(完整版)PaloAlto下一代防火墙网络安全解决方案

PaloAltoNetworks

安全解决方案2012-2金志勇题目背景介绍产品特点介绍解决方案案例及总结©2011PaloAltoNetworks.ProprietaryandConfidential.Page2|背景介绍关于PaloAltoNetworksPaloAltoNetworks专业网络安全公司具有安全和网络经验世界级的团队成立在2005下一代防火墙的领导者并支持上千种应用的识别和控制恢复防火墙在企业网安全核心位置创新技术:App-ID™,User-ID™,Content-ID™是硅谷著名的公司，很多大公司全球范围部署我们产品，全球100多个

国家5400+个客户，用户包括半数以上的全球500强企业被Gartner评为最具远见厂商themanyenterprisesthathavedeployedmorethan$1MPage4|

2010Gartner企业防火墙市场魔力四象限PaloAltoNetworksCheckPointSoftwareTechnologiesJuniperNetworksCiscoFortinetMcAfeeStonesoftSonicWALLWatchGuardNETASQAstarophion3Com/H3CcompletenessofvisionvisionariesabilitytoexecuteAsofMarch2010nicheplayersSource:Gartner2011Gartner企业防火墙市场魔力四象限PaloAltoNetworks公司的下一代防火墙正在领导着市场技术方向Gartner指出:“PaloAltoNetworks公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对手改变产品路线和销售策略。”Gartner的建议：在下次升级防火墙，IPS，或者两者兼而有之可以迁移到下一代防火墙Gartner的预测到2014年：35%防火墙或被下一代防火墙替代60%新采购的防火墙将是下一代防火墙

Source:Gartner,December14,2011©2011PaloAltoNetworks.ProprietaryandConfidentialPage7|

网络安全变化端口

≠

应用IP地址

≠使用者威胁>>

漏洞需要恢复在防火墙对应用可视性和控制当今的网络安全基于过时的假设，但是看到现实就是：Port

135Port

137RPCSMSSQLSharePointSMBPort

80Port

139应用中采用动态的，随机的，频繁使用常用端口-从根本上打破基于端口的网络安全Port

443NetBIOS*加上众多的高位随机端口©2011PaloAltoNetworks.ProprietaryandConfidential.Page8|

1.识别应用无论采用任何端口，协议，逃逸方法或SSL2.不管IP地址是何，能够识别用户3.实时阻止应用程序中携带的威胁对应用程序访问/功能，能够实现细粒度的可视性和

策略控制5.高性能,in-line部署没有性能的下降答案?这些都是防火墙需要做的事情！产品特色综述©2011PaloAltoNetworks.ProprietaryandConfidential.Page9|创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：

IP地址控制=用户控制╳端口控制=应用控制╳独有的硬件系统架构，解决了传统安全方案的性能问题：

--功能（IPS、AV、QoS...）启用的多寡不会影响性能

--策略（Rule）配置的数量与性能无关业界领先的统一系统平台，极大地简化了传统的结构和管理：

--传统多个独立安全系统的组合简化为单个系统

--错综复杂的安全策略体系简化为逻辑简单清晰的单一体系强大的应用识别与控制（超过1400个应用识别）能力，

在威胁防范上具有强大优势填补了传统安全系统在

应用控制方面的短板。CustomerCount2011产品特点介绍新的识别技术©2011PaloAltoNetworks.ProprietaryandConfidential.Page11|

App-ID™应用识别User-ID™识别用户Content-ID™内容的扫描端口

≠

应用IP地址≠使用者多重威胁

>>漏洞App-ID:综合型应用可视性对5大类25个子类的1200多种应用程序实施基于策略的控制平衡控制各种业务、互联网与网络应用程序以及网络协议每周都会新增3-5种应用程序应用程序覆盖（Appoverride）与自定义HTTP应用程序可帮助追踪内部应用程序地址/applipedia/©2009PaloAltoNetworks.ProprietaryandConfidential

3.0-aPage13|

/applipedia/©2009PaloAltoNetworks.ProprietaryandConfidential

3.0-aPage14|

滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用消耗带宽具有规避性（逃逸）普遍使用/applipedia/©2009PaloAltoNetworks.ProprietaryandConfidential

