5 новых сетевых функций в PAN-OS 7.0
bakotech
  
Новости
5 новых сетевых функций в PAN-OS 7.0
09 июл 2015

Учитывая пожелания пользователей Next Generation Firewall Palo Alto Networks, разработчики включили в релизе PAN-OS 7.0 новый сетевой функционал.

ECMP

Файрвол Palo Alto Networks теперь поддерживает Equal Cost Multipath (ECMP). При включении ECMP, таблица маршрутизации может иметь до четырех равнозначных маршрутов к одной цели (Destination), что позволяет балансировать нагрузку трафика, в большей мере использовать доступную пропускную способность и перенаправлять трафик динамически к другому члену ECMP, в случае если маршрут поврежден. Кроме того, есть возможность выбрать один из нескольких алгоритмов балансировки нагрузки для определения того, какие равнозначные пути виртуальный маршрутизатор должен использовать для соединения с целью.

Поддержка опции DHCP

Файрвол Palo Alto Networks, настроен как DHCP-сервер, теперь посылает полный набор опций для DHCP-клиентов (включая предустановленные варианты и настроенные пользователями), среди которых может быть широкий спектр офисного оборудования, например, IP-телефоны и беспроводные устройства. Каждая опция поддерживает несколько значений, которыми могут быть IP-адреса, ASCII-текст, или шестнадцатеричные значения. С расширенной поддержкой DHCP-опций на файрволе, филиалам уже не нужно покупать и управлять своими собственными серверами DHCP для того, чтобы обеспечить для пользователей сервис DHCP.

Гранулированные опции блокировки трафика в политике безопасности

В ходе конфигурации политики безопасности, которая предназначена блокировать трафик, устройство может или сбросить соединение (reset) или отбрасывать пакеты (drop). Второй случай вызывает в некоторых приложениях ошибки и на стороне пользователя это выглядит как «зависание». Поэтому с новым релизом появилась возможность выполнять более изящные действия для блокировки потоков данных (см. Рис.1)

Рис.1. Гранулярная блокировка трафика

QoS на агрегированных интерфейсах

Теперь вы можете включить сервис QoS на агрегированных интерфейсах, настроенных на платформах серии РА-5000, PA-3000, PA-2000 и РА-500. Агрегированный интерфейс – это два или более интерфейсов, связанных вместе для комбинирования пропускной способности и повышения отказоустойчивости канала связи. При использовании таких интерфейсов в ходе масштабирования сети, включение QoS дает возможность выставить приоритеты на отдельные потоки данных, распределить и гарантировать повышенную пропускную способность. Поддержка QoS на агрегированных интерфейсах в модели файрвола PA-7050 началось еще в PAN-OS 6.0.0.

IKEV2

IPSec VPN теперь поддерживает Internet Key Exchange Version 2 (IKEv2), в дополнении к IKEv1 (исключение только для GlobalProtect клиента). Наличие IKEv2 предоставляет следующие возможности:

  • обмен меньшими сообщениями, чем в IKEv1 в ходе настройки конечных точек туннеля,
  • проверка доступности конечных точек туннеля и его состояния (up/down)
  • поддержка NAT,
  • поддержка обмена хеш и url-сертификатами, что уменьшает фрагментацию и вероятность DoS-атак,
  • поддержка проверки cookie в ходе установки соединений. Это важно в случае, когда пороговое значение одновременных сеансов IKE SA достигнуто, потому что может возникнуть угроза DoS-атак.
  •  

Более детальную информацию по релизу PAN-OS 7.0 и новым возможностям файрвола Palo Alto Networks вы можете найти на сайте Palo Alto Networks.

К списку новостей      >