結合強固硬體與次世代防火牆軟體，Palo Alto跨入工控防護

針對工業控制系統（ICS）的威脅，以及攻擊事件頻傳，有越演越烈的趨勢，像是2015年底烏克蘭發生大停電，據傳就跟BlackEnergy發動惡意軟體攻擊有關，而這次事件也大大震撼整個資安業界，開始重視相關防護機制。

而從強化網路安全的角度而言，已有部分廠商在2015年5月推出了專屬的防火牆產品來因應，那就是Check Point發表的1200R設備。事隔近兩年的現在，以次世代防火牆著稱的Palo Alto Networks，在2月宣布推出PA-220R。

這款機型的規格與一年前推出的PA-220相似，都採用無風扇的散熱設計，支援高可用性的組態（A/A和A/S），以及透過USB隨身碟的自助式大量部署（USB-based bootstrapping），尤其是網路傳輸效能，可說是完全相同，像是防火牆吞吐量均為500 Mbps、VPN吞吐量為150 Mbps、最大連線數可達6.4萬個。它們採用的作業系統，也都是Palo Alto自家的PAN-OS，而能區分所有的網路流量，並且可以同時控管應用程式、威脅、存取內容與使用者。

然而，這兩款次世代防火牆機型之間，仍有不少細部差異。例如，採強固設計的PA220-R，能建置在嚴苛的工業環境，像是變電所、發電廠與廠區，適用環境的溫度範圍更大（攝氏零下40度到70度），並通過IEC 61850-3與IEEE 1613的環境測試驗證，能夠因應一定程度的震動、溫度變化，而且不會受到電磁干擾。

PA220-R採用的作業系統PAN-OS，如今可以透視工業控制系統專屬的流量，並且能夠在運作環境相當嚴峻的工業網當中，提供分區隔離、威脅預防。而該公司在本週舉行的2018網路安全創新用戶大會上，也在介紹PAN-OS 8.1新版功能的場次上，首度公開揭露PA220-R在這方面的應用特色，以及所支援的各種通訊協定與應用程式。

而且，在耗電量的規格上，PA220-R也更為節約，平均為13瓦、最高為16瓦，比起PA220可節省近4成電力。

從體型來看，PA220-R的外觀較為厚實，重量也增加到2公斤，而提供網路介面總數雖然都是8個GbE埠，但其中6個RJ-45接頭都內建突保護機制，另外2個是SFP接頭，可同時支援銅線與光纖網路，使用起來更為彈性。

在接取電源的方式上，PA220-R在前端面板提供旋入式接地點，以及直流電力輸入的插槽，能分別連結接地纜線，以及直流接線板（DC input terminal block）與背後的直流電源線。而PA220則是在機背上，提供接地螺拴和2個電源整流器的插槽。

從設備安裝的位置來看，PA220-R和PA220都支援平面、壁掛、機架的建置形式，但前者還可搭配DIN滑軌使用，僅需在設備的背部或底部加裝托架，即可安裝在DIN滑軌上。

產品資訊

Palo Alto PA220-R
●原廠：Palo Alto(02)7703-9080
●建議售價：2,900美元起
●網路埠：8個GbE埠（6個RJ-45埠、2個SFP埠）
●防火牆吞吐量：500 Mbps（啟用App-ID）
●VPN吞吐量：100 Mbps（IPsec VPN）
●最大連線數：6.4萬個
●支援通訊協定：Modbus、DNP3、IEC 60870-5-104、Siemens S7、OSIsoft PI
●耗電量：平均13瓦、最大16瓦
●運作環境溫度：攝氏-40度到70度
●重量：2.04公斤
●外觀：5.08 x 22 x 23.5公分

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】