3.0-aPage15|

应用统计Proxy42种远程访问应用64种Risk等级在4-5的应用（高危险应用）453种Webmail应用62种

brower-base应用534种IM应用136种，其中39种是高危应用基于brower-base的IM应用53种文件共享类应用172种采用动态端口234应用统计by威胁因素高风险应用导致的业务风险应用程序文件传输会导致数据泄漏；逃逸或传递其他应用程序的能力可导致合规性的风险；高带宽消耗相当于增加运营成本，而易受恶意软件和漏洞攻击的应用程序可引入业务连续性风险。DataLost数据泄露:文件传输可导致数据泄露Compliance合规:逃避检测或传递其他应用导致合规风险OperationalCost运营成本:高带宽消耗等于增加成本Productivity(生产力):社区网络和媒体应用导致降低生产力BusinessContinuity业务连续性:容易受到恶意软件和漏洞攻击的应用导致的业务连续性风险©2011PaloAltoNetworks.ProprietaryandConfidentialPage19|

风险最高的已用应用程序（排名风险4和5）©2011PaloAltoNetworks.ProprietaryandConfidentialPage20|

使用HTTP的应用程序Content-ID:实时内容扫描基于串流、而非文件的实时扫描性能统一签名引擎可扫描单通道内的各种威胁漏洞攻击(IPS)、病毒、及间谍软件(下载内容及phone-home)按类型阻止敏感数据与文件传输查找CC#与SSN模式查看文件内部内容，确定其类型-而非基于扩展通过完全集成式URL数据库，启用网络过滤功能本地20MURL数据库(76类)可最大化性能(1,000’个URL/秒)动态数据库适于本地、区域、行业专用浏览模式探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览SecurityProfilesSecurityProfiles查找的是被允许流量当中恶意的软件SecurityPolicies在被允许的流量中定义的©2010PaloAltoNetworks.ProprietaryandConfidential2.1v1.0滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用具有规避性（逃逸）

将各类威胁清楚呈现？©2010PaloAltoNetworks.ProprietaryandConfidential.Page23|

对威胁具备高度的分析能力与全新的管理思维全球知名IPS认证机构NSSLab认证 NSSLabs性能测试,2010公认的行业领导者的IPS测试测试是基于公认的NSSIPS测试方法测试是在真实环境下使用了1179个现存的攻击进行的标准结果综合评级被推荐IPS识别率93.4%(2.3Gbps)性能2.3Gbps(是我们标称性能的115%)*IPS逃避100%识别阻止简单的调节和管理“通过策略调整只有三个设置”NSS报告

/literature/forms/nss-report.php*提供的PA-4020进行测试，它具有2Gbps的威胁防护性能针对常见攻击手法阻挡率高达93.4%全球排名第一NSS报告结果汇总NSSGroupTest

Q42009©2011PaloAltoNetworks.ProprietaryandConfidential.StandaloneTest

Q32010ReadthefullPaloAltoNetworksReportherehttp:///literature/forms/nss-labs-report.phpGetmoreinformationonthe2009GroupTestherehttp:///research/network-security/network-ips/ips-2009-q4.html现代恶意行为策略发生变化InfectionEscalationRemoteControl恶意软件具有针对性，具有隐蔽性特点，持续攻击未知的威胁NGFW分类已知的流量客户化应用签名对于专有应用任何“未知”的流量，可以跟踪和调查Botnet行为报告自动关联最终用户的行为，发现有可能感染了BOTNET的客户未知的TCP和UDP，动态DNS，重复文件下载/尝试，最近注册的域名等联系©2010PaloAltoNetworks.ProprietaryandConfidential.Page27|

647770146

Findspecificusersthatarepotentiallycompromisedbyabot

Jeff.Martin©2010PaloAltoNetworks.ProprietaryandConfidentialBotnet行为检测分析从流量、威胁、URL日志中收集识别疑似的被botnet感染的主机

生成分析报告被感染主机列表,描述(主机被感染的理由)可配置的参数用户检测botnets未知TCP/UDPIRCHTTPtraffic(恶意网站，最近注册，IP域，动态域名)

客户配置查询特定的域名WildFire架构提供应对未知威胁©2011PaloAltoNetworks.ProprietaryandConfidential.Page29|

UnknownFiles

来自互联网比较是否是已知的威胁自动在沙箱环境下运行签名的生成服务入口看到列表设备提交此文件到WildFire云中同时新的签名库通过正常的威胁更新到所有用户中.现代入侵防御的最佳实践1.主动降低攻击的范围2.控制应用程序功能的传播3.在理论上和实践中防范所有威胁4.转移到用户感知执行和报告©2011PaloAltoNetworks.ProprietaryandConfidential.Gartner’s推荐:“在下次升级可以迁移到下一代防火墙-无论是防火墙，IPS，或者两者兼而有之.”

