Palo Alto Networks hat vor Kurzem die neueste Version seines Firewall-Betriebssystems PAN OS angekündigt und die Kernfeatures und Neuerungen hervorgehoben. In einem Punkt hat Palo Alto noch deutlich zugelegt: Das schon vergleichsweise sehr gute Reporting wurde um einige weitere Möglichkeiten und Filter ergänzt, um noch besser den Kundenanforderungen gerecht zu werden.
Die Automated Correlation Engine steht fortan ab der PA-3000er-Reihe zur Verfügung und sucht das Netzwerk nach Bedrohungen ab. Die Analyse der Daten kann auch auf einer Panorama Appliance (Hardware und Virtual Appliance) stattfinden. Ziel der Automated Correlation Engine ist das Aufspüren von Bedrohungsquellen im Netz, wie beispielsweise infizierte Hosts. Reports können nun nach virtuellem System bzw. Systemnamen generiert werden. Die Adressgruppenbeschränkung wurde von 500 Objekten je Adressgruppe auf 2500 Objekte angehoben.
Zudem ist eine sogenannte „Global Find“-Funktion, also eine Suche über alle Elemente hinweg, implementiert worden. Das erleichtert, Zusammenhänge beispielsweise von Objekten und Policies zu analysieren und zu verstehen. Thematisch angrenzend ist der neue Tag-Browser, mit dem sich Objekte finden lassen, die zuvor mit einem digitalen Anhängeschild versehen wurden.
Beim Sichern der Candidate Config werden nun zusätzliche Validierungs-Checks vorgenommen, die die Syntax und Semantik prüfen.
Natives LLDP und LLDP via SNMP wird nun auch unterstützt, um benachbarte Geräte abzufragen. Auch bei der Content Inspection hat sich einiges getan. So können beispielsweise Dateien, die mindestens fünf mal verschlüsselt wurden, von den PA Firewalls geblockt werden. Von nun an wird auch Kerberos SSO (v5) zur Authentifizierung am Admin Web Interface und dem Captive Portal unterstützt. TACACS+ und eine Backend Authentication Connectivity-Prüfung sind ebenfalls ab PAN OS 7 mit an Bord.
Die Wildfire Appliance WF-500 unterstützt nun Java AV-Signaturen und eine Prüfung von E-Mail Links.
Weitere Features, die hinzugekommen sind, sind u.a.
-
IKEv2 Support für VPN-Tunnel
- IPv6 IPsec Support
- Licensing:
- Lizenz-Neuzuweisung kann nun über das Self Service Portal vorgenommen werden
- Amazon AWS wird nun möglich, nach Nutzung zu lizensieren
-
Per Virtual System Service Routes
-
TCP Split Handshake Drop
-
Session-based DSCP Classification
-
QoS on Aggregate Ethernet (AE) Interfaces
- ECMP (Equal Cost Multi Path)
- …
KOMMENTARE