Palo Alto PAN-OS 12.1 Orion 发布 - 基于机器学习的下一代防火墙操作系统

最新推荐文章于 2025-09-01 08:00:00 发布

原创最新推荐文章于 2025-09-01 08:00:00 发布 · 571 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#PAN-OS

Linux 专栏收录该内容

143 篇文章

订阅专栏

Palo Alto PAN-OS 12.1 Orion 发布 - 基于机器学习的下一代防火墙操作系统

PAN-OS 12.1 Orion delivers industry firsts including quantum readiness, unified multi-cloud protection, and more.

请访问原文链接：https://sysin.org/blog/pan-os-12/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

PAN-OS 12.1 Orion

Palo Alto Logo

量子安全。AI 驱动。面向每一个云环境。

在跨云环境中无畏创新，凭借始终领先一步的安全能力。

体验 PAN-OS 12.1 Orion 带来的未来安全。

这不仅仅是一次网络安全升级，而是对整个环境安全方式的根本性转变。借助 Orion，您将获得所需的智能与敏捷性，以应对当前和未来最关键的挑战。

机遇已然清晰：统一网络安全态势，简化管理，保持合规，为量子时代做好准备——而且不牺牲性能。

了解 Orion 如何赋能您：

实现量子就绪 —— 轻松迈向量子安全，包括专用仪表板展示完整的加密使用情况、内置的加密套件转换功能，可即时将应用程序升级到量子安全状态，以及新一代量子优化的下一代防火墙（NGFW）。
统一跨云保护 —— 自信地扩展多云与 AI 项目，依托随您一同进化的统一网络安全基础。
阻止新兴威胁 —— Orion 将精准 AI™ 扩展至整个企业，引入高级 DNS 安全解析器、设备安全以及全新 AI 驱动的威胁检测功能，助您防御最复杂的攻击。
实现无忧管理与运营 —— 通过实时策略优化建议、集中化的合规与报告工具，以及自然语言驱动的辅助功能，一切都能在 Strata Cloud Manager 中无缝统一与简化。

抢先体验全新功能，重新定义量子就绪、多云安全，以及更多可能。

功能概述

了解应用流量

了解应用程序的真实身份

PAN-OS 包括 App-ID™ — Palo Alto 的专利流量分类技术，可自动发现和控制新应用程序，即使是那些试图通过伪装成合法流量、跳跃端口，或通过加密潜入防火墙来规避检测的应用程序。

管理用户访问

按应用程序对用户进行身份验证和授权

PAN-OS 包括 User-ID™，它简化了用户识别和身份验证，并且可以帮助您的员工轻松部署零信任 (sysin)。PAN-OS® 保护用户免受网络钓鱼攻击，阻止向恶意网页提交凭据，并为异常用户行为提供自动补救。

创建基于设备的规则

轻松管理网络上的设备安全

Device-ID™ 是 PAN-OS 的一项功能，它为设备提供策略规则，无论 IP 地址或位置如何变化。使用 Device-ID，您可以了解事件与设备和设备策略之间的关系。PAN-OS 可以帮助改进安全性、解密、QoS 和身份验证策略。

扫描流量内容

阻止规避其他安全方法的漏洞利用

与 Device-ID 和 App-ID 类似，Content-ID™ 使您能够理解和控制通过网络传输的流量内容 (sysin)。Content-ID 在一次网络流量扫描中提供全面的威胁防护，优化您的 NGFW 性能。

最大化吞吐量

实现高吞吐量、低延迟的安全保护

简单地添加越来越多的安全功能的传统策略会导致性能下降和延迟增加。Palo Alto 的单通道架构在单次扫描中执行所有必要的安全功能，从而降低复杂性并最大限度地降低总拥有成本。

保护加密流量

防御通过加密隐藏的威胁

除非经过检查，否则加密流量会使组织对隐藏在内部的安全风险视而不见 (sysin)。黑客利用可见性的缺乏，在加密流量中传播恶意软件。PAN-OS 为 TLS 和 SSL 加密流量提供全面的解密，包括 TLS 1.3 和 HTTP/2。

面向未来的 VPN

防护 Harvest Now, Decrypt Later (HNDL) 攻击

即使当前尚未出现能够破解加密的强大量子计算机，HNDL 攻击仍然对数据隐私构成真实威胁。通过基于开放标准的 PAN-OS 后量子 VPN，保护你的数据安全。

原生 Web 代理支持

将防火墙与代理功能整合到单一平台，通过集中管理平台构建和管理策略 (sysin)。支持通过 PAC 文件的显式代理，也支持透明代理。

新增功能

以下是 2025 年 8 月，PAN-OS 12.1 引入的新功能。限于篇幅，此处仅列出摘要部分，完整版可见本站在其他平台的发布。

✅ 内容检查功能 (2)

