Palo Alto PAN-OS 12.1.7 VM-Series for ESXi, KVM - 基于机器学习的下一代防火墙操作系统
Palo Alto PAN-OS 12.1.7 VM-Series for ESXi, KVM - 基于机器学习的下一代防火墙操作系统
PAN-OS 12.1 Orion delivers industry firsts including quantum readiness, unified multi-cloud protection, and more.
请访问原文链接:https://sysin.org/blog/pan-os-12/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
PAN-OS 12.1 Orion

量子安全。AI 驱动。面向每一个云环境。
在跨云环境中无畏创新,凭借始终领先一步的安全能力。
体验 PAN-OS 12.1 Orion 带来的未来安全。
这不仅仅是一次网络安全升级,而是对整个环境安全方式的根本性转变。借助 Orion,您将获得所需的智能与敏捷性,以应对当前和未来最关键的挑战。
机遇已然清晰:统一网络安全态势,简化管理,保持合规,为量子时代做好准备——而且不牺牲性能。
了解 Orion 如何赋能您:
- 实现量子就绪 —— 轻松迈向量子安全,包括专用仪表板展示完整的加密使用情况、内置的加密套件转换功能,可即时将应用程序升级到量子安全状态,以及新一代量子优化的下一代防火墙(NGFW)。
- 统一跨云保护 —— 自信地扩展多云与 AI 项目,依托随您一同进化的统一网络安全基础。
- 阻止新兴威胁 —— Orion 将精准 AI™ 扩展至整个企业,引入高级 DNS 安全解析器、设备安全以及全新 AI 驱动的威胁检测功能,助您防御最复杂的攻击。
- 实现无忧管理与运营 —— 通过实时策略优化建议、集中化的合规与报告工具,以及自然语言驱动的辅助功能,一切都能在 Strata Cloud Manager 中无缝统一与简化。
抢先体验全新功能,重新定义量子就绪、多云安全,以及更多可能。
功能概述
✅ 了解应用流量

了解应用程序的真实身份
PAN-OS 包括 App-ID™ — Palo Alto 的专利流量分类技术,可自动发现和控制新应用程序,即使是那些试图通过伪装成合法流量、跳跃端口,或通过加密潜入防火墙来规避检测的应用程序。
✅ 管理用户访问

按应用程序对用户进行身份验证和授权
PAN-OS 包括 User-ID™,它简化了用户识别和身份验证,并且可以帮助您的员工轻松部署零信任 (sysin)。PAN-OS® 保护用户免受网络钓鱼攻击,阻止向恶意网页提交凭据,并为异常用户行为提供自动补救。
✅ 创建基于设备的规则

轻松管理网络上的设备安全
Device-ID™ 是 PAN-OS 的一项功能,它为设备提供策略规则,无论 IP 地址或位置如何变化。使用 Device-ID,您可以了解事件与设备和设备策略之间的关系。PAN-OS 可以帮助改进安全性、解密、QoS 和身份验证策略。
✅ 扫描流量内容

阻止规避其他安全方法的漏洞利用
与 Device-ID 和 App-ID 类似,Content-ID™ 使您能够理解和控制通过网络传输的流量内容 (sysin)。Content-ID 在一次网络流量扫描中提供全面的威胁防护,优化您的 NGFW 性能。
✅ 最大化吞吐量

实现高吞吐量、低延迟的安全保护
简单地添加越来越多的安全功能的传统策略会导致性能下降和延迟增加。Palo Alto 的单通道架构在单次扫描中执行所有必要的安全功能,从而降低复杂性并最大限度地降低总拥有成本。
✅ 保护加密流量

防御通过加密隐藏的威胁
除非经过检查,否则加密流量会使组织对隐藏在内部的安全风险视而不见 (sysin)。黑客利用可见性的缺乏,在加密流量中传播恶意软件。PAN-OS 为 TLS 和 SSL 加密流量提供全面的解密,包括 TLS 1.3 和 HTTP/2。
✅ 面向未来的 VPN

防护 Harvest Now, Decrypt Later (HNDL) 攻击
即使当前尚未出现能够破解加密的强大量子计算机,HNDL 攻击仍然对数据隐私构成真实威胁。通过基于开放标准的 PAN-OS 后量子 VPN,保护你的数据安全。
✅ 原生 Web 代理支持

