팔로알토네트웍스 차세대안 플랫폼 › assets › download › paloalto.pdf ·...
TRANSCRIPT
팔 로 알 토 네 트 웍 스차 세 대 보 안 플랫폼
Palo Alto Networks Korea
1
2010년 2011~16년 연속 Leader
Palo Alto Networks is positioned as a Leader in the Gartner Magic Quadrant for enterprise network firewalls.*
ˑ G a r t n e r 의 방 화 벽 제 품 평 가
LEGACY
POINT
PRODUCT
DETECTION
REACTIVE &MANUAL
ˑ 패 러 다 임 의 변 화 :
PROACTIVE &AUTOMATED
LEGACY
POINT
PRODUCT
DETECTION
NEXT-GEN
PREVENTION
PLATFORM
REACTIVE &MANUAL
ˑ 패 러 다 임 의 변 화 :
Anti-APT for po
rt 80 APTs
Anti-APT for
port 25 APTs
Endpoint AV
DNS protection cloud
Network AV
DNS protection for
outbound DNS
Anti-APT cloud
Internet
Enterprise Network
UTM/Blades
제한적인 가시성 수동 대응상호 연계성 결여
Vendor 1
Vendor 2
Vendor 3
Vendor 4
Internet Connection
Malware Intelligence
DNS AlertEndpoint Alert
AV Alert
SMTP Alert
AV Alert
Web Alert
Web Alert
SMTP Alert
DNS Alert
AV Alert
DNS Alert
Web Alert
Endpoint Alert
ˑ 리 거 시 보 안 아 키 텍 쳐 의 한 계
NATIVELY INTEGRATED
EXTENSIBLE
AUTOMATED
차세대 방화벽
엔드포인트 차단Traps
지능형 공격분석
WildFire
Unknowns Unknowns & zero-da
y discoveriesReal-time
Signatures
5~15 minute updates
TP/DNS/URL/WF Real-time
signatures
Confirm detectionIntegrated reporting
차세대방화벽
APP-ID, User-ID, Contents
알려진공격의차단
알려지지않은
공격은 Cloud
를통해서행동
기반탐지및차
단
가상화및
Mobile 환경
클라우드기반의 Threat Intelligence
네트워크와 Endpoint에서의모든
Threat 정보를 DB화
상관관계분석및정규화를통한효율적인
제어
클라우드기반의실시간 Threat DB 배포
모든프로세서와파일들의이상징후
판단
단말기반의각종행위를통제
클라우드와실시간연동
차세대 Endpoint 보안
ˑ 차 세 대 보 안 플 랫 폼
Non-Standard Ports- 표준 포트가 아닌 비표준 포트를 사용
- DNS, ICMP 등 오픈된 포트를 통한 악성코드 전파 및 기밀정보 유출
Tunneling Within Allowed Protocols- SSL and SSH
- HTTP
- DNS
Circumventors- Proxies, Anonymizers (Tor)
- 커스텀 암호화된 터널(e.g. Freegate, Ultrasurf)
Applications that can dynamically use non-standard ports.
