データセンターにおける Palo Alto Networks: 妥協をなくす

データセンターにおける Palo Alto Networks:
妥協をなくす
2011 年 5 月
データセンターにおける Palo Alto Networks: 妥協をなくす
要旨
理論的には、データセンターのネットワークセキュリティは簡単です。脅威を防御し、規制とエンター
プライズポリシーを遵守し、ビジネスの妨げにならないようにそれを行います。しかし、実際には、アプ
リケーションの可用性とパフォーマンスに対する要求が高まり続けているため、絶えず進化する脅威の状
況と、セキュリティの観点からアプリケーションで何が起きるのかを理解する必要性が合わさって、一見
すると簡単に思えるデータセンターのネットワークセキュリティに対する要求を満たすことが一層難し
くなっています。確かに、ほとんどの組織は、大きな妥協を強いられてきました。セキュリティ、機能性、
可視性と引き換えに、パフォーマンス、単純性、効率性を手に入れてきたのです。問題を総合すると、す
べてのデータセンターが同じではないということです。内部エンタープライズデータセンターには、イ
ンターネットに接続されているデータセンターとは異なる使命とセキュリティ要件があります。アプリ
ケーションとユーザーの特性、規制要件、および他の独特なセキュリティ上の問題はすべて、これら 2 種
類のデータセンター間で異なっています。エンタープライズデータセンターの場合、ネットワークセキュ
リティをさまざまなネットワークアーキテクチャに統合できること、ビジネス関連の用語 ( アプリケー
ションとユーザーなど ) に基づいてネットワークを分割できること、およびアプリケーション開発者に歩
調を合わせることは、ネットワークセキュリティインフラストラクチャに対する重要で明確な要求です。
一方、インターネットに接続されたデータセンターの管理者はおのずと、柔軟性の向上、可視性の向上、
容易に統合可能な脅威防御の強化、さらには運用の信頼性向上を求めます。
Palo Alto Networks は、両方の種類のデータセンター環境におけるネットワークセキュリティの要求を
ユニークな方法で満たします。データセンターのパフォーマンスと信頼性を目的に設計されたアーキテク
チャに組み込まれた革新的なテクノロジー (App-ID™、User-ID、および Content-ID) を基盤として、Palo
Alto Networks の次世代ファイアウォールは、これまでデータセンターのネットワークセキュリティ特
有の問題であった受け入れがたい妥協の多くをなくす、データセンターのネットワークセキュリティソ
リューションを組織に提供します。
データセンターのネットワークセキュリティ ̶ 脅威の防御、遵守、機能
有名な話ですが、アメリカ人の銀行強盗である Willie Sutton は、なぜ銀行を強盗するのかとたずねられた
ときに、「そこに金があるからさ」と答えたことで知られています。Sutton によるとこの話は作り話のよ
うですが、同じ理由でデータセンターは犯人にとって魅力的です。そこにデータがあるからです ( そして、
データにはお金かそれと同等の価値があります )。考え方としては、データセンターのネットワークセキュ
リティは簡単です。企業のお客様とお話ししているとき、現代のデーターセンターのネットワークセキュ
リティには 3 つ主要な要求があることに気付きました。
n
n
n
脅威を防御する
遵守およびセグメント化する
アプリケーションのパフォーマンスと可用性を維持する
1 つ目の要素である脅威の防御は、正直なところここ数年ますます難しくなりました。インフラストラク
チャに対する基本的な攻撃には、複数ベクトルで、アプリケーションに負担をかける高度な攻撃を行う一
定の方法があります。それらの攻撃は、ひっそり行われ、利益第一であり、エンタープライズユーザーが
知らずに手助けし、多くの場合、多様な形を持っています。これらの脅威の発展にかかわった組織のレベ
ルも前例のないものです。2 番目の要件である遵守は、データセンターアーキテクチャとネットワーク
セキュリティに大きな影響を与え続けています。PCI、米国健康管理規制、ヨーロッパのプライバシー規
制のどれであっても、重要な規制および遵守要件が存在するため、一般的には組織の、具体的にはデータ
センターの深くまでネットワークセグメントが食い込んでいます。最後に、パフォーマンスと可用性の維
持という 2 つの要件は 1 つにまとめることができ、通常は単純性と言い換えることができます。複雑にな
ると、統合の問題、停止の頻度、および遅延が増加することがよくあります。単純に保つことは不可欠です。
2 番目の要件は速度です。ビジネスに遅延をもたらさない高速な処理です。セキュリティソリューション
を維持できない場合、データセンターにそれほど長くはとどまりません。