原生 Web 代理支持
将防火墙与代理功能整合到单一平台,通过集中管理平台构建和管理策略 (sysin)。支持通过 PAC 文件的显式代理,也支持透明代理。
新增功能
2026 年 5 月 29 日,PAN-OS 12.1.7 发布,这是一个常规维护版本,多项已知问题修复,详见官方文档。
PA-5500 系列支持已在 PAN-OS 12.1.7 中引入。
自 PAN-OS 12.1.7 起,PA-5500 系列防火墙正式支持传统的高可用性(HA)主动/被动(Active/Passive)部署模式。此前,该功能已于 PAN-OS 12.1.5 为 PA-7500 系列提供支持。
2026 年 3 月,宣布推出 PAN-OS 12.1.5,这是 2025 年 8 月 PAN-OS 12.1 发布以来的首次重大更新。加入了以下新增功能与数十项已知问题修复,限于篇幅本文仅列出新增功能部分,已知问题修复有兴趣可查阅官方文档。
✅ App-ID 功能
App-ID 更新保障机制
2026 年 3 月,引入于 PAN-OS 12.1.5
Palo Alto Networks 的安全策略通常依赖于配置时 App-ID™ 特征签名的具体状态。当 Palo Alto Networks 发布内容更新,修改现有 App-ID 或引入新的 App-ID 时,原本被允许的流量可能会被意外阻断,或产生不可预期的行为,因为现有安全策略尚未识别新的签名定义 (sysin)。这种潜在影响可能会延迟新威胁防护内容的采用,并增加额外的运维流程。
现在,你可以通过 NGFW 或 Panorama 启用 App-ID 更新保障机制,在更新期间保持策略意图一致。启用该功能后,防火墙会参考新的 Previous App-ID 属性来决定策略执行。如果流量匹配到新的或已修改的 App-ID,但该 App-ID 未在策略中显式定义,防火墙会检查其之前的身份。例如,如果之前的 App-ID 被允许,则该流量仍会被允许,从而在你审查变更期间保障业务连续性。
启用 App-ID 更新保障机制后,NGFW 会使用新的或更新后的 App-ID 记录流量日志,在不影响业务运行的前提下提供应用变化的可见性。该功能默认关闭,以确保你可以完全掌控何时自动应用这一过渡逻辑。
✅ 管理功能
基于 XML API 的 IP-Tag 子类型
2026 年 3 月,引入于 PAN-OS 12.1.5
下一代防火墙(NGFW)可以从多个基于 XML API 的来源学习 IP 地址到标签(IP-Tag)的映射。为避免在清除或注销这些来源的 IP-Tag 时影响网络流量,PAN-OS XML API 现在可以区分来自不同来源的映射,包括 XML API 本身、Panorama™ 插件以及自动标记(基于日志的动态标记)。这种区分实现了更精细的控制,使你可以仅针对特定子类型的 IP-Tag 发起 XML API 请求,而不会影响通过其他流程注册的标签。
XML API 请求中新增了 <source> 元素,用于标识标签是否来源于 Panorama™ 插件或自动标记。如果 XML API 请求未指定 source,或通过 cURL 请求注册标签 (sysin),则请求中不会包含 source;但系统会默认其来源为通用 XML API。
IP-Tag 日志会在 Source Type 列中显示这些来源子类型(包括通用 XML API 的 xml-api),以提升可见性和故障排查能力。
该功能默认关闭。
✅ 网络功能
PA-7500 系列防火墙支持高可用 Active/Passive 模式
2026 年 3 月,引入于 PAN-OS 12.1.5
你现在可以在 PA-7500 系列防火墙(第五代硬件平台)上部署传统的高可用 Active/Passive 架构。该能力弥补了无法在这些先进平台上使用 NGFW 集群但又需要 Active/Passive 故障切换方案的关键缺口。配置后,你可以延续在其他 Palo Alto Networks 平台上熟悉的 HA 配置流程与运维行为。
与所有成员都主动转发流量的集群模式不同,HA Active/Passive 模式遵循传统模型:只有主设备处理流量,从设备处于待机状态,并在故障切换时接管。该方式适用于无需多设备流量分担复杂性的冗余场景,以及优先保持现有运维流程而非扩展吞吐能力的部署需求。
在 HA Active/Passive 模式下,PA-7500 系列必须使用高速机箱互连(HSCI)连接两台设备。HSCI 接口同时承载 HA1 和 HA2 功能(会话同步与配置同步)。其中 HSCI-A 为主接口,HSCI-B 可配置为备用接口。该方案无需依赖 Panorama 管理,同时保持现有平台一致的配置与状态同步能力 (sysin),并提供第五代架构的性能与可靠性。
通过该能力,你可以在不重构高可用架构的前提下迁移至新硬件平台,同时获得更高性能与更多功能。这种方式特别适用于既需要现代硬件性能,又必须维持传统 Active/Passive 模式简单性与可预测性的环境。
PA-7500 系列 NAT DIPP 扩展能力提升
2026 年 3 月,引入于 PAN-OS 12.1.5
该增强将 PA-7500 系列支持的最大转换 IP 地址数量从 16,000 提升至 32,000,满足需要大规模源 NAT 能力的服务提供商部署需求。这一提升解决了大型电信运营商在跨区域支持数亿用户时对网络规模和连接能力的关键要求。
如果你的网络规模较大,且传统 NAT 转换上限限制了扩展能力,该功能将带来显著收益。尤其适用于需要跨多个国家或地区支持大量用户的场景。该增强在保持现有 NAT 功能不变的同时,将容量翻倍,使网络可以在无需架构调整或新增硬件的情况下扩展。
在部署 PA-7500 系列时,你现在可以在独立部署、HA 配置以及基于 MLAG 的 C3 集群环境中配置最多 32,000 个转换 IP 地址。该提升不仅满足当前需求 (sysin),还为未来增长预留空间,使你能够在整个网络基础设施中统一使用同一防火墙平台,而无需因容量限制寻找替代方案。
✅ GlobalProtect 功能
标准化 IKEv2 支持
2026 年 2 月,引入于 PAN-OS 12.1.5
为帮助政府及联邦机构满足合规要求,GlobalProtect 网关现已支持标准化的 Internet Key Exchange version 2(IKEv2)。IKEv2 通过四次消息交换完成连接,相比 IKEv1 的八次交换更加高效。
该实现包含基于 UDP 4500 端口封装的 NAT 穿越机制,并内置健康检查,可在连接中断时自动重建隧道。此外,IKEv2 通过在执行复杂加密操作前加强对等体验证,提高了对拒绝服务(DoS)攻击的抵抗能力。
有关如何在 GlobalProtect 网关上启用 IKEv2,请参阅 Configure a GlobalProtect Gateway。
下载地址
想要开始学习和研究?
Palo Alto PAN-OS 12.1.7 Orion for ESXi
PA-VM-ESX-12.1.7.ova
Palo Alto PAN-OS 12.1.7 Orion for KVM
PA-VM-KVM-12.1.7.qcow2
请访问:https://sysin.org/blog/pan-os-12/

Palo Alto PAN-OS 12.1.7 VM-Series for ESXi, KVM - 基于机器学习的下一代防火墙操作系统
浙公网安备 33010602011771号