PA-7000 SERIES

Los firewalls de nueva generación PA-7000 Series de Palo Alto Networks permiten a
organizaciones y proveedores de servicios de escala empresarial implementar seguridad
en entornos de alto rendimiento, como grandes centros de datos y perímetros de red
de ancho de banda alto. Diseñados para manejar las necesidades cada vez mayores de
rendimiento de datos generados por las aplicaciones, los usuarios y los dispositivos,
estos sistemas ofrecen un rendimiento asombroso, capacidades de prevención para
detener los ciberataques más avanzados y descifrado de alto rendimiento para detener
amenazas escondidas bajo el velo del cifrado. PA-7000 Series, creada para maximizar
la utilización de recursos de procesamiento de seguridad y para escalarse de manera
automática a medida que esté disponible una nueva potencia informática, ofrece
simplicidad definida por un único sistema de enfoque hacia la gestión y las licencias.
Funciones de Seguridad Clave
Clasifica todas las aplicaciones, en todos los puertos,
en todo momento.

• Identifica la aplicación, independientemente del

puerto, la encriptación SSL/SSH o las técnicas
evasivas empleadas.
• Utiliza la aplicación, no el puerto, como base para
todas sus decisiones de política de habilitación
segura.
• Categoriza aplicaciones no identificadas para el
control de políticas, la investigación forense de
amenazas o el desarrollo de tecnología App-ID™.
Ejecuta las políticas de seguridad para cualquier PA-7050 PA-7080
usuario, en cualquier ubicación.
Tabla 1: Rendimiento y Capacidades de PA-7000 Series
• Implementa políticas coherentes en plataformas
PA-7000 PA-7000
Windows®, macOS®, Linux, Android® o Apple iOS.
PA-7080 PA-7050 NPC-100G NPC-XM
• Habilita la integración sin agentes con Microsoft Rendimiento de firewall 600/700 360/420 60/70 17.1/20.0
Active Directory® y Terminal Services, LDAP, Novell (HTTP/appmix)1 Gbps Gbps Gbps Gbps
eDirectory™ y Citrix.
Rendimiento de Threat Prevention
• Integra fácilmente sus políticas de firewall en 802.1X (habilitado para DSRI)2 610 Gbps 366 Gbps 61 Gbps 18 Gbps
inalámbrico, proxies, network access control (control
Rendimiento de Threat Prevention 270/330 162/198 27/33 8.1/11.1
de acceso a la red - NAC) y cualquier otra fuente de (HTTP/ appmix)3 Gbps Gbps Gbps Gbps
información sobre la identidad del usuario.
Rendimiento de IPSec VPN4 280 Gbps 168 Gbps 28 Gbps 8.7 Gbps
Evita amenazas conocidas y desconocidas.
Sesiones máximas 320 millones 192 millones 32 millones 8 millones
• Bloquea un rango de amenazas conocidas—incluidos Nuevas sesiones por segundo5 4.56 millones 2.73 millones 456 000 225 000
los exploits, el malware, el spyware y el comando Virtual systems (sistemas
y control—en todos los puertos. virtuales - vsys) (base/máx.)6 25/225* 25/225* – –
• Limita la transferencia no autorizada de archivos 1. El rendimiento se mide con App-ID y registro habilitados, con transacciones HTTP/appmix de 64 KB.
y datos confidenciales, y habilita de forma segura 2. El rendimiento de Disable Server Response Inspection (Deshabilitar inspección de respuesta de servidor -
la navegación por Internet no relacionada con el DSRI) se mide con App-ID, IPS, antivirus, antispyware, WildFire, bloqueo de archivos y registro habilitado
mediante el uso de transacciones HTTP de 64 KB.
trabajo.
3. El rendimiento de Threat Prevention se mide con App-ID, IPS, antivirus, antispyware, WildFire y registro
• Identifica malware desconocido, lo analiza en función habilitado mediante el uso de transacciones HTTP/appmix de 64 KB.
4. El rendimiento de IPsec VPN se mide con transacciones HTTP de 64 KB y registro habilitado.
de cientos de comportamientos malintencionados
5. Las nuevas sesiones por segundo se miden al cancelar aplicaciones mediante el uso de transacciones
y luego crea y brinda protección automáticamente. HTTP de un byte.
6. Añadir virtual systems (sistemas virtuales - vsys) sobre la cantidad base requiere una licencia que se
adquiere por separado.