ReadthefullGartnerreporthere为了切实保护网络，企业需要超越传统IPS解决方案提供的功能http:///literature/research/Gartner-NGFW-Report.html传播途径控制是根本©2011PaloAltoNetworks.ProprietaryandConfidential.控制威胁+控制传播途径✕传统IPS忽略了威胁传播途径威胁和传播途径覆盖面不断变化©2011PaloAltoNetworks.ProprietaryandConfidential.

威胁控制威胁类型PaloAltoNetworksTraditionalIPSVulnerabilityExploitsMalwareURLsVirusesBotnets传播途径PaloAltoNetworksTraditionalIPSSSLandEncryptionCompressedContentTunnelsandProxiesOutboundPhoneHome

传播途径控制

User-ID:企业目录集成用户再无需仅靠定义IP地址防范威胁利用现有活动目录（ActiveDirectory）架构，无需复杂代理转出识别Citrix用户并将策略应用与用户及群组，而非仅靠IP地址识别根据实际AD用户名而非仅是IP，了解用户应用与威胁行为根据用户及/或AD群组管理与实施策略调查安全事件，编制自定义报告用户信息的使用在日志文件中通过User/Group排序通过User过滤日志在SecurityPolicy中通过user/Group控制应用使用©2010PaloAltoNetworks.ProprietaryandConfidential

3.1-bPage34|

后台获取用户和IP信息–ActiveDirectory©2010PaloAltoNetworks.ProprietaryandConfidential

3.1-bPage35|

使用代理程序链接Domain获得Users,Groups和Groupmembership信息使用代理程序维护这种映射关系DomainControllers单通道&并行处理™(SP3)系统架构©2011PaloAltoNetworks.ProprietaryandConfidential.Page36|单通道处理数据包一次操作流量分类

（应用识别)用户/组

对应内容扫描

–威胁,URLs,敏感信息而且仅仅执行单一策略并行处理技术特定功能的并行处理硬件引擎独立的数据/控制平面高达20Gbps(App-ID),低延时©2008PaloAltoNetworks.ProprietaryandConfidential.Page37|

ContentScanningHWEnginePaloAltoNetworks’uniformsignaturesMultiplememorybanks–memorybandwidthscalesperformanceMulti-CoreSecurityProcessorHighdensityprocessingforflexiblesecurityfunctionalityHardware-accelerationforstandardizedcomplexfunctions(SSL,IPSec,decompression)DedicatedControlPlaneHighlyavailablemgmtHighspeedloggingandrouteupdates10GbpsContentScanningEngineRAMRAMRAMRAMDual-coreCPURAMRAMHDD10GigNetworkProcessorFront-endnetworkprocessingoffloadssecurityprocessorsHardwareacceleratedQoS,routelookup,MAClookupandNATCPU16..SSLIPSecDe-CompressionCPU1CPU210GbpsControlPlaneDataPlaneRAMRAMCPU3QoSRoute,ARP,MAClookupNAT全新设计硬件架构强化性能配置在过去，当联机数或流量异常暴增时也一并影响了安全设备的管理功能…为什么可视性和控制，必须在防火墙完成©2011PaloAltoNetworks.ProprietaryandConfidential.Page38|

PortPolicy

DecisionAppCtrlPolicy

Decision作为一个附加功能的应用控制基于端口控制FW+应用控制(IPS)=2套处理策略仅仅阻止你明确寻找的应用程序的威胁结果网络（端口）访问的决定没有任何信息依据不能安全的启用应用IPSApplicationsFirewallPortTrafficFirewallIPSAppCtrlPolicy

DecisionScanApplication

forThreatsApplicationsApplicationTrafficNGFW应用控制应用控制在防火墙完成=单策略可视性基于所有端口,所有流量,随时结果网络访问的决定基于应用识别安全的启用应用你可以看到…基于端口FW+附加应用控制问题©2011PaloAltoNetworks.ProprietaryandConfidential.Page39|