2 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
データセンターのネットワークセキュリティには受け入れられない妥協が伴う
データセンターのネットワークセキュリティは、これまで正当な理由で境界ネットワークセキュリティ
を遅らせてきました。その理由は、アプリケーションの可用性とパフォーマンスがセキュリティに勝ると
いうことです。データセンターにホストされたアプリケーションが使用できないか、ユーザーに応答しな
い場合、組織が収益のチャンスを失うことがよくあります。そのため、ネットワークセキュリティの制御
( どれも遅延と停止をもたらすことがよくある ) は一般に “ 合理化されました。
エンタープライズがステー
トフルインスペクションを使用して境界ネットワークセキュリティインフラストラクチャを構築した場
合、データセンターのネットワークセキュリティにはルーター上の ACL が使用されました。のちに、企
業の境界ネットワークセキュリティインフラストラクチャに IPS、プロキシ、DLP、および他のデバイス
が採用されると、一部のデータセンターはステートフルインスペクションテクノロジを採用し始めまし
た。この歴史的観点は、データセンターのネットワークセキュリティでよく見られる重要な交換条件を
例示しています。
n
n
n
パフォーマンスかセキュリティか
単純性か機能性か
効率性か可視性か
多くの場合、これらの妥協はもともと存在するものです。たとえば、インターネットに接続されたデータ
センターを持つ組織は、機器の選択肢の中でパフォーマンスかセキュリティを選択する必要がありました。
パフォーマンス能力は十分にあるがセキュリティが不足しているサービスプロバイダクラスのファイア
ウォールを選択することも、セキュリティ機能は豊富にあるがパフォーマンスと一部の必須の信頼性機能
が不足している境界クラスのファイアウォールを選択することもできます。問題は、一度組織が選択を行
うと、変えることができなかったということです。セキュリティとパフォーマンスのバランスを変えるに
は、新しい設計と新しい製品を実装する必要がありました。
すべてのデータセンターがまったく同じようには作られていない
保険会社の内部クレーム処理アプリケーションをホストするデータセンターと、小売 Web サイトをホス
トするデータセンターについて見てみましょう。大きな違いはすぐにわかります。それらの違いは、アプ
リケーションの性質や数、ユーザーの質や数、特定のセキュリティ制御の優先度と可能性などです。この
ホワイトペーパーの以下の部分では、次の主な 2 種類のデータセンターにおけるさまざまなネットワー
クセキュリティの属性と必要について説明します。
n
n
エンタープライズ / 内部データセンター
インターネットに接続されたデータセンター
Palo Alto Networks の次世代ファイアウォールを使用すると、組織はどちらの種類のデータセンターでも、
データセンターのネットワークセキュリティの主な要素を実現できます。大きな違いがあるため、Palo
Alto Networks の革新的なテクノロジ ( 付録を参照 ) の適用方法が異なります。
3 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
エンタープライズ / 内部データセンター
相対的に言うと、エンタープライズデータセンターの方が多くのアプリケーションをホストしますが、ユーザー数
は少な目です。アプリケーションの出所はさまざまです。パッケージ製品、自社開発、またはカスタマイズされた
アプリケーションがあります。ブラウザベースだが、クライアント / サーバーのように機能するアプリケーション
もあります。端末ベースや仮想化されたアプリケーションもあります。ユーザーに関して言えば、通常は既知のユー
ザーであり、一般には従業員、請負業者、またはパートナーです。図 1 を参照してください。
図 1: エンタープライズデータセンター
エンタープライズデータセンターが直面する独特なネットワークセキュリティの問題には、ネットワークのセ
グメント化の必要 ( 通常は遵守により生じます )、アプリケーション開発者と歩調を合わせる必要、ネットワー
クセキュリティをさまざまなデータセンター設計に合わせる要件などがあります。エンタープライズデータセ
ンターにおいてエンタープライズがますます強調している問題は、不正なアプリケーションの急増です。不正な
SharePoint インストールであっても、標準以外のポートで SSH を使用する管理者であっても、データセンターネッ
トワークでこのようなアプリケーションを特定して識別する必要があります。
エンタープライズデータセンターにおける Palo Alto Networks
前述のように、エンタープライズデータセンターにおけるネットワークセキュリティは多くの場合ネットワーク
のセグメント化に関するものです。どのファイアウォールもネットワークのセグメント化を行うことができますが、