Applications that can tunnel other apps and protocols
Applications designed to avoid security
ˑ 해 커 들 의 우 회 경 로
DNS 포트는 통한 통신 시도
알려지지 않은 포트를 통한 웹방식의 통신 시도
– Outbound 통신에 대한 애플리케이션 기반 탐지 필요
ˑ 포 트 및 프 로 토 콜 악 용 사 례
포트 기반이 아닌
애플리케이션 기반 탐지 필요
ˑ D N S 포 트 를 활 용 한 터 널 링
• tcp-over-dns
• dns2tcp
• Iodine
• Heyoka
• OzymanDNS
• NSTX원격 DNS서버로 TCP메세지를 캡슐화하여recursive queries로 데이터 전송
ˑ D N S 포 트 를 활 용 한 터 널 링
• P2P qvod기반의 커스터마이즈된 악성코드 통신 사례
• TCP 8080 또는 랜덤 포트 사용
ˑ 악 성 코 드 분 석 사 례
0100111011010100111101010100010101010100000011000100010101011100010110001001100111100011111100011100101101101111100001111001110111011000000000000011101111110000001010111111010000001101111111000001011111111110000111
Source Destination Service Application Action
Any Any Default kakaotalk-file-transfer
Deny
Any Any Default Kakaotalk,Web-Browsing
Allow
Any Any Default bittorrent Deny
Source Destination Service ApplicationGuaranteedBandwidth
MaxBandwidth
Any Any Default Business-systems 3Mbps 5Mbps
Any Any Default bittorrent 2Mbps 5Mbps
Any Any Default Any 0 3Mbps
Application을 구분하고 제어할 수 있는 차세대 보안 플랫폼
사전 정의된 Application DB를 통해 정책, QoS, Routing, Logging 및 Report의 단위 Object로 사용
Signature, Protocol Decoding, SSL Decryption, Heuristics 기법에 의한 Application 인지
Pre-defined application 뿐만 아니라 사용자 정의 Application 등록 가능
ˑ A p p l i c a t i o n - I D :
• 포트, 프로토 및 우회기술에 상관없이 애플리케이션을 탐지
• 트래픽 복호화 지원
• 알려지지 않은 트래픽 또는 악성코드 트래픽 차단
ˑ A P P - I D 분 석
• 포트, 프로토 및 우회기술에 상관없이 애플리케이션을 탐지
• 트래픽 복호화 지원
• 알려지지 않은 트래픽 또는 악성코드 트래픽 차단
ˑ A p p l i c a t i o n - I D :
다양한 Context를 제공하여 사용자가 보다 편하게 Custom application 및 Custom Signature를 생성
ˑ C u s t o m A p p l i c a t i o n / S i g n a t u r e 생 성
Distributed F/W Palo Alto Networks
ˑ A p p l i c a t i o n - I D :
포트기반의 제어로는 네트워크 가시성 확보가 불가능애플리케이션별 상세한 로깅 및 유저별 실행권한 관리 필요
구분 포트 상 세 기 능 비 고
TCP 445Microsoft-DS
(Active Directory, 윈도 공유, job scheduler,Samba, Sasser-worm, Zobotworm 등)
ˑ T C P - 4 4 5 ( M i c r o s o f t D a t a S h a r e P o r t )
• SQL Query의 경우 포트기반 제어가 아닌 Query문 제어 가능• DB에 악영향을 줄 수 있는 Query문 차단
ˑ S Q L Q u e r y 차 단 및 탐 지
데이터베이스(Oracle) 보안 강화 비인가 원격 DB명령어 실행 탐지 및 제어
사용자별 명령어 기반 제어를 통한 비정상적인 쿼리 탐지/차단
IP 또는 포트기반 한계 극복 Windows Update 및 IP기반 허용 시 비인가 응용 프로그램 통신 차단
Skype(면접 시 활용) 화상채팅 등 응용 프로그램 인지/통제
방문자/개발자 등 유저기반 지정된 응용 프로그램 통신만 허용
비인가 트래픽 차단 P2P 및 메신저 프로그램 제어(IP 및 Port기반 제어의 한계)
업무상 필요한 APP에 대한 사용자기반 허용 가능
TCP 445(MS data share)와 같이 다양한 응용 프로그램(Active Directory,
윈도우 공유, Job Scheduler 등) 선택적 제어 가능
ˑ 응 용 프 로 그 램 인 지 를 통 한 차 세 대 방 화 벽 활 용 사 례
Active Directory
Domain Login
Raduis, LDAP
Login Portal
내부인사DB
Login
API
Username IP Address
moonsj 10.1.1.7
isyoon 10.1.1.4
sang3620 10.1.1.92
… …
Source Destination Service ApplicationUser/Group
Action
Any Any Default Web Browsing moonsj Permit
Any Any Default bittorrent isyoon Deny