真正下一代防火墙能看到的©2011PaloAltoNetworks.ProprietaryandConfidential.Page40|

基于应用和用户限制允许的商业应用的流量减少攻击的数量级无盲点完整的威胁库双向检查SSL扫描扫描压缩文件扫描隧道和代理内容©2010PaloAltoNetworks.ProprietaryandConfidential.Page41|

给予客户端适当的行为规范进一步针对所允许的数据流进行相关安全检查下一代防火墙的控制掌握您所管理的网络数据流©2011PaloAltoNetworks.ProprietaryandConfidential.Page42|

PAN-OS兼容传统防火墙功能强大的网络功能基础动态路由(BGP,OSPF,RIPv2)Tap模式–连接SPAN端口虚拟线(“Layer1”)用于透明部署L2/L3交换策略转发-Policy-basedforwardingVPNSite-to-siteIPSecVPNSSLVPNQoS流量整形最大/保障和优先级基于用户,应用,接口,安全域,等实时带宽监控基于安全域架构所有接口赋予安全域用于策略实施高可用Active/active,active/passiveConfiguration和session同步Path,link,及HA监控虚拟系统建立多个虚拟防火墙在单设备中(PA-5000,PA-4000,和PA-2000Series)简单，灵活管理CLI,Web,Panorama,SNMP,Syslog对应用、用户、内容的可视性和控制补充了核心防火墙的功能PA-500PA-2020PA-2050PA-4020PA-4050PA-4060PA-5060PA-5050PA-5020PA-200硬件+软件系列概述所有硬件系列采用同一个操作系统，功能完全相同内置应用识别功能（可以基于应用、而不是端口设定策略），支持客户化的应用签名内置数据分析挖掘功能内置传统防火墙的功能(免费的IPsec,SSL,QOS的功能）支持L1,L2,L3的混合部署方式内置基于敏感内容的查询，文件扩展的过滤，支持自定义的URL分类在PA2000,4000,5000系列支持虚拟防火墙，在4000,5000缺省自带多个虚拟防火墙的授权A/P&A/A*

模式威胁防护软件许可支持（(Anti-Virus,IPS,Anti-Spyware)统一签名库

网址过滤库支持76个大类的专业URL过滤GlobalProtect许可客户端安全防护许可©2009PaloAltoNetworks.ProprietaryandConfidential

3.0-aPage43|

©2008PaloAltoNetworks.ProprietaryandConfidential.对数据流具备高度的分析能力与全新的管理思维-内置综合的可视性分析Enterprise2.0WEB2.0App-IDUser-IDContent-ID有哪些应用被使用…谁在用这些应用

…文件及其内容关键信息传输过滤…入侵防御、病毒、恶意软件检测Cloudcomputing如何将各类数据流流清楚呈现？可视性分析©2008PaloAltoNetworks.ProprietaryandConfidential.Page45|

实施更具灵活性、直观与精确的安全策略默认支持客户端环境常见的应用程序（1400+）并进行分类在安全策略定义时使用可依据客户端个人或群组直接进行安全策略定义大幅提升安全策略精确度（ByUser-ID&AP-ID）并立即了解相关触发事件记录举例:允许商业及网络应用允许IM但是阻止文件传输阻止P2P只读facebook精确地对客户端、群组及其网络行为进行规范…©2008PaloAltoNetworks.ProprietaryandConfidential.Page46|

谁在访问哪些应用哪里使用哪些安全策略哪些威胁快速完成各类事件的搜寻与分析在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行梳理各种网络问题的原因？解决方案灵活的部署选项可视性透明串行更换防火墙具有应用程序、用户与内容的可视性，无需串行部署具有全面应用程序可视性与控制性的威胁防护集成了威胁防护