Palo Alto Networks | PA-7000 Series | Hoja de Datos 1

Arquitectura de PA-7000 Series
PA-7000 Series es impulsada por una arquitectura escalable para aplicar el tipo y el volumen de potencia de procesamiento adecuados a las
tareas funcionales clave de la red, de seguridad y de gestión. El chasis de PA-7000 Series distribuye las demandas de procesamiento de manera
inteligente en tres subsistemas, cada uno con enormes cantidades de potencia de computación y memoria dedicada.

Network Processing Card (Tarjeta de Procesamiento de Red - NPC)

La Network Processing Card (Tarjeta de Procesamiento de Red - NPC) ejecuta todas las tareas de procesamiento de paquetes, incluidas
las redes, la clasificación del tráfico y threat prevention. Cada NPC tiene entre 64 (primera generación) y 144 (segunda generación) núcleos
de procesamiento enfocados en proteger su red hasta 72 Gbps por NPC. Escalar el rendimiento al máximo de 720 Gbps en PA-7080,
o 430 Gbps en PA-7050, es tan fácil como añadir una nueva NPC y permitir que el sistema determine el mejor uso para la nueva potencia
de procesamiento. Para dirigir la creciente demanda de mayor capacidad de conectividad 40 Gbps y 100 Gbps, así como las alternativas
de interfaz 10 Gbps más comunes, se encuentran tres opciones de NPCs disponibles —NPC-20GXM y NPC-20GQXM de primera generación
y NPC-100G de segunda generación— que pueden usarse de manera intercambiable con la Switch Management Card (Tarjeta de Gestión
de Conmutadores - SMC) de primera generación.

Switch Management Card (Tarjeta de Gestión de Conmutadores - SMC)

Al actuar como centro de control de PA-7000 Series, Switch Management Card (Tarjeta de Gestión de Conmutadores - SMC) supervisa de
manera inteligente todo el tráfico y ejecuta todas las funciones de gestión mediante el uso de una combinación de tres elementos: el Primer
Procesador de Paquetes, un backplane (en inglés) de alta velocidad y el subsistema de gestión. Los SMC de primera y segunda generación están
disponibles. La segunda generación ofrece mejoras importantes en las tres áreas de funcionalidad que están a continuación:
• El Primer Procesador de Paquetes (FPP) es la clave para maximizar el rendimiento de PA-7000 Series y entregarle escalabilidad linear.
El FPP rastrea constantemente el grupo compartido de recursos de procesamiento y de I/O disponibles en todas las NPC al dirigir
el tráfico entrante de manera inteligente a cualquier procesador infrautilizado. Esto significa que, a medida que las NPC se agregan
paraaumentar el rendimiento y la capacidad, no se requieren cambios en la gestión de tráfico ni es necesario volver a cablear o configurar
su PA-7000 Series.
• Un backplane de alta velocidad significa que cada NPC tiene acceso a más de 100 Gbps de capacidad de tráfico sin bloqueo.
Con capacidad dedicada para cada ranura de NPC, el rendimiento se escala de manera lineal. A medida que aumenta sus requerimientos,
puede añadir NPC que aumentarán la capacidad agregada del sistema sin conflicto de backplane.
• El subsistema de gestión actúa como un punto de contacto dedicado a controlar todos los aspectos de PA-7000 Series.