ポートおよび IP アドレスベースのセグメント化は、データセンターにおいては境界におけると同じほど意味のな
いことです。つまり、開いているポートをほぼどれでも利用できるアプリケーションと脅威の混合を目の前にすれば、
事実上価値がありません。さらに、IP アドレスまたは IP アドレスプールによるアクセス制御は、どのユーザーに
とっても貧弱なアクセス方法です。規制と他の外部要件 (PCI 付録 F など ) のどちらを遵守する場合でも、エンター
プライズが求めているものは、ユーザーおよびアプリケーションによるネットワークのセグメント化です。それで、
たとえば組織はカード保有者データが格納されたサーバーをセグメント化して切り離し、支払アプリケーションを
使用する財務ユーザーのみにそのセグメントへのアクセスを許可できます。したがって、アクセスが区切られて制
限され、個々のアカウントが管理されます。そのレベルで制御することにより、おそらく最も重要なこととして、
多くの大規模エンタープライズにとって監査能力が不可欠であることがわかってきました。
エンタープライズデータセンターの別の主要な属性は、アーキテクチャの多様性です。その一部は、いくつかの組
織では内部データセンターが必ずしも 1 つの場所ではないという事実によります。つまり、ルーター、コアス
イッチ、アクセススイッチ、および他のネットワークリソースの通常のスタックが、VLAN および分散アプリケー
ションコンポーネントを使用した場合には少し違って見えます。これは、Palo Alto Networks の次世代ファイア
ウォールのもう 1 つの強みです。これらのファイアウォールは、ポート密度の高いアプライアンスを介して混合モー
ドで運用している場合でも、L1 (Virtual Wire)、L2、および L3 を統合することができます。さらに、セキュリティ
ゾーンおよび仮想ファイアウォールを介した VLAN のトランキング、ポートの集約、および役割ベースの管理の実
行機能により、組織は次世代ファイアウォールを、どのアーキテクチャおよび運用モデルにも統合できます。図 2 で、
VLAN および L2 の統合を組み込んだスティック状のファイアウォール設計の図を参照してください。直列のま
まですが、柔軟な統合によりエンタープライズのお客様はその推奨ネットワークアーキテクチャを使用することが
可能になります。
4 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
ユーザー
データベース
アプリケーション/
Web サーバー
図 2: Palo Alto Networks と共に VLAN を使用した L2 におけるエンタープライズデータセンター設計
最後に、エンタープライズデータセンターにおける Palo Alto Networks の次世代ファイアウォールの他
の主要な用途は、不正なアプリケーションの制御です。誤った設定の不正な SharePoint 展開、標準以外の
ポートにおける SSH の権限のない使用、および P2P ファイル共有ですら、お客様の展開で検出され、制
御されてきました。別の例は、もっと運用に焦点が当てられたものです。アプリケーション開発者は、便
利などのポートにもデータベースや他のアプリケーションコンポーネントを実装するものです。アプリ
ケーション開発者を制御しようとするのではなく、アプリケーションを制御してください。つまり、セキュ
リティゾーン間で MySQL が承認済みのアプリケーションである場合、どのポートを使用するかに関係な
くそのアプリケーションは許可されます。これにより、開発者に歩調を合わせることがかなり容易になり、
攻撃面を増やさずに主要なアプリケーションを安全に有効にできます。
インターネットに接続されたデータセンター
反対に、インターネットに接続されたデータセンターでは、一般的にアプリケーションの数が比較的少な
く、通常は Web ( つまり、ブラウザベースの ) アプリケーションです。多くの場合、これらのアプリケーショ
ンは一般的な Web インフラストラクチャスタック (IBM、LAMP、Microsoft、Oracle など ) のいずれか
を使用します。ユーザーの数は多く、たいていは不明なユーザーまたは信頼できないユーザーです。図 3
を参照してください。
図 3: インターネットに接続されたデータセンター
インターネットに接続されたデータセンターが取り組む必要がある独特なネットワークセキュリティの問題は、
設計 ( ファイアウォールは耐障害性のある高スループットな配置で直列になっていますが、IPS パフォーマンスによ
くある問題を考えると、IPS をどこに配置すればよいのかなど )、および )、前述のもともと存在する妥協、および
可視性 ( 何が使用されているのか、何が攻撃されているのかなど ) などです。
