Palo Alto PAN-OS 12.1.5 Orion 发布 - 基于机器学习的下一代防火墙操作系统

Palo Alto PAN-OS 12.1.5 Orion 发布 - 基于机器学习的下一代防火墙操作系统

PAN-OS 12.1 Orion delivers industry firsts including quantum readiness, unified multi-cloud protection, and more.

请访问原文链接：sysin.org/blog/pan-os… 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

PAN-OS 12.1 Orion

量子安全。AI 驱动。面向每一个云环境。

在跨云环境中无畏创新，凭借始终领先一步的安全能力。

体验 PAN-OS 12.1 Orion 带来的未来安全。

这不仅仅是一次网络安全升级，而是对整个环境安全方式的根本性转变。借助 Orion，您将获得所需的智能与敏捷性，以应对当前和未来最关键的挑战。

机遇已然清晰：统一网络安全态势，简化管理，保持合规，为量子时代做好准备——而且不牺牲性能。

了解 Orion 如何赋能您：

• 实现量子就绪 —— 轻松迈向量子安全，包括专用仪表板展示完整的加密使用情况、内置的加密套件转换功能，可即时将应用程序升级到量子安全状态，以及新一代量子优化的下一代防火墙（NGFW）。
• 统一跨云保护 —— 自信地扩展多云与 AI 项目，依托随您一同进化的统一网络安全基础。
• 阻止新兴威胁 —— Orion 将精准 AI™ 扩展至整个企业，引入高级 DNS 安全解析器、设备安全以及全新 AI 驱动的威胁检测功能，助您防御最复杂的攻击。
• 实现无忧管理与运营 —— 通过实时策略优化建议、集中化的合规与报告工具，以及自然语言驱动的辅助功能，一切都能在 Strata Cloud Manager 中无缝统一与简化。

抢先体验全新功能，重新定义量子就绪、多云安全，以及更多可能。

功能概述

了解应用流量

了解应用程序的真实身份

PAN-OS 包括 App-ID™ — Palo Alto 的专利流量分类技术，可自动发现和控制新应用程序，即使是那些试图通过伪装成合法流量、跳跃端口，或通过加密潜入防火墙来规避检测的应用程序。

管理用户访问

按应用程序对用户进行身份验证和授权

PAN-OS 包括 User-ID™，它简化了用户识别和身份验证，并且可以帮助您的员工轻松部署零信任 (sysin)。PAN-OS® 保护用户免受网络钓鱼攻击，阻止向恶意网页提交凭据，并为异常用户行为提供自动补救。

创建基于设备的规则

轻松管理网络上的设备安全

Device-ID™ 是 PAN-OS 的一项功能，它为设备提供策略规则，无论 IP 地址或位置如何变化。使用 Device-ID，您可以了解事件与设备和设备策略之间的关系。PAN-OS 可以帮助改进安全性、解密、QoS 和身份验证策略。

扫描流量内容

阻止规避其他安全方法的漏洞利用

与 Device-ID 和 App-ID 类似，Content-ID™ 使您能够理解和控制通过网络传输的流量内容 (sysin)。Content-ID 在一次网络流量扫描中提供全面的威胁防护，优化您的 NGFW 性能。

最大化吞吐量

实现高吞吐量、低延迟的安全保护

简单地添加越来越多的安全功能的传统策略会导致性能下降和延迟增加。Palo Alto 的单通道架构在单次扫描中执行所有必要的安全功能，从而降低复杂性并最大限度地降低总拥有成本。

保护加密流量

防御通过加密隐藏的威胁

除非经过检查，否则加密流量会使组织对隐藏在内部的安全风险视而不见 (sysin)。黑客利用可见性的缺乏，在加密流量中传播恶意软件。PAN-OS 为 TLS 和 SSL 加密流量提供全面的解密，包括 TLS 1.3 和 HTTP/2。