Tarjeta de Logs Dedicada

La Tarjeta de Logs, parte integral de cada sistema, utiliza un diseño de CPU dual que crea un subsistema dedicado a gestionar el alto volumen
de logs que genera PA-7000 Series. Hay dos tarjetas de logs disponibles: una Log Processing Card (Tarjeta de Procesamiento de Logs - LPC)
de primera generación y una Tarjeta de Reenvío de Logs (LFC) de segunda generación. La LPC usa hasta 4 TB de almacenamiento RAID 1 para
descargar actividades relacionadas con logs y le permite ejecutar preguntas e informes de los logs más recientes que se recopilaron. La LFC es
una tarjeta de alto rendimiento que exporta mensajes de log. Ambas le permiten reenviar logs a la gestiones de seguridad de red Panorama™,
Cortex Data Lake y Syslog para analizarlos fuera de línea. La LPC es compatible con configuraciones mixtas de NPC-20G y NPC-100G, mientras
que la LFC está optimizada para usarla con SMC y NPC-100G de segunda generación.
PA-7000 Series se gestiona como un sistema único y unificado que le permite dirigir con facilidad todos los recursos disponibles para proteger
sus datos. El elemento de control de la serie PA-7000 Series es PAN-OS® que clasifica todo el tráfico de forma nativa, incluso de aplicaciones,
amenazas y contenido y, luego, vincula ese tráfico al usuario, independientemente de la ubicación o el tipo de dispositivo. La aplicación,
el contenido y el usuario—es decir, los elementos que hacen funcionar el negocio—sirven como base de sus políticas de seguridad que dan
como resultado mejores posturas de seguridad, menor tiempo de respuesta ante incidentes y menor sobrecarga administrativa asociada con
el mantenimiento de políticas de seguridad actuales en un entorno altamente dinámico.

Palo Alto Networks | PA-7000 Series | Hoja de Datos 2

El soporte anual y las tarifas de suscripción de PA-7000 Series se aplican a todo el sistema para simplificar aún más el esfuerzo administrativo.
Las tarifas anuales son constantes independientemente de cuántas NPCs haya instaladas, lo que proporciona una estructura de costos
predecible.

Tabla 2: Especificaciones del Hardware de PA-7000 Series

PA-7000 NPC Sistema Completo PA-7080 Sistema Completo PA-7050

(8) SFP/SFP+
NPC-100G (PA-7000-100G-NPC-A) (4) QSFP+ (80) SFP/SFP+ (40) QSFP+/QSFP28 (48) SFP/SFP+ (24) QSFP+/QSFP28
/QSFP28

NPC-20G XM Opción 1: (2) QSFP+,

(20) QSFP+, (120) SFP+ (12) QSFP +, (72) SFP+
(PA-7000-20GQXM-NPC) (12) SFP+

12x10/100/
NPC-20G XM Opción 2: (72) 10/100/1000, (48) SFP,
1000, (8) SFP, (120) 10/100/1000, (80) SFP, (40) SFP+
(PA-7000-20GXM-NPC) (24) SFP+
(4) SFP+

(2) SFP MGT, (2) SFP HA1, (2) HSCI HA2/HA3 QSFP+/QSFP28
Gestión de I/O (segunda generación) –
(1) consola en serie RJ45, (1) consola en serie micro USB

(2) 10/100/1000, (2) QSFP+ high availability (alta disponibilidad - HA), (1) puerto
Gestión de I/O (primera generación) –
de gestión fuera de banda 10/100/1000, (1) puerto de consola RJ45

Capacidad de almacenamiento (segunda

– (2) Unidad de sistema SSD de 240 GB, RAID1
generación)

Opciones de almacenamiento (primera (1) Unidad de sistema SSD de 80 GB, (4) 1 TB de valor predeterminado o (4) 2 TB de disco
–
generación) duro opcional en Log Processing Card (Tarjeta de Procesamiento de Logs - LPC), RAID

Voltaje de Entrada de CA (Hz de entrada) – 90–305 VAC (47–66 Hz) 90–264 VAC (47–63 Hz)

2500 W A 240 VAC 2500 W A 240 VAC

Salida de la Fuente de Alimentación de CA –
1200 W A 120 VAC 1200 W A 120 VAC

Voltaje de Entrada de CC – -36 a -75 VDC -40 a -72 VDC

Salida de Potencia de CC – 2500 W/fuente de alimentación 2500 W/fuente de alimentación

12 ADC A 240 VAC de Entrada 16 A A 180 VAC de Entrada

Corriente máx./fuente de alimentación –
75 ADC A >40 VDC de Entrada 75 A A 37.5 VDC de Entrada

Fuentes de alimentación (base/máx.) – 4/8 4/4

Corriente máxima de entrada/fuente

– Pico de 30 AAC/100 ADC Pico de 50 AAC/75 ADC
de alimentación

Según la configuración; comuníquese con su representante de Palo Alto Networks para obtener
Mean Time Between Failure (MTBF)
detalles de MTBF.