5 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
インターネットデータセンターにおける
Palo Alto Networks
インターネットに接続されたデータセンターでは、
Palo Alto Networks の次世代ファイアウォールには、
重要なメリット ( 柔軟性 ) が – があります。エンター
プライズは、パフォーマンスとセキュリティの二者
択一を強制しないネットワークセキュリティインフ
ラストラクチャを選択することができるようになり
ました。セキュリティ対策の変更は、ポリシー設定
です。フルコンテンツスキャンから、アプリケーショ
ンおよびユーザー固有のファイアウォールポリシー、
基本的なファイアウォールポリシーに変更します。
この設計の柔軟性には、重要な副効用 ( 単純化 ) があ
ります。図 4 を参照してください。データセンター
のネットワーク設計者は、IPS を組み込む方法を考
えなくてよくなりました ( これまでは難所でした )。
Palo Alto Networks の次世代ファイアウォールでは、
NSS により IPS がテストされました。最高のブロッ
データベース
アプリケーションサーバー
Web サーバー
ク率 (93.4%。判別不能は 100% 抑制 ) を実現した
だけでなく、Palo Alto Networks の次世代ファイア
図 4: インターネットデータセンターと Palo Alto Networks
ウォールはデータシートの記載よりも高いパフォー
マンスを発揮しました ( 定格スループットの 115% を実現 )。このため、データセンターのネットワーク設計者か、
簡単に設計を仕上げることができます。
最後に、1 か所での可視性も大きなメリットです。通常、可視性は複数のログファイルを確認して、見つかりそ
うにないものを探すことを意味します。しかし、Palo Alto Networks データセンターのお客様は、インバウンド
URL と脅威のログにアプリケーションの可視性、トラフィックの可視性を組み合わせることで ( すべて 1 つのユー
ザーインターフェイスで利用可能 )、可視性と効率性を二者択一する必要がなくなったことに気付きました。
次世代ファイアウォールがデータセンターのネットワークセキュリティを改革する
少数の革新的なテクノロジ (App-ID、User-ID、Content-ID、およびシングルパス並列処理アーキテクチャ ̶ 詳細
については付録を参照 ) により、Palo Alto Networks の次世代ファイアウォールは、これまでエンタープライズが
取り組んできた従来のデータセンターのネットワークセキュリティに関する妥協の多くをなくします。組織は最
初から次のことを実現できます。
n
n
n
脅威を防御する
遵守およびセグメント化する
アプリケーションのパフォーマンスと可用性を維持する
これらはすべて、パフォーマンス、単純性、および効率性と同時に、セキュリティ、機能性、および可視性を実現
します。
6 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
付録
Palo Alto Networks のユニークなテクノロジ
Palo Alto Networks には、パフォーマンス、単純性、および効率性のためにセキュリティ、機能性、およ
び可視性を妥協しなくても、お客様が両方の種類のデータセンターでネットワークセキュリティ要件を
実現できるようにする 4 つのユニークなテクノロジがあります。
n
n
n
n
App-ID
User-ID
Content-ID
シングルパス並列処理アーキテクチャ
App-ID は基礎的な識別メカニズムである
正確なトラフィック識別はファイアウォールの中核になり、セキュリティポリシーの基盤になります。従
来のファイアウォールではトラフィックをポートとプロトコルで識別しました。これは、1 か所において
データセンターを守るのに十分なメカニズムでした。現在では、動的なポート変更、SSL や SSH による
暗号化、80 番ポートの使用、ハイポートの使用などによって、アプリケーションや脅威は従来のポートベー
スのファイアウォールを容易にバイパスでるようになりました。Palo Alto Networks 独自の App-ID ( 特許
出願中のトラフィック識別メカニズム ) は、デバイスがトラフィックストリームを検出すると同時に複数
の識別メカニズムを適用し、ネットワークを通過するアプリケーションを正確に識別することにより、従
来のファイアウォールの問題であるトラフィック識別の限界を解決します。標準アプリケーション、パッ
ケージアプリケーション、カスタムアプリケーションのどれであるかは関係ありません。
User-ID はディレクトリユーザー / グループをネットワークセキュリティポリシーに統合する