Source Destination Service ApplicationUser/Group
GuaranteedBandwidth
MaxBandwidth
Any Any Any Voip moonsj 3Mbps 5Mbps
Any Any Any Teamviewer IT-Group 5Mbps 8Mbps
User별 방화벽 정책 적용
User별 Traffic 사용량 & Reporting
User별 QoS 정책 적용
사용자 구분(User Identification)이 가능한 방화벽 (IP Address ≠ User)
사용자 ID 및 Group정보를 방화벽 정책, QoS, Routing, Logging 및 Reporting의 단위 Object로 사용
API를 통해 내부 인사DB를 사용하여 연동 가능
ˑ U s e r - I D : 엔 터 프 라 이 즈 디 렉 토 리 통 합
Newen-3.com(유럽)
DC1
DC2
newen-2.com(미주)DC1
DC2
Newen-4.com(기타)
DC1
DC2
newen-1.com(한국)DC1
DC2
Re
distrib
utio
nR
ed
istribu
tion
Re
dis
trib
uti
on
Re
dis
trib
uti
on
SSL Encryption
SSL Encryption
팔로알토 방화벽은 서로다른 사이트간의 User-id 정보를 방화벽간에 적은 용량으로 효율적으로 교환
ˑ 사 이 트 간 U s e r - I D 정 보 교 환 방 식
송수신 데이타의 콘텐츠 (Application Data) 부분을 분석하고 제어할 수 있는 방화벽
콘텐츠 필터링 엔진은 공격 및 위협 차단(Vulnerability, Virus, Spyware),
파일 및 Data 차단(File Blocking, Data Filtering) 및 URL 필터링 등의 기능을 수행
다양한 Log 와 Customizing이 가능한 Report 제공
01001110110101001111010101000101010101000000110001000101010111000101100010011001111000111111000111001011011
01111100001111001110111011000000000000011101111110000001010111111010000001101111111000001011111111110000111
10111011101010101010000011011011110110101000000110011000000011110110101010101010101010100000011100000000011
.doc.zip
www.sex.com
www.gambling.com
콘텐츠 필터링
Single Pass에정형화된signature engine
주기적인 Pattern Update를통해In-bound 및 Out-bond Traffic 모두적용
Vulnerability (IPS)
Anti Virus
Anti Spyware
정규식을이용한사용자정의Data Filter 적용가능파일 Type을인식하기위한 File
내부검사를수행하므로확장자가바뀌어도차단가능
Data Filtering
File Blocking
자체 URL database (61
categories)
내부, 국가별혹은산업에특화된surfing patterns 등능동적인 DB
적용
URL Filtering
.exe.pdf
ˑ C o n t e n t - I D : 실 시 간 콘 텐 츠 검 사
344 KB
file-sharingURL category
PDFfile type
roadmap.pdffile name
mjacobsenuser
prodmgmtgroup
canadadestination country
172.16.1.10source IP
64.81.2.23destination IP
TCP/443destination port
SSLprotocol
HTTPprotocol
slideshareapplication
slideshare-uploadingapplication function
Threat Preve
ntion Cloud
Internet
Files Protections
PE
APK
FLASH
JAR
MS OFFICE
Request
Sandbox
011010110
Malware
Signature
Benign
Grayware
Malware
Android
XP
Win7
ˑ W i l d F i r e
*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner
Of 상위 6개백신제품에서 탐지하지 못하는
악성코드 파일
62.5%71.9M
5.3M
3.3M
All Files Malicious Undetectable
ˑ 지 능 형 위 협 분 석클 라 우 드 W i l d F i r e 를 통 한 새 로 운 보 안 위 협 대 응
Single Pass
패킷당 한 번의 작업
- 트래픽 분류 (App-ID)
- 사용자/그룹 매핑 (User-ID)
- 콘텐츠 검색 – 위협, URL, 데이타 (Content-ID)
Parallel Processing
각 기능별 고유의 병렬프로세싱 하드웨어
엔진보유(네트워크프로세서, 보안CPU, 시그니쳐매칭Chip)
Data Plane 과 Control Plane 의 분리
Single-Pass Parallel Processing™ (SP3) Architecture
ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점
Control Plane Data Plane
Signature Match Processor
RAM
RAM
RAM
RAM
Dual-coreCPU
RAM
RAM
HDD
CPU16
. .
