連接埠、通訊協定、SSL加密技術，或部署規避技術。App-ID^TM 提升管理者關於應用程式實際身份的可視性，這使得管理者可以針對入站和出站通訊流部署非常完善的應用程式使用控管政策。

Content-ID

是一個stream-based 掃描引擎，它使用統一的威脅特徵格式檢測與阻斷大量的安全威脅，並限制未經授權的檔案及敏感資料的傳輸，同時採用完整的的URL資料庫，可針對非工作相關的網路瀏覽進行控制。User-ID 同時也提供Citrix及終端服務環境的可視性，支援完整的應用程式可視性、政策制定、日誌記錄及報表。

User-ID

透過與Microsoft Active Directory緊密地整合，可將IP 位址連結至特定的使用者與群組資訊，從使IT 部門能夠根據Active Directory存儲的員工資訊，監控應用程式及相關內容。User-ID允許管理者透過使用者與群組資料執行應用程式可視性、政策制定、日誌記錄與報表。

PAN-OS 是專門針對安全性而設計，用於控制 Palo Alto Networks 新一代防火牆的作業系統，它提供豐富的防火牆、管理及網路的功能。