すべての Palo Alto Networks ファイアウォールプラットフォームの標準機能である User-ID テクノロジ
は、IP アドレスを特定のユーザー ID にリンクし、ユーザーベースでのネットワークアクティビティの
可視性と制御を可能にします。Microsoft Active Directory (AD) および他の LDAP ディレクトリと緊密に
統合された Palo Alto Networks ( ユーザー識別エージェント ) により、この目標が 2 つの方法でサポート
されます。まず、ログイン監視、エンドステーションポーリング、および Captive Portal の手法の組み
合わせを使用して、ユーザーと IP アドレスの関係を定期的に確認および維持します。次に、AD ドメイン
コントローラと通信し、役割やグループの割り当てなどの関連するユーザー情報を収集します。その後、
これらの詳細を次の目的で使用できます。
n
すべてのアプリケーション、コンテンツ、およびネットワーク上の脅威トラフィックに対して具体的に
だれが責任を負っているかに関する可視性 ( および監査能力 ) を取得する。
n
ユーザー ID を、アクセス制御ポリシー内の変数として使用できるようにする。
n
トラブルシューティングやインシデントへの対応を行いやすくし、レポートで使用する。
User-ID を使用して、IT 部門は高度な方法でアプリケーションの使用を制御するのに役立つ別の強力なメ
カニズムを取得します。たとえば、規制されたデータを保持するアプリケーションは、使用する正当な理
由を持つ個人またはグループに対して有効にできますが、リスクを軽減するためにスキャンし、監査およ
び保持要件を満たすためにアクセスを記録できます。
Content-ID は許可されたトラフィックで脅威をスキャンする
もう 1 つのテクノロジと同様に、Content-ID は、これまでエンタープライズファイアウォールにはなかっ
た機能を Palo Alto Networks の次世代ファイアウォールにもたらします。この場合は、許可されたアプリ
ケーショントラフィックに含まれる脅威のリアルタイム防御、Web アプリケーション利用の細かい可視
性、およびファイルとデータのフィルタ処理です。
脅威防御 : Content-ID のこのコンポーネントは、複数の革新的な機能を活用して、スパイウェア、ウイル
ス、およびアプリケーションの脆弱性がただ乗りするアプリケーショントラフィックの種類 ( 従来のアプ
リケーションでも新しいアプリケーションでも ) にかかわらず、ネットワークに侵入するのを防御します。
7 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
n
n
n
n
アプリケーションデコーダ : Content-ID は、この App-ID コンポーネントを活用してデータストリー
ムを前処理し、特定の脅威の証拠がないかを検査します。
統一された脅威シグネチャ形式 : 脅威の種類ごとに別個のスキャンエンジンを使用しなくてもよいよう
にすることで、パフォーマンスがさらに向上します。ウイルス、スパイウェア、および脆弱性の利用は
すべてシングルパスで検出されます。
脆弱性攻撃保護 (IPS): トラフィックの正常化および最適化のための堅牢なルーチンが、プロトコル異常、
動作異常、およびヒューリスティック検出メカニズムと連携して、既知の脅威と不明な脅威の両方から
広範囲かつ総合的に保護します。
統合された URL ログ作成機能 : データセンターにおける Web アプリケーションのどの要素が使用ま
たは攻撃されているかを知ることができます。
ファイルとデータのフィルタ処理 : App-ID による詳細なアプリケーション検査の結果を利用することで、
この機能セットを使用して不正なファイルおよびデータの転送に関連するリスクを軽減するポリシーを適
用できます。具体的な機能としては、実際の種類 ( つまり、拡張子だけでなく ) によりファイルをブロッ
クする機能や、クレジットカード番号や社会保障番号などの機密データのパターンの転送を制御する機能
などがあります。
結論として、IT 部門は Content-ID を使用することで、既知の脅威と不明な脅威を止める機能、可視性を
上げる機能、適切な使用を保証する機能を手に入れることができます。どれも、パフォーマンス、単純性、
または効率性を妥協せずに実現できます。
シングルパス並列処理アーキテクチャによりハイパフォーマンスの基盤が形成される
何よりもまず、データセンターのネットワークセキュリティインフラストラクチャが機能する必要があ
ります。前述のように、機能しないものはどれもデータセンターにインストールされません。本物の次
世代ファイアウォールを実装するため、Palo Alto Networks はワイヤースピードで大量の処理を行う機能
( アプリケーション識別など ) を実行できる新しいアーキテクチャを開発する必要がありました。
