Noch kein Nutzer?
Anmelden Kostenlos registrieren Produkt vorschlagen
Der Hersteller Palo Alto Networks hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Update

Neuer DNS-Sicherheitsprotokolltyp

Firewall der PA-3400-SerieFirewall der PA-3400-Serie
Palo Alto Networks
Update von patrick-devicebaseUpdate von:
patrick-devicebase (Experte)

Einführungen von PAN-OS 12.1
Mit dieser Version werden zwei wichtige Funktionen zur Verbesserung der Netzwerksicherheit und -transparenz eingeführt.

Neuer DNS-Sicherheitsprotokolltyp:

  • Zuvor wurden DNS-Sicherheitsereignisse mit Bedrohungsprotokollen vermischt. Ein neuer, dedizierter Protokolltyp bietet nun eine separate, detailliertere Ansicht des gesamten DNS-Verkehrs - sowohl des bösartigen als auch des gutartigen.
  • Diese neuen Protokolle enthalten umfassende Transaktionsdetails, wie z. B. Abfrage- und Antwortinformationen, die eine bessere Erkennung von Bedrohungen, die Untersuchung von Vorfällen und eine rückblickende Analyse ermöglichen.
  • Die Protokolle können an externe Systeme weitergeleitet werden und sind in der Protokollanzeige und im Dashboard verfügbar.

Unterstützung für Brotli-Dekomprimierung:

  • Die Content-Based Threat Detection (CTD)-Engine unterstützt jetzt Brotli, ein hocheffizientes Komprimierungsformat für Webinhalte.
  • Dadurch kann die Firewall Datenverkehr dekomprimieren und untersuchen, der zuvor durchgelassen wurde, und schützt so vor Angreifern, die Brotli zur Umgehung der Sicherheit verwenden.
  • Diese Funktion verbessert die Erkennung von Bedrohungen für verschiedene Sicherheitsdienste, einschließlich Advanced WildFire, Advanced Threat Prevention und Advanced URL Filtering. Aufgrund der Ressourcenanforderungen ist diese Funktion nur auf ausgewählten Plattformen verfügbar.

Automatische Telemetrie-Aktivierung

  • Die Telemetrie wird jetzt beim Einschalten des Geräts automatisch aktiviert und so konfiguriert, dass Daten in die richtige Region gestreamt werden. Dies macht die manuelle Einrichtung überflüssig und vereinfacht die Verwaltung über den Strata Cloud Manager, was einen schnelleren Support und Leistungseinblicke in Echtzeit ermöglicht.

Quantum Key Distribution

  • Mit dieser Funktion kann Ihre Firewall eine quantensichere Kryptografie für IPsec-VPN-Verbindungen verwenden, die vor fortschrittlichen Bedrohungen wie "Harvest Now, Decrypt Later"-Angriffen schützt. Sie ist ideal für Branchen, die mit sensiblen Daten umgehen.

Sicherheitsverbesserungen

  • PAN-OS verwendet jetzt die Integrity Measurement Architecture (IMA) zum Schutz vor komplexen Angriffen. IMA erlaubt nur die Ausführung kryptografisch signierter Binärdateien und verhindert so Malware und Dateimanipulationen. Sie können das System so konfigurieren, dass es Verstöße entweder protokolliert oder zur Untersuchung in den Wartungsmodus wechselt.

Gerätesicherheitseinstellungen

  • Diese Funktion gibt Ihnen die Kontrolle darüber, wie Ihre Firewall auf Sicherheitsverletzungen auf Systemebene reagiert. Sie können das System so konfigurieren, dass es entweder weiterläuft oder automatisch in einen Wartungsmodus wechselt, um potenzielle Kompromittierungen einzudämmen.

