当前位置：首页 > news >正文

Palo Alto Panorama 11.2 Virtual Appliance for ESXi, KVM - Palo Alto Networks 防火墙统一管理

news 2026/5/11 22:23:55

Panorama Firewall Management - Palo Alto Networks

请访问原文链接：https://sysin.org/blog/panorama-11/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Panorama

利用 Panorama 自信而有效地管理网络安全

通过跨不同基础架构和云的集中式防火墙管理简化网络安全监督。

管理所有防火墙和安全工具

大多数防火墙违规是由防火墙配置错误引起的。Panorama™ 监控、配置和自动化安全管理。

统一策略管理
集中可见性
自动威胁响应
简化配置
无与伦比的可扩展性

在整个网络中保持防火墙规则一致

Panorama 使用用于防火墙、威胁预防、URL 过滤、应用程序感知、用户识别、沙箱、文件阻止、访问控制和数据过滤的单一安全规则库来管理网络安全。动态更新可简化管理并改善您的安全状况。

了解流量和可操作的见解

Panorama 提供了应用程序、URL、威胁、数据文件和穿越 Palo Alto Networks 防火墙的模式的交互式图形视图 (sysin)。现在，您可以轻松地可视化网络活动、威胁活动和被阻止的活动，并创建当前和历史数据的自定义视图。

识别受感染的主机并发现恶意行为

Panorama 中的自动关联引擎减少了数据混乱，因此您可以更快地识别受感染的主机并发现恶意行为，从而减少网络中关键威胁的停留时间。

优化防火墙配置并减少错误

Panorama 可帮助您使用分层设备组、动态地址和用户组、基于角色的访问控制和策略标签来组织防火墙管理 (sysin)。预配置模板缩短了创建新规则集所需的时间。

随着组织的发展扩展安全管理

随着您的防火墙部署的增长，Panorama 可以轻松扩展 - 一对高可用性设备可以管理多达 5,000 个虚拟、容器和物理 Palo Alto Networks 防火墙。迁移到集中管理的网络使向网络中添加新防火墙变得更加容易。

新增功能

以下内容介绍了 PAN-OS 11.x 中引入的 Panorama 新功能。

私有端点上的自定义 AI 模型安全防护

2025 年 8 月在 PAN-OS 11.2.8 中引入

你可以将 AI 安全检测能力扩展到托管在私有管理端点上的 LLM，或扩展到输入/输出架构并非公开已知的模型。通过在AI 安全配置文件中启用该支持，所有匹配安全策略规则的流量都会被转发至 AI 云服务进行威胁检测 (sysin)，无论该模型是众所周知的公共服务，还是自定义构建的私有模型。这可为整个 AI 生态系统提供全面的安全防护。

新的 AI 安全配置文件可对通过 Prisma AIRS：Network Intercept、并由 Strata Cloud Manager 或 Panorama 管理的 AI 应用与 LLM 模型之间的 AI 流量进行检测与防护。该配置文件可防御提示注入（Prompt Injection）和敏感数据泄露等威胁。

Panorama AI 安全日志增强

2025 年 8 月在 PAN-OS 11.2.8 中引入

通过新增的 AI 安全报告，你可以获得对 AI 专属威胁的更高可见性，该报告会显示由 Prisma AIRS Network Intercept 转发的完整AI 安全威胁日志。这使你能够更清晰地了解基于 AI 安全配置文件所检测到的 AI 模型防护、AI 应用防护以及 AI 数据防护相关威胁。

在配置日志转发配置文件或构建自定义报表时，你还可以按ai-security威胁类型过滤日志，从而实现更有针对性的分析，并简化 AI 专属威胁的安全运营流程。

Panorama 中的 Prisma AIRS AI Runtime 支持

2024 年 12 月在 PAN-OS 11.2.5 中引入

PAN-OS 11.2.5 在 Panorama 中引入了 Prisma AIRS AI Runtime：Network Intercept 的部署与管理支持 (sysin)，进一步增强了你对 AI 应用、AI 模型和 AI 数据的防护能力。

主要功能包括：

AI 安全配置文件：直接在 Panorama 中创建和管理 AI 安全配置文件，为你的云网络架构配置特定的防护策略。
流量对象：定义包含特定云资产的流量对象，并将其映射到区域，以对 AI 流量强制执行安全策略规则 (sysin)。
AI 安全日志：在“监控 > 威胁”中查看由 Prisma AIRS AI Runtime：Network Intercept 防火墙生成并转发到 Panorama 的日志。AI 安全威胁日志的类型标识为ai-security。

Zero Touch Provisioning（ZTP）接入增强

2024 年 5 月在 PAN-OS 11.2 中引入

Zero Touch Provisioning（ZTP）通过最大限度减少将设备接入网络所需的人工管理干预，简化了 NGFW 的初始部署流程。然而，在防火墙成功连接到 Panorama® 管理服务器后，管理员通常仍需要手动激活相关许可证并推送内容更新。

PAN-OS 11.2.0 对 ZTP 体验进行了增强，实现了这些关键连接后步骤的自动化。当你将 ZTP NGFW 添加到 Panorama 时，安全管理员现在可以在初始配置阶段添加 NGFW 授权码。这样一来，Panorama 就能在设备首次连接时自动为 ZTP NGFW 激活所需的许可证。

此外，安全管理员还可以将 Panorama 配置为在 NGFW 通过 ZTP 插件生成的模板堆栈成功接入时 (sysin)，立即推送最新已下载的动态内容更新。在成功连接到 Panorama 后，Panorama 会自动激活与授权码关联的许可证，推送最新的预定义设备组和模板堆栈配置，并安装最新下载的动态内容版本。这些自动化能力大幅降低了大规模 NGFW 部署的管理负担，并确保每一台新接入的 NGFW 都能立即保持合规且处于最新状态。

启用或禁用选择性推送

2025 年 12 月在 PAN-OS 11.1.13 中引入

选择性推送（Push Changes Made By）由于只推送由特定管理员修改的配置而更加高效，但某些环境可能对配置一致性有极高要求，因此需要执行完整推送（Push All Changes）。为了强制保持一致性并获得对部署的明确控制，你可以手动启用或禁用选择性推送。

禁用选择性推送的指南：

Panorama 默认启用选择性推送。禁用后，管理员将无法只推送其各自的修改，从而确保每次都执行完整配置推送。
启用选择性推送并不会限制你在需要时手动执行完整推送。
如果你明确要求每次部署或推送都必须执行完整配置推送，可以禁用选择性推送。
你可以通过 Panorama Web 界面或命令行界面（CLI）来监控和配置选择性推送的状态。

修改选择性推送状态的要求：

当本地 Commit 正在进行，或存在待处理的 Commit and Push 时，无法启用或禁用选择性推送。最佳实践是在维护窗口期间或没有管理员使用 Panorama 时进行该操作。
如果已配置 HA，在故障切换期间，选择性推送会在被动 Panorama 上自动启用或禁用。因此，如果被动 Panorama 无法访问或无响应，你将无法在主动设备上启用或禁用选择性推送 (sysin)。
如果存在活动的、基于管理员的计划配置推送任务，则无法禁用选择性推送。