&URL过滤用对应用程序的可视性与控制特性替代防火墙防火墙+威胁防护防火墙+威胁防护

+URL过滤多种工作模式可同时并存NATModeInternet服务器群客户端

/分支子网SPANModeVWireMode有效扩大安全防御纵深、广度并维持高度的管理效率！极具弹性与高效益的布署模式下一代防火墙保护范围同样的下一代防火墙,产生不同的收益…边界识别和控制应用、用户和内容积极的启用数据中心基于用户和应用网络分割高性能威胁防护分布式企业分支办公室远程用户延伸统一的安全到所有用户和地点可视化对于应用、用户和内容边界防御互联网混乱的管理不是正确方案管理复杂购买与维护成本高昂防火墙“助手”对流量的查看有限最终仍无法解决问题不同设备太多的日志需要存储和分析如何找到不同日志之间关联性不能迅速找到问题根源互联网UTM同样混乱...结果也只是导致处理速度更慢无法解决问题防火墙“助手”功能对流量的查看有限启动流量查看功能，却又会影响性能传统的多通道架构速度缓慢基于端口/协议的IDL2/L3网络、高可用性（HA）、配置管理、报告基于端口/协议的IDHTTP解码器L2/L3网络、高可用性（HA）、配置管理、报告URL过滤策略基于端口/协议的IDIPS签名L2/L3网络、高可用性（HA）、配置管理、报告IPS策略基于端口/协议的ID防病毒签名L2/L3网络、高可用性（HA）、配置管理、报告防病毒策略防火墙策略IPS解码器防病毒解码器&代理安全方案-1~IT系统的安全边界-控制及威胁保护应用的可视性和控制对放行的流量进行精细化威胁防护检查统一的基于应用、用户、内容的策略PA200，500,2000,4000,5000威胁防护许可URL过滤许可安全方案-2~总部/分支的安全互连建立IPsec，SSLVPN在VPNTunnel中应用的可视性和控制对放行的流量进行精细化威胁防护检查统一的基于应用、用户、内容的策略PA500,2000,4000,5000威胁防护许可URL过滤许可通过异构能够实现和传统解决方案共存实例同样的下一代防火墙,产生不同的收益…边界识别和控制应用、用户和内容积极的启用互联网互联网边界延伸边界延伸-Global-protect分布式企业分支办公室远程用户延伸统一的安全到所有用户和地点可视化对于应用、用户和内容GlobalProtect©2011PaloAltoNetworks.ProprietaryandConfidential.Page60|

无论在何处不会‘离网’所有NGFW协同工作提供私有‘云’安全工作流程:安装客户端代理软件能够判断所在网络位置(在企业还是离开企业网络)如果‘离开’会自动连接最近的NGFW通过SSLVPN内置代理软件提供主机信息(patchlevel,diskencryption,等)到网关网关能够执行安全策略通过App-ID,User-ID,Content-ID以及主机信息策略企业网安全的架构©2011PaloAltoNetworks.ProprietaryandConfidential.Page61|

建立逻辑边界，不受物理范围限制对内对外实现同样深度的保护通过专用防火墙执行安全动作,而不是终端统一的可视性报告、合规及报告数据中心ChangesInTheDataCenterAttacksVirtualizationComplianceGreenPerformanceResiliency©2011PaloAltoNetworks.ProprietaryandConfidential.Page63|符合数据中心的要求越来越难数据中心安全=折中性能还是安全多功能还是简单效率还是可视性©2011PaloAltoNetworks.ProprietaryandConfidential.Page64|

并且,不是所有的数据中心需求都是一样的©2010PaloAltoNetworks.ProprietaryandConfidential.Page65|

传统安全设备

对于服务主机的防护缺陷WANand

InternetUsersDomainUsersDevelopment

ServersInfrastructure

ServersExchangeOWA

Servers没有用户识别/应用控制功能仅仅是Layer4控制策略很难满足对相关规范支持

（ISO27001,PCI）允许所有PORT80,443的流量到服务主机，但利用这些端口的攻击或异常行为却不胜枚举！企业数据中心–更好，更有效的安全©2011PaloAltoNetworks.ProprietaryandConfidential.Page66|

有效安全应用用户内容扫描

灵活的方式L1/L2/L3/混合模式VLANtrunking,链路聚合

举例:网络分割

(PCI)

举例:保障安全

开发人员使用SQL应用任何端口…

仅仅

Oracle,SQLServer,MySQL,

和

DB/2流量允许通过数据库的网段企业数据中心举例:PCI只有金融的AD用户可以访问持卡人区(rule1)Oracle是唯一被允许的应用(rule1)阻止进入流量的威胁(rule1)监控/阻止持卡人数据的出去流量(rule1)阻止和记录其他流量(rule2)©2011PaloAltoNetworks.ProprietaryandConfidential.Page67|

