Palo Alto Networks推出虚拟化下一代防火墙

Palo Alto Networks公司周二推出了第一个虚拟化版本的下一代防火墙，这个基于服务器的软件将在VMware平台允许以允许安全管理员在虚拟机(VM)中设置防火墙应用层控制。

该公司的产品营销主管Chris King表示，这个新的VM系列软件旨在克服物理防火墙设备在虚拟环境中面临的限制，在虚拟环境中，物理防火墙设备不能直接处理VM到VM主机内流量。

Palo Alto推出虚拟化下一代防火墙加剧了下一代防火墙市场的竞争(与Sourcefire和Check Point相竞争)。下一代防火墙超越了传统的基于端口的防火墙，允许设置与用户和机器对机器处理相关的应用层控制。

虽然Palo Alto本周开始进入虚拟化防火墙市场，但该公司并没有放弃其物理应用层防火墙的业务，自该公司2005年成立以来就一直在销售物理应用层防火墙。本周，该公司还推出了更新的物理设备系列，被称为PA-3000系列，售价为1.4万美元起，它包含两个下一代防火墙，PA-3020和PA-3050，这两个防火墙分别提供2Gbps和4Gbps的应用程序识别吞吐量。

所有Palo Alto的新产品都是基于一个更新的操作系统：PAN-OS 5.0，还有一个新的M-100管理设备旨在支持其所有防火墙系列产品。

但在该公司与其客户举行的会议上，大家的焦点仍然在虚拟化VM系列版本防火墙上，起售价为2700美元。

Palo Alto公司针对虚拟化工作负载的VM系列下一代防火墙将需要IT管理员注重容量规划，King表示，这个虚拟化防火墙本身是一个基于VM的安全组件，IT管理员将需要从利用率(基于哪些工作负载被允许互相通信等因素)方面来仔细对其进行测量。

这些虚拟化版本防火墙具有三种基本类型，VM-100(支持5万个会话、250条规则、10个安全区、2500个地址对象、25个IPsec通道和25个SSL VPN通道);VM-200(支持10万个会话、2000条规则、20个安全区、4000个地址对象、500个Ipsec通道和200个SSL VPN通道)，以及VM-300(支持25万个会话、5000条规则、40个安全区、10000个地址对象、2000个Ipsec通道和500个SSL VPN通道).

King表示，管理虚拟化应用层防火墙的一个核心概念是将政策绑定到应用程序，这样的话，当应用程序通过VMware的vMotion被迁移到其他虚拟服务器时，策略也会跟着移动。这样还能够保持虚拟化和物理应用层防火墙之间的适当的平衡。

King指出，Palo Alto在其虚拟化应用层防火墙中没有使用特定基于VMware的安全API，但会有一些管理软件供应商(包括CA和BMC)的编排工具可以用于Palo Alto的虚拟化环境。

Palo Alto进入虚拟化防火墙市场也引起了竞争对手的注意。Sourcefire公司的云技术组高级副总裁Oliver Friedrichs表示对其公司的虚拟化IPS防火墙很有信心，这个端点产品能够帮助解决移动安全问题，同时也是调查恶意攻击的大数据分析平台。

除了新的应用程序感知防火墙外，Palo Alto公司本周还推出了基于云的恶意软件检测组件作为一项定制服务，当发现问题时，将会通知相关公司，但它不会修复问题。

原文地址：http://www.cnw.com.cn/security/htm2012/20121113_258245.shtml