DNS 安全日志类型

新增专门针对 DNS 安全事件的日志类型，可记录正常与恶意 DNS 流量的详细交易信息，包括会话 ID、收发时间、源/目的信息、DNS 分类、威胁名称、严重性和处理动作等。支持将日志发送至外部系统，可用于溯源和威胁分析。
Brotli 解压支持

Content-Based Threat Detection (CTD) 引擎新增 Brotli 解压功能，使 HTTP 内容可被更广泛检查，从而提升威胁检测能力 (sysin)，并防止攻击者利用 Brotli 压缩规避安全检查。

✅ 管理功能 (7)

Telemetry 自动启用

自动配置设备遥测数据传输，简化配置，提高安全响应和性能洞察。
量子密钥分发 (QKD)

支持量子安全加密的 IPsec VPN，防御未来量子计算威胁，兼容现有 VPN 架构。
安全增强

IMA (Integrity Measurement Architecture) 防止未经授权的程序运行，提供多层防护。
设备安全设置

当检测到安全违规时，可选择继续运行或进入维护模式 (sysin)，保护系统并记录高严重性日志。
插件捆绑管理

升级时自动下载匹配插件，避免版本冲突和配置丢失，确保升级顺畅。
升级检查

生成升级前后检查报告，提前发现问题并验证升级后系统状态，降低大规模部署风险。
通过蜂窝网络的零触发配置 (ZTP)

支持远程部署 NGFW，适用于无传统有线网络的场景，简化远程站点部署。

✅ 网络功能 (6)

DNS 重写条件检查

可基于客户端来源区域或 IP 控制 DNS 地址翻译，支持正负匹配，实现细粒度控制。
蜂窝接口上的 GRE 隧道

支持通过蜂窝网络建立 GRE 隧道，用于远程 IoT 设备或移动环境。
PA-5450 支持 SWG

提升安全 Web 网关性能和可扩展性，适合高流量环境。
IPv6 地理位置支持

补充 IPv4 地理位置策略，实现统一安全管理 (sysin)，兼顾双栈和 IPv6-only 环境。
增强 ICMPv6 应用日志

DPI 生成 ICMPv6 NDP 日志，用于设备识别和高级设备管理，可供 Cortex XDR 使用。
增强数据包捕获支持范围过滤

支持按 IP、端口、协议范围捕获包，方便批量流量排查。

✅ Panorama 功能 (2)

日志收集器扩展优化

可选择主节点，提升大规模日志采集性能，实现高日志吞吐率。
增强共享优化

多虚拟系统设备推送配置时减少对象复制，降低内存占用和提交失败风险。

✅ 证书管理功能 (1)

PAN-OS 系统证书

Web 界面显示内部证书信息，包括到期日期和状态，方便管理。

✅ 解密功能 (2)

全面解密日志字段和错误信息

区分客户端和服务器端会话，提供更多解密状态和错误原因字段，便于排查。
TLSv1.3 后量子密码学支持

支持 PQC KEMs，在 TLSv1.3 会话中实现量子安全加密，同时兼容传统系统。

✅ 设备安全功能 (1)

高级 Device-ID

提供更精细的设备分组和策略应用能力 (sysin)，支持 IoT、混合资产环境的安全策略精确化。

✅ SD-WAN 功能 (2)

NGFW 与 Prisma SD-WAN 数据中心集成

分支与数据中心之间通过 SD-WAN 安全隧道连接，实现统一管理、流量优化和策略一致性。
SD-WAN HA 设备简化配置

可同时添加 HA 对设备，配置自动同步，保证高可用性和一致性。

✅ 认证功能 (1)

Kerberos 应用密码免登录

用户首次认证后可访问所有受保护应用，无需重复输入密码，提高安全性和用户体验。

✅ 虚拟化功能 (2)

GCP 上 VM-Series 支持 Secure Boot

新安装的 VM-Series 支持 Secure Boot，确保启动链可信，防止低级攻击。
Hyperscale Security Fabric (HSF)

动态扩展的虚拟防火墙架构，支持高吞吐量、安全会话弹性和自动扩展，简化管理。

✅ 企业数据防泄漏功能 (1)