PaloAltoNetworks在InternetDataCenter作用©2011PaloAltoNetworks.ProprietaryandConfidential.Page68|

没有硬件妥协

–基于策略性能和安全的平衡速度安全–解码和检测内容威胁扫描简化设计可视性–什么是正在使用的，什么是被攻击可靠性

InternetDataCenter:保护+性能©2011PaloAltoNetworks.ProprietaryandConfidential.Page69|

优秀的威胁防护NSS:93.4%阻断,100%防止逃逸,115%性能唯一能够识别非标准端口IPS配置

DDoS保护,阻止已知DoS扫描

双向

SSL(decrypt)和压缩流量确保只有被授权的应用使用网络资源允许

SSH,RDP被授权人员使用©2011PaloAltoNetworks.ProprietaryandConfidential.Page70|

NGFW:强大的网络性能和灵活性©2011PaloAltoNetworks.ProprietaryandConfidential.Page71|

NGFW:强大的网络性能和灵活性强大的网络功能基础动态路由(BGP,OSPF,RIPv2)Tap模式–连接SPAN端口虚拟线(“Layer1”)用于透明部署L2/L3交换混合部署模式策略转发-Policy-basedforwarding简单，灵活管理日志报告CLI,Web,Panorama,SNMP,Syslog内置流量、威胁、URL、数据过滤分析快速定位问题提供REST-XML-API第三方管理接口,快速和现有系统结合基于安全域架构所有接口赋予安全域用于策略实施高可用控制+管理平面分离Active/active,active/passiveConfiguration和session同步Path,link,及HA监控虚拟系统建立多个虚拟防火墙在单设备中(PA-5000,PA-4000,和PA-2000Series)PA-200©2011PaloAltoNetworks.ProprietaryandConfidential.PA-5000系列用于数据中心80Gbpsswitchfabricinterconnect20GbpsQoSengineSignatureMatchHWEngineStream-baseduniformsig.matchVulnerabilityexploits(IPS),virus,spyware,CC#,SSN,andmoreSecurityProcessorsHighdensityparallelprocessingforflexiblesecurityfunctionalityHardware-accelerationforstandardizedcomplexfunctions(SSL,IPSec,decompression)HighlyavailablemgmtHighspeedloggingandrouteupdateDualsolid-state

drives20GbpsNetworkProcessor20Gbpsfront-endnetworkprocessingHardwareacceleratedper-packetroutelookup,MAClookupandNAT10GbpsControlPlaneDataPlaneSwitchFabric10Gbps.........QoSFlowcontrolRoute,ARP,MAClookupNATSwitchFabricSignatureMatchSignatureMatchSSLIPSecDe-Compress.SSLIPSecDe-Compress.SSLIPSecDe-Compress.Quad-coreCPUCPU12CPU1CPU2CPU12CPU1CPU2CPU12CPU1CPU2RAMRAMSSDSSDRAMRAMRAMRAMRAMRAMRAMRAMRAMRAMRAMRAMRAMRAM40+processors30+GBofRAMSeparatehighspeeddataand

controlplanes20Gbpsfirewall(app-id)

throughput10Gbpsthreatpreventionthroughput4MillionconcurrentsessionsPage72|

案例及总结Next-GenerationFirewalls©2011PaloAltoNetworks.ProprietaryandConfidential.Page74|

客户案例:PSA公司“我们所使用的传统防火墙无法达到性能或检测要求。而PaloAlto-4000系列产品则可轻松的满足我们的要求，并实现了检测与控制功能，即：将其转化成可实际执行及认可的使用策略。”……….ChrisPoe

CIO问题需要低成本高效率的办公安全解决方案需要一个综合性三机式解决方案解决方案目前在法国总部部署了两台PA-4050防火墙，在法国和中国之间分别部署了两台PA-4020防火墙，并在法国的研发实验室部署了两台PA-500防火墙。即将在俄罗斯、阿根廷和巴西部署。PAN目前作为第二防火墙解决方案，今后会完全替换目前的JuniperFW。结果完整覆盖-防火墙、应用程序控制、威胁防范一机式易于远程管理一个用户界面在多个地点进行跨国部署行业:轻型商用汽车制造业统计:150个国家、21万名员工、营业额达500多亿欧元客户案例:开心网