BTU/h máximo – 20 132 10 236

19 U, 19” de rack estándar (32.22” de alto x 9 U, 19” de rack estándar (15.75” de alto x
Montaje en Rack (Dimensiones) –
19” de ancho x 24.66” de profundidad) 19” de ancho x 24” de profundidad)

Peso (Dispositivo solo/como se envía) – 299.3 lb CA298.3 lb CC 187.4 lb CA/185 lb CC

Seguridad – cTUVus, cCSAus, CB

EMI – Clase FCC A, Clase CE A, Clase VCCI A

Certificaciones – NEBS Nivel 3

Entorno

Temperatura Operativa – 32 °F a 122 °F, 0 °C a 50 °C

Temperatura No Operativa – -4 °F a 158 °F, -20 °C a 70 °C

Palo Alto Networks | PA-7000 Series | Hoja de Datos 3

PA-7000 Series es compatible con un amplio rango de funciones de red que le permiten integrar más fácilmente nuestras funcionalidades
de seguridad en su red existente.

Funciones de Red
Tabla 3: Funciones de Red de PA-7000 Series
Modos de Interfaz VLANs
L2, L3, tap, virtual wire (modo transparente) Etiquetas 802.1Q VLAN por dispositivo/por interfaz: 4094/4094
Enrutamiento Interfaces agregadas (802.3ad), LACP
OSPFv2/v3 con reinicio cuidadoso, BGP con reinicio cuidadoso, RIP,
Network address translation (traducción de dirección de red - NAT)
enrutamiento estático

Modos NAT (IPv4): IP estática, IP dinámica, dynamic IP and port

Policy-based forwarding (Reenvío basado en políticas - PBF)
(IP y puerto dinámicos - DIPP) (traducción de direcciones de puertos)
Multidifusión: PIM-SM, PIM-SSM, IGMP v1, v2 y v3 NAT64, NPTv6
Funciones adicionales NAT: reserva de IP dinámica, dynamic IP and port
Bidirectional Forwarding Detection (Detección de Reenvío Bidireccional - BFD)
(IP y puerto dinámicos - DIPP) con túnel y sobresuscripción
SD-WAN High Availability (Alta Disponibilidad - HA)
Medición de la calidad de la ruta (vibración, pérdida de paquetes, latencia) Modos: activo/activo, activo/pasivo
Selección de ruta inicial (PBF) Detección de fallas: monitoreo de rutas, supervisión de interfaz
Cambio dinámico de ruta
IPv6 High Availability (Alta Disponibilidad - HA)
L2, L3, tap, virtual wire (modo transparente)
Funciones: App-ID, User-ID, Content-ID, WildFire y Descifrado de SSL
IPsec VPN
Intercambio de claves: clave manual, IKEv1 e IKEv2 (clave precompartida,
autenticación basada en certificados)
Encriptación: 3DES, AES (128-bit, 192-bit, 256-bit)
Autenticación: MD5, SHA-1, SHA-256, SHA-384, SHA-512
GlobalProtect™ large-scale VPN (VPN a gran escala de GlobalProtect - LSVPN)
para configuración y gestión simplificadas

Para conocer más sobre las funciones de seguridad y las capacidades asociadas de PA-7000 Series, visite
www.paloaltonetworks.com/products.

3000 Tannery Way
Santa Clara, CA 95054
Línea principal: +1-408-753-4000
Ventas: +1-866-320-4788
Soporte técnico: +1-866-898-9087
www.paloaltonetworks.com
© 2019 Palo Alto Networks, Inc. Palo Alto Networks es una marca
registrada de Palo Alto Networks. Encuentre una lista de nuestras
marcas comerciales en https://www.paloaltonetworks.com/company/
trademarks.html. Todas las otras marcas aquí mencionadas pueden ser
marcas comerciales de sus respectivas compañías.
pa-7000-series-ds-112619