SSL IPSecDe-Compression
CPU1
CPU2
RAM
RAMCPU3
QoS
Route, ARP, MAC lookup
NAT
관리 포인트인 Control Plane과 실제 트래픽을 처리를 담당하는 Data Plane 의 분리를 통해
Data Plane에서 패킷 처리 부하 상황에서도 정책 설정 등 관리 Control 다른 쪽에 영향을 주지 않은 구조
ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점
Multi-Pass Architecture
ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점
Single-Pass Architecture
ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점
*Based on Palo Alto Networks Application Usage and Risk Report
출발지(all), 목적지(all), 포트(all)정책 1Traffic
출발지(all), 목적지(all), 포트(all)정책 2
출발지(all), 목적지(all), 포트(all),
정책 1Traffic App-ID
출발지(all), 목적지(all), 포트(all),정책 2
Firewall
Firewall
• 경쟁사
• Paloalto networks
Allow
Action
Allow
Action
Deny
Allow
출발지(all), 목적지(all), 포트(all),정책 3
Allowall
보안 프로파일
Application Control
Allow
Deny
Allow
Deny
MatchMatch
Match
Match
Match
Match
[정책 1]에서 IP, Port의 모든 세션 매칭이
되므로 다음 정책으로 넘어가지 못함
IP, Port 및 어플리케이션의 정
책별 매칭이 되어 처리
ˑ 어 플 리 케 이 션 적 용 방 식
• Signature-based:
• Antivirus
• Anti-Spyware
• Vulnerability
Heuristic-based:
Automated Correlation
Engine
Bot detection
Sandbox-based:
Wildfire
Protocol analysis-based:
App-ID
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
Signature Update HierarchyWeekly
Daily
5-minute
App-ID updates “IPS” signatures(vulnerability, anti-spyware)
Antivirus Botnet support(zone file, dynamic DNS, malware URLs)
DNS signatures
WildFire signatures
ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점
단일통합보안정책설정1
Palo Alto Networks
FW, App, IPS, AV 보안기능별로개별보안정책설정
정책관리 리소스를 줄여줌. 잠재적인 보안홀을 없애줌 정책추가및 삭제시에정책관리의리소스가증가
개별보안정책간잠재적인보안홀발생
Positive 기반보안정책설정
허용정책외에 모두차단
Negative 기반보안정책설정
차단정책외에모두허용
단일통합로그모니터링제공
하나의센션기반, 트래픽, 위협 등의로그를통합된단일로그화면으로제공및 상관관계분석
동일세션에대한보안기능별로그모니터링
동일세션에대한보안 기능별로그분리로통합모니터링및상관관계분석이어려움
알려지지않은위협에대해직관적으로관리 알려지지않은위협에대한직관적대응기능미비
개별보안기능 정책으로인한 알려지지않은 위협에대한
탐지를어렵게함
고위험애플리케이션및알려지지않은멜웨어를탐지및차단
보안기능추가에따른성능보장 보안기능추가에따른성능감소
모든보안기능사용시에도데이타시트에명시된
성능보장
개별보안기능의사용 여부에따라성능편차가심함
2
3
4
5
Other firewall vendor
ˑ 차 세 대 보 안 플 랫 폼 과 리 거 시 보 안 플 랫 폼 의 비 교
•Yahoo Messenger
•BitTorrent Client
•Port 80
•Open
Port-Based Firewall
Port 5050
Blocked
Port 6681
Blocked
ˑ E v a s i v e A p p l i c a t i o n o n a T r a d i t i o n a l F i r e w a l l
Firewall Firewall
Palo Alto Networks Firewalls with App-IDTraditional Firewalls
Firewall Rule: ALLOW DNSFirewall Rule: ALLOW Port 53
DNS = DNS:Packet on Port 53: AllowAllow
DNS DNSDNS DNS
BitTorrent
BitTorrent ≠ DNS:
Visibility: BitTorrent detected and blocked
Deny
BitTorrent
Packet on Port 53: Allow
Visibility: Port 53 allowed
BitTorrent
ˑ S c e n a r i o 1 : D N S T r a f f i c
Traditional vs Palo Alto Networks Firewall
App IPSFirewall Firewall