Plugin-Bündelung

  • Die neue Plugin-Bündelungsfunktion automatisiert die Plugin-Verwaltung, indem kompatible Plugins während eines Upgrades direkt in das Basis-Image integriert werden. Dies macht manuelle Downloads überflüssig, verhindert Versionsabweichungen und gewährleistet einen nahtlosen, konfliktfreien Aktualisierungsprozess.
    -
    Upgrade-Prüfungen
  • Diese Funktion hilft Ihnen bei der Vorbereitung von Upgrades, indem sie Berichte zu kritischen Themen wie Speicherplatz und Lizenzvalidierung erstellt. Nach einem Upgrade können Sie einen Vergleichsbericht erstellen, um die Funktionalität zu überprüfen, was dazu beiträgt, Ausfälle zu reduzieren und Ausfallzeiten zu minimieren, insbesondere bei großen Installationen.

Zero Touch Provisioning über Mobilfunk

  • ZTP over Cellular ermöglicht die automatische Bereitstellung und Konfiguration von Firewalls an entfernten Standorten über Mobilfunkschnittstellen. Dies vereinfacht die Einrichtung, senkt die Betriebskosten und gewährleistet eine konsistente Verwaltung von verteilten Netzwerken oder Standorten mit eingeschränkter kabelgebundener Konnektivität.

DNS-Rewrite mit Zustandsprüfung

  • Diese Funktion ermöglicht eine granulare Kontrolle über die DNS-Adressübersetzung. Sie können DNS-Rewrite jetzt so konfigurieren, dass es nur für bestimmte Clients auf der Grundlage der Quellzone oder -adresse und nicht global gilt. Dies ist nützlich für Umgebungen mit verschiedenen Benutzergruppen, die ein unterschiedliches Verhalten bei der DNS-Auflösung erfordern.

GRE-Tunnel über eine zellulare Schnittstelle

  • Sie können jetzt GRE-Tunnel über Mobilfunkverbindungen auf NGFWs aufbauen. Dies ist besonders nützlich für die sichere Verbindung entfernter IoT-Geräte und die Erweiterung der Routing-Infrastruktur an Standorten ohne herkömmliche kabelgebundene Konnektivität und bietet Flexibilität für dynamische IP-Adressen in mobilen Umgebungen.

Unterstützung der PA-5450 Firewall für Secure Web Gateway

  • Die PA-5450 Firewall unterstützt jetzt die Funktion Secure Web Gateway (SWG). Damit wird die leistungsstarke Multi-CPU-Architektur der PA-5450 genutzt, um eine verbesserte Leistung und Skalierbarkeit für Proxy-Lösungen mit hohem Datenverkehr in großen Unternehmen und Rechenzentren zu ermöglichen.

Unterstützung von IPv6-Geolokalisierung

  • Dieses Update fügt IPv6-Unterstützung für IP-Geolokalisierung hinzu und sorgt für Transparenz und Kontrolle in Dual-Stack- und reinen IPv6-Umgebungen. Es vereinfacht die Richtlinienverwaltung, indem es Ihnen ermöglicht, konsistente Sicherheitsrichtlinien in IPv4- und IPv6-Netzwerken über einen einzigen globalen Switch durchzusetzen.

Erweiterte Anwendungsprotokolle für ICMPv6

  • PAN-OS verwendet jetzt Deep Packet Inspection, um erweiterte Anwendungsprotokolle von ICMPv6-Nachbarschaftserkennungsprotokoll (NDP)-Paketen zu erstellen. Dies ermöglicht eine bessere Geräteerkennung und unterstützt Advanced Device-ID für IPv6-Bereitstellungen.

Erweiterte Paketerfassung mit Unterstützung von Bereichsfiltern

  • Sie können jetzt Bereichsfilter verwenden, wenn Sie benutzerdefinierte Paketerfassungen (PCAPs) erstellen. Diese neue Funktion vereinfacht die Fehlersuche, da Sie Pakete auf der Grundlage eines Bereichs von IP-Adressen, Ports oder Protokollen erfassen können, selbst wenn die genauen Werte nicht bekannt sind.