Palo Alto Networks の次世代ファイアウォールは、シングルパス並列処理 (SP3) アーキテクチャを使用して、
最大 20 Gbps の速度でデータセンター環境を保護します。
SP3 アーキテクチャを構成する 2 つの主要な要素は、シングルパスソフトウェアアーキテクチャとカス
タム構築されたハードウェアプラットフォームです。Palo Alto Networks の SP3 アーキテクチャは、ハー
ドウェアとソフトウェアを統合することで、管理の簡素化、処理の合理化、およびパフォーマンスの最大
化を図るユニークなアプローチです。
シングルパスソフトウェア
Palo Alto Networks のシングルパスソフトウェアは、Palo Alto Networks の次世代ファイアウォー
ル内で 2 つの主要な機能を実現するように設計されています。まず、シングルパスソフトウェアは
パケットごとに 1 回ずつ処理を実行します。パッケージが処理されるとき、ネットワーキング機能、
ポリシー検索、アプリケーションの識別とデコード、すべての脅威とコンテンツに対するシグネチャ
マッチングがすべて 1 回だけ実行されます。これにより、1 つのセキュリティデバイスで複数の機
能を実行するのに必要な処理のオーバーヘッド量が大幅に減少します。
2 つ目に、Palo Alto Networks のシングルパスソフトウェアにおけるコンテンツスキャンステップ
はストリームベースであり、統一されたシグネチャマッチングを使用して脅威を検出およびブロッ
クします。別個のエンジンとシグネチャセットを使用したり ( 複数パススキャンが必要 )、ファイル
プロキシを使用したり ( スキャン前にファイルのダウンロードが必要 ) する代わりに、次世代ファイ
アウォールのシングルパスソフトウェアはコンテンツを 1 回スキャンし、ストリームベースの方式
で遅延の発生を防ぎます。
8 ページ
データセンターにおける Palo Alto Networks: 妥協をなくす
このシングルパストラフィック処理により、すべてのセキュリティ機能をアクティブにしたまま、
スループットを大幅に高めて遅延を減らすことが可能になります。完全に統合された 1 つのポリシー
という他のメリットもあり、エンタープライズネットワークセキュリティの簡素化された管理が可
能になります。
並列処理ハードウェア
Palo Alto Networks SP3 アーキテクチャの他の重要な部分は、ハードウェアです。Palo Alto
Networks の次世代ファイアウォールは、並列で処理する専用の機能群を使用して、シングルパス
ソフトウェアができる限り効率的に動作するようにします。
n
n
n
n
ネットワーキング : ルーティング、フロー検索、統計の集計、NAT、および同様の機能がネットワー
ク固有のプロセッサで実行されます。
セキュリティ : User-ID、App-ID、およびポリシー検索はすべて、暗号化、解読、および解凍が高
速化されたマルチコアセキュリティ専用処理エンジンで実行されます。
脅威防御 : Content-ID は、専用のコンテンツスキャンプロセッサを使用して、あらゆる種類のマ
ルウェアのコンテンツを分析します。
管理機能 : 専用の管理プロセッサにより、データ処理ハードウェアを操作しなくても、設定の管理、
ログ作成、レポート作成を容易に行うことができます。
アーキテクチャの最後の要素は、データプレーンと制御プレーンを物理的に分離することで実現される組
み込みの弾力性を中心に展開されます。この分離を行うと、一方を集中的に利用しても、もう一方にマイ
ナスの影響を与えることがありません。たとえば、管理者がプロセッサを大量に消費するレポートを実行
しても、データプレーンとコントロールプレーンが分離されているため、パケットを処理する能力は妨
げられません。
3300 Olcott Street
Santa Clara, CA 95054
代表:
販売:
サポート:
+1.408.573.4000
+1.866.320.4788
+1.866.898.9087
お問い合わせ先:
www.paloaltonetworks.com
Copyright ©2011, Palo Alto Networks, Inc. All rights reserved.Palo Alto
Networks、Palo Alto Networks ロゴ、PAN-OS、App-ID、および Panorama は、
Palo Alto Networks, Inc. の商標です。すべての仕様は予告なく変更される場
合があります。Palo Alto Networks は、本書の記述の間違いまたは本書の情
報の更新について責任を負いません。Palo Alto Networks は、本書を予告な
く変更、修正、または改訂する権利を保有します。PAN_WP_DC_051811

Download Report