Traditional Firewalls
Firewall Rule: ALLOW DNSFirewall Rule: ALLOW Port 53
DNS=DNS:Packet on Port 53: AllowAllow
DNS DNSDNS DNS
Bittorrent
BitTorrent ≠ DNS:Visibility: BitTorrent detected and blocked
Deny
Bittorrent
BitTorrent: DenyVisibility: BitTorrent detected and blocked
DNS
Bittorrent
Application IPS Rule: Block BitTorrent
Palo Alto Networks Firewalls with App-ID
ˑ S c e n a r i o 2 : B i t T o r r e n t
IPS vs APP-ID
Firewall Firewall
Legacy Firewalls
Firewall Rule: ALLOW DNSFirewall Rule: ALLOW Port 53
DNS=DNS:Packet on Port 53: AllowAllow
DNS DNSDNS DNS
Zero-day C & C
Command & Control ≠ DNS:
Visibility: Unknown traffic detected and blocked
Deny
BitTorrent
Visibility: Packet on Port 53 allowed
DNS
BitTorrent
Application IPS Rule: Block BitTorrent
BitTorrent
Zero-day C & C
Zero-day C & C
Zero-day C & C
C & C ≠ BitTorrent: Allow
App IPS
Palo Alto Networks Firewalls with App-ID
ˑ S c e n a r i o 3 : Z e r o - D a y M a l w a r e
IPS vs APP-ID
애플리케이션 사용 현황 분석
SaaS 애플리케이션 분석
URL 접속 정보 분석
파일 전송 분석
알려진 멜웨어와 알려지지 않은 멜웨어 탐지 및 현황 분석
CnC (Command-and-Control) 탐지 및 분석
자동 상관 관계 분석
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
Bandwidth Hogging – Productivity Loss Risks
41 | © 2015, Palo Alto Networks. Confidential and Proprietary.
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
Bandwidth Hogging – (Example : Youtube-Base)
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
43 | © 2015, Palo Alto Networks. Confidential and Proprietary.
SaaS Applications - Top Users
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
44 | © 2015, Palo Alto Networks. Confidential and Proprietary.
SaaS Applications – Top SaaS Application
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
Automated Correlation Engine
45 | © 2015, Palo Alto Networks. Confidential and Proprietary.
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
On Box Reporting Capability
46 | © 2015, Palo Alto Networks. Confidential and Proprietary.
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
네트워크의 가시성을 확보 하여 공격의 유입 경로를 최소화
네트워크 전반에 흐르는 트래픽에 대한 가시성 확보와Unknown traffic 을차단1애플리케이션별 정책 과 사용자 기반 정책 적용2악성 코드와 실행 파일등 위험요소 첨부 파일을 차단3
4 사용자 PC 와 서버등의 Endpoint 영역 보안 정책 적용
공격의 유입 경로를최소화!
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
알려진 익스플로잇, 맬웨어, C&C 통신 차단1악성코드 배포 사이트와 피싱 사이트로의 접근 차단2SaaS 기반 애플리케이션에 대한 알려진 맬웨어 스캐닝3
4 엔드포인트 영역에서 알려진 멜웨어와 익스플로잇 차단
알려진 위협을 차단!
알려진 위협에 대한 차단
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
알려지지 않은 위협 차단
파일과 URL 기반 알려지지 않은 위협에 대한 분석 과 탐지1알려지지 않은 위협에 대한 탐지를 통해 조직 전반에 걸친 프로텍션 업데이트 수행2알려지지 않은 위협에 대한 탐지수행 후 차단 시그니쳐 제공을 통해 선제 차단 수행3
4 엔드포인트 영역에서도 알려지지 않은 맬웨어와 익스프로잇 차단 수행
알려지지 않은 위협을탐지와 차단!
ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응
유연한 API 환경을 제공하여
타 시스템과 User ID/차단 IP 등록/차단 URL 등록 등 강력한 Integration 기능을 제공
ˑ 유 연 한 A P I 제 공
AS-IS
Groupware,방화벽정책 승인 시스템
방화벽 정책 신청보안관리자에 의한방화벽 정책 수동입력
방화벽 정책 설정 오류로 인한 인재 보안관리자의 실수로 인한 방화벽 설정 오류
사전 점검 및 시뮤레이션 부재로 인한 중복 정책 설정
방화벽 정책 사후 관리방안 부재 입력된 방화벽 정책 관리 방안 부재
보안사고 발생 시 사후 감사 방안 부재
ˑ 방 화 벽 정 책 자 동 화 흐 름 도
ˑ 방 화 벽 정 책 자 동 화 흐 름 도
TO-BE
Groupware,방화벽정책 승인 시스템
방화벽 정책 신청방화벽 정책자동화 시스템
보안관리자 개입없는 방화벽 정책 설정 시스템에 의한 방화벽 정책 입력
방화벽 정책 입력 전 시뮬레이션을 통한 방화벽 정책 자동 점검
방화벽 정책 사후관리 입력된 방화벽 정책에 대한 사후관리
요청자/신청자/변경자 등 방화벽 정책 이력관리 가능
PA-30202 Gbps FW/1 Gbps threat prevention250,000 sessions8 SFP, 12 copper gigabitVirtual system base 1/ max 6
PA-30504 Gbps FW/2 Gbps threat prevention500,000 sessions8 SFP, 12 copper gigabitVirtual system base 1/ max 6
PA-500250 Mbps FW/100 Mbps threat prevention/64,000 sessions8 copper gigabit
PA-505010 Gbps FW/5 Gbps threat prevention2,000,000 sessions4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabitVirtual system base 25/ max 125
PA-50205 Gbps FW/2 Gbps threat prevention1,000,000 sessions8 SFP, 12 copper gigabitVirtual system base 10/ max 20
PA-506020 Gbps FW/10 Gbps threat prevention4,000,000 sessions4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabitVirtual system base 25/ max 225
PA-200100 Mbps FW/50 Mbps threatprevention/64,000 sessions4 copper gigabit
PA-30604 Gbps FW/2 Gbps threat prevention500,000 sessions2 SFP+, 8 SFP, 8 copper gigabitVirtual system base 1/ max 6
PA-7080200 Gbps FW/100Gbps threat prevention80,000,000 sessions20 QSFP+, 120 SFP+, 120 copper gigabitVirtual system base 25/ max 225
PA-7050120 Gbps FW/60 Gbps threat prevention48,000,000 sessions12 QSFP+, 72 SFP+, 72 copper gigabitVirtual system base 25/ max 225
ˑ 팔 로 알 토 네 트 웍 스 차 세 대 보 안 제 품
PA-526072 Gbps FW / 30 Gbps threat prevention32,000,000 sessions4 QSFP28 (40 Gig / 100 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 4 copper gigabitVirtual system base 25/ max 225
PA-220500 Mbps FW /1 50 Mbps threat prevention64,000 sessions8 copper gigabit
PA-8501.9 Gbps FW / 780 Mbps threat Prevention192,000 sessions4 copper gigabit, 4 SFP, 4 SFP+
PA-820940 Gbps FW / 610 Mbps threat Prevention128,000 sessions4 copper gigabit, 8 SFP
PA-525035 Gbps FW / 20 Gbps threat prevention8,000,000 sessions4 QSFP28 (40 Gig / 100 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 4 copper gigabitVirtual system base 25/ max 125
PA-522018 Gbps FW / 9 Gbps threat prevention4,000,000 sessions4 QSFP+ (40 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 12 copper gigabitVirtual system base 10/ max 20
ˑ 제 품 L i n e u p ( 2 0 1 7 N e w M o d e l )
감 사 합 니 다 .
55