面向未来的 VPN

防护 Harvest Now, Decrypt Later (HNDL) 攻击

即使当前尚未出现能够破解加密的强大量子计算机，HNDL 攻击仍然对数据隐私构成真实威胁。通过基于开放标准的 PAN-OS 后量子 VPN，保护你的数据安全。

原生 Web 代理支持

原生 Web 代理支持

将防火墙与代理功能整合到单一平台，通过集中管理平台构建和管理策略 (sysin)。支持通过 PAC 文件的显式代理，也支持透明代理。

新增功能

2026 年 3 月，宣布推出 PAN-OS 12.1.5，这是 2025 年 8 月 PAN-OS 12.1 发布以来的首次重大更新。加入了以下新增功能与数十项已知问题修复，限于篇幅本文仅列出新增功能部分，已知问题修复有兴趣可查阅官方文档。

App-ID 功能

App-ID 更新保障机制

2026 年 3 月，引入于 PAN-OS 12.1.5

Palo Alto Networks 的安全策略通常依赖于配置时 App-ID™ 特征签名的具体状态。当 Palo Alto Networks 发布内容更新，修改现有 App-ID 或引入新的 App-ID 时，原本被允许的流量可能会被意外阻断，或产生不可预期的行为，因为现有安全策略尚未识别新的签名定义 (sysin)。这种潜在影响可能会延迟新威胁防护内容的采用，并增加额外的运维流程。

现在，你可以通过 NGFW 或 Panorama 启用 App-ID 更新保障机制，在更新期间保持策略意图一致。启用该功能后，防火墙会参考新的 Previous App-ID 属性来决定策略执行。如果流量匹配到新的或已修改的 App-ID，但该 App-ID 未在策略中显式定义，防火墙会检查其之前的身份。例如，如果之前的 App-ID 被允许，则该流量仍会被允许，从而在你审查变更期间保障业务连续性。

启用 App-ID 更新保障机制后，NGFW 会使用新的或更新后的 App-ID 记录流量日志，在不影响业务运行的前提下提供应用变化的可见性。该功能默认关闭，以确保你可以完全掌控何时自动应用这一过渡逻辑。

管理功能

基于 XML API 的 IP-Tag 子类型

2026 年 3 月，引入于 PAN-OS 12.1.5

下一代防火墙（NGFW）可以从多个基于 XML API 的来源学习 IP 地址到标签（IP-Tag）的映射。为避免在清除或注销这些来源的 IP-Tag 时影响网络流量，PAN-OS XML API 现在可以区分来自不同来源的映射，包括 XML API 本身、Panorama™ 插件以及自动标记（基于日志的动态标记）。这种区分实现了更精细的控制，使你可以仅针对特定子类型的 IP-Tag 发起 XML API 请求，而不会影响通过其他流程注册的标签。

XML API 请求中新增了 <source> 元素，用于标识标签是否来源于 Panorama™ 插件或自动标记。如果 XML API 请求未指定 source，或通过 cURL 请求注册标签 (sysin)，则请求中不会包含 source；但系统会默认其来源为通用 XML API。

IP-Tag 日志会在 Source Type 列中显示这些来源子类型（包括通用 XML API 的 xml-api），以提升可见性和故障排查能力。 该功能默认关闭。

网络功能

PA-7500 系列防火墙支持高可用 Active/Passive 模式

2026 年 3 月，引入于 PAN-OS 12.1.5

你现在可以在 PA-7500 系列防火墙（第五代硬件平台）上部署传统的高可用 Active/Passive 架构。该能力弥补了无法在这些先进平台上使用 NGFW 集群但又需要 Active/Passive 故障切换方案的关键缺口。配置后，你可以延续在其他 Palo Alto Networks 平台上熟悉的 HA 配置流程与运维行为。

与所有成员都主动转发流量的集群模式不同，HA Active/Passive 模式遵循传统模型：只有主设备处理流量，从设备处于待机状态，并在故障切换时接管。该方式适用于无需多设备流量分担复杂性的冗余场景，以及优先保持现有运维流程而非扩展吞吐能力的部署需求。