Optimierung der Skalierung des Log Collectors

  • Um Leistungsengpässe in großen Protokollsammlungsumgebungen zu beheben, optimiert der Log Collector jetzt den Auswahlprozess für den Masterknoten. Mit Log Collector Scaling können Sie explizit Master-fähige Knoten auswählen. Wählen Sie maximal vier Log Collectors pro Collector Group, um die beste Leistung zu erzielen.
    Bisher kamen alle Log Collectors innerhalb einer Collector Group als Masterknoten in Frage. Wenn der aktive Master ausfiel, wählte das System dynamisch einen neuen. Dieser Wahlprozess erforderte eine kontinuierliche Kommunikation zwischen zahlreichen Knoten, was insbesondere bei größeren Bereitstellungen einen erheblichen Overhead verursachte. Durch die Reduzierung der Anzahl potenzieller Master-Knoten können Sie nun eine höhere Protokollierungsrate erreichen.
    Die Skalierung von Log Collector unterstützt alle Plattformen und ermöglicht eine deutlich höhere Protokollierungsrate. Mit einer Collector Group, die bis zu 16 M-700 Appliances nutzt, können Sie jetzt die Log-Ingestion-Raten auf über 1 Million Logs pro Sekunde (lps) skalieren. Diese Skalierungsstufe wird derzeit nur von M-700 Appliances unterstützt.
    Sie können bestimmte Log Collectors auf der Grundlage strategischer Kriterien wie Hardware-Kapazität, Netzwerkstabilität oder geografische Verteilung als Master-geeignete Knoten festlegen, um Ihre Protokollierungsarchitektur zu optimieren.
    Sie können masterfähige Knoten entweder über die Panorama-Webschnittstelle oder die Befehlszeilenschnittstelle konfigurieren. Bei der Implementierung dieser Funktion sollten Sie die Knoten mit den besten Hardwarespezifikationen, Netzwerkverbindungen und der besten geografischen Verteilung auswählen, um eine optimale Leistung und Verfügbarkeit zu gewährleisten. Dieser Ansatz sorgt für ein besser vorhersehbares Verhalten bei Failover-Szenarien und eine effizientere Ressourcennutzung in Ihrer Collector Group. Durch die strategische Auswahl der Master-geeigneten Knoten können Sie eine robustere Protokollierungsinfrastruktur schaffen, die auch unter anspruchsvollen Bedingungen eine hohe Leistung beibehält.
    Verbesserte gemeinsame Optimierung

Eingeführt in PAN-OS 12.1.2

  • Die Funktion Enhanced Shared Optimization verbessert nun erheblich die Art und Weise, wie Panorama Konfigurationen auf Multi-Vsys-Firewalls überträgt, und löst kritische Herausforderungen wie Objektduplizierung, Speichererschöpfung und Commit-Fehler.
    Die Funktion führt den Modus Vollständige Optimierung ein, mit dem Sie alle Firewall-Objekte in den gemeinsamen Speicherort der Firewall verschieben können. Dies schließt die zuvor ausgeschlossenen Objekte ein, wie z. B. externe dynamische Listen (EDLs), benutzerdefinierte URL-Kategorien und verschiedene Sicherheitsprofile, wie z. B. Antivirus-, Antispyware-, URL-Filter- und HIP-Objekte. Dadurch wird die Replikation von Objekten über einzelne virtuelle Systeme hinweg vermieden. Dadurch wird die Konfigurationsgröße in typischen Bereitstellungen drastisch reduziert und Übertragungsfehler durch Überschreitung der Objektgrenzen verhindert.
    Diese Verbesserung rationalisiert die Verwaltung, erhöht die Skalierbarkeit und verhindert, dass Bereitstellungen an Objektgrenzen stoßen.
Version: PAN-OS 12.1 Link
Weitere UpdatesZum Produkt
Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende Palo Alto Networks Firewall der PA-3400-Serie Updates

Mehr aus dem Bereich IT-Infrastruktur

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Udemy IT certification ad