在 HA Active/Passive 模式下，PA-7500 系列必须使用高速机箱互连（HSCI）连接两台设备。HSCI 接口同时承载 HA1 和 HA2 功能（会话同步与配置同步）。其中 HSCI-A 为主接口，HSCI-B 可配置为备用接口。该方案无需依赖 Panorama 管理，同时保持现有平台一致的配置与状态同步能力 (sysin)，并提供第五代架构的性能与可靠性。

通过该能力，你可以在不重构高可用架构的前提下迁移至新硬件平台，同时获得更高性能与更多功能。这种方式特别适用于既需要现代硬件性能，又必须维持传统 Active/Passive 模式简单性与可预测性的环境。

PA-7500 系列 NAT DIPP 扩展能力提升

2026 年 3 月，引入于 PAN-OS 12.1.5

该增强将 PA-7500 系列支持的最大转换 IP 地址数量从 16,000 提升至 32,000，满足需要大规模源 NAT 能力的服务提供商部署需求。这一提升解决了大型电信运营商在跨区域支持数亿用户时对网络规模和连接能力的关键要求。

如果你的网络规模较大，且传统 NAT 转换上限限制了扩展能力，该功能将带来显著收益。尤其适用于需要跨多个国家或地区支持大量用户的场景。该增强在保持现有 NAT 功能不变的同时，将容量翻倍，使网络可以在无需架构调整或新增硬件的情况下扩展。

在部署 PA-7500 系列时，你现在可以在独立部署、HA 配置以及基于 MLAG 的 C3 集群环境中配置最多 32,000 个转换 IP 地址。该提升不仅满足当前需求 (sysin)，还为未来增长预留空间，使你能够在整个网络基础设施中统一使用同一防火墙平台，而无需因容量限制寻找替代方案。

GlobalProtect 功能

标准化 IKEv2 支持

2026 年 2 月，引入于 PAN-OS 12.1.5

为帮助政府及联邦机构满足合规要求，GlobalProtect 网关现已支持标准化的 Internet Key Exchange version 2（IKEv2）。IKEv2 通过四次消息交换完成连接，相比 IKEv1 的八次交换更加高效。

该实现包含基于 UDP 4500 端口封装的 NAT 穿越机制，并内置健康检查，可在连接中断时自动重建隧道。此外，IKEv2 通过在执行复杂加密操作前加强对等体验证，提高了对拒绝服务（DoS）攻击的抵抗能力。

有关如何在 GlobalProtect 网关上启用 IKEv2，请参阅 Configure a GlobalProtect Gateway。

---

以下是 2025 年 8 月，PAN-OS 12.1 引入的新功能。限于篇幅，此处仅列出摘要部分，完整版可见本站在其他平台的发布。

✅ 内容检查功能 (2)

• DNS 安全日志类型

  新增专门针对 DNS 安全事件的日志类型，可记录正常与恶意 DNS 流量的详细交易信息，包括会话 ID、收发时间、源/目的信息、DNS 分类、威胁名称、严重性和处理动作等。支持将日志发送至外部系统，可用于溯源和威胁分析。

• Brotli 解压支持

  Content-Based Threat Detection (CTD) 引擎新增 Brotli 解压功能，使 HTTP 内容可被更广泛检查，从而提升威胁检测能力 (sysin)，并防止攻击者利用 Brotli 压缩规避安全检查。

✅ 管理功能 (7)

• Telemetry 自动启用

  自动配置设备遥测数据传输，简化配置，提高安全响应和性能洞察。

• 量子密钥分发 (QKD)

  支持量子安全加密的 IPsec VPN，防御未来量子计算威胁，兼容现有 VPN 架构。

• 安全增强

  IMA (Integrity Measurement Architecture) 防止未经授权的程序运行，提供多层防护。

• 设备安全设置

  当检测到安全违规时，可选择继续运行或进入维护模式 (sysin)，保护系统并记录高严重性日志。

• 插件捆绑管理

  升级时自动下载匹配插件，避免版本冲突和配置丢失，确保升级顺畅。

• 升级检查

  生成升级前后检查报告，提前发现问题并验证升级后系统状态，降低大规模部署风险。

• 通过蜂窝网络的零触发配置 (ZTP)

  支持远程部署 NGFW，适用于无传统有线网络的场景，简化远程站点部署。

✅ 网络功能 (6)

• DNS 重写条件检查

  可基于客户端来源区域或 IP 控制 DNS 地址翻译，支持正负匹配，实现细粒度控制。

• 蜂窝接口上的 GRE 隧道

  支持通过蜂窝网络建立 GRE 隧道，用于远程 IoT 设备或移动环境。

• PA-5450 支持 SWG

  提升安全 Web 网关性能和可扩展性，适合高流量环境。

• IPv6 地理位置支持

  补充 IPv4 地理位置策略，实现统一安全管理 (sysin)，兼顾双栈和 IPv6-only 环境。

• 增强 ICMPv6 应用日志

  DPI 生成 ICMPv6 NDP 日志，用于设备识别和高级设备管理，可供 Cortex XDR 使用。

• 增强数据包捕获支持范围过滤

  支持按 IP、端口、协议范围捕获包，方便批量流量排查。

✅ Panorama 功能 (2)

• 日志收集器扩展优化

  可选择主节点，提升大规模日志采集性能，实现高日志吞吐率。

• 增强共享优化

  多虚拟系统设备推送配置时减少对象复制，降低内存占用和提交失败风险。

✅ 证书管理功能 (1)

• PAN-OS 系统证书

  Web 界面显示内部证书信息，包括到期日期和状态，方便管理。

✅ 解密功能 (2)

• 全面解密日志字段和错误信息

  区分客户端和服务器端会话，提供更多解密状态和错误原因字段，便于排查。

• TLSv1.3 后量子密码学支持

  支持 PQC KEMs，在 TLSv1.3 会话中实现量子安全加密，同时兼容传统系统。

✅ 设备安全功能 (1)

• 高级 Device-ID

  提供更精细的设备分组和策略应用能力 (sysin)，支持 IoT、混合资产环境的安全策略精确化。

✅ SD-WAN 功能 (2)

• NGFW 与 Prisma SD-WAN 数据中心集成

  分支与数据中心之间通过 SD-WAN 安全隧道连接，实现统一管理、流量优化和策略一致性。

• SD-WAN HA 设备简化配置

  可同时添加 HA 对设备，配置自动同步，保证高可用性和一致性。

✅ 认证功能 (1)

• Kerberos 应用密码免登录

  用户首次认证后可访问所有受保护应用，无需重复输入密码，提高安全性和用户体验。

✅ 虚拟化功能 (2)

• GCP 上 VM-Series 支持 Secure Boot

  新安装的 VM-Series 支持 Secure Boot，确保启动链可信，防止低级攻击。

• Hyperscale Security Fabric (HSF)

  动态扩展的虚拟防火墙架构，支持高吞吐量、安全会话弹性和自动扩展，简化管理。

✅ 企业数据防泄漏功能 (1)

• 精细数据配置文件

  在单条策略中可针对不同数据模式设定不同处理动作，降低误报，简化策略管理。

✅ 硬件功能 (3)

• PA-455R-5G NGFW

  工业级 5G 防火墙，防护恶劣环境 (sysin)，支持 MIMO 天线和 PoE。

• PA-500 系列 NGFW

  支持 ZTP、多种接口，威胁防护 1.2–6 Gbps，灵活部署分支和零售环境。

• PA-5500 系列 NGFW

  高性能防火墙，威胁防护 90–300 Gbps，支持 NGFW 集群及高吞吐量数据中心场景。

下载地址

想要开始学习和研究？

Palo Alto PAN-OS 12.1.5 Orion for ESXi

PA-VM-ESX-12.1.5.ova

请访问：sysin.org/blog/pan-os…

---

更多：Firewall 产品链接汇总