Palo Alto PAN-OS 12.1.5 VM-Series for ESXi - 基于机器学习的下一代防火墙操作系统

帕洛阿尔托 用于ESXi、KVM的PAN - OS 12.1.5 VM系列 一款是基于机器学习的下一代防火墙操作系统。

烦请前去访问原文所对应的链接：这个地址 https://sysin.org/blog/pan - os - 12/ ，以此去查看最新的版本情形。此属原创的作品，若要进行转载，务必保留其出处标点。

作者主页：sysin.org

PAN-OS 12.1 Orion

量子安全。AI 驱动。面向每一个云环境。

在跨云环境中无畏创新，凭借始终领先一步的安全能力。

体验 PAN-OS 12.1 Orion 带来的未来安全。

这回可不单单只是一次网络安全方面的升级，其实是针对整个环境安全的方式进行了那种具有根本性意义的转变。通过借助Orion，您能够得到所需要的智能以及敏捷性，从而去应对当下以及未来最为关键的挑战。

可明确看到机遇：使网络安全态势达成统一，将管理予以简化，维持合规状态，为量子时代预备妥当——并且性能不会遭受牺牲。

了解 Orion 如何赋能您：

提前感受全新功能，对量子就绪、多云安全进行重新界定，还有更多的可能性。

功能概述了解应用流量

了解应用程序的真实身份

PAN - OS 包含 App - ID™，它属于 Palo Alto 的专利流量分类技术，能自动发觉并管控新应用程序，哪怕是那些企图借由伪装成正规流量、跳过端口，或者借助加密方式潜入防火墙以躲开检测的应用程序。

管理用户访问

按应用程序对用户进行身份验证和授权

PAN - OS含有User - ID™，其将用户识别跟身份验证进行了简化，还能够助力您的员工把零信任（sysin）轻松予以部署。PAN - OS®使用户免遭网络钓鱼攻击的侵害，对向恶意网页提交凭据起到阻止作用，为异常的用户行为给予自动补救。

创建基于设备的规则

轻松管理网络上的设备安全

Device-ID™ 属于 PAN-OS 的一个功能范畴中的内容，它针对有相关需求的设备提供策略规则，不论 IP 地址出现怎样的改变，也不管位置发生何种变化。借助 Device-ID这个工具，您能够知晓事件以及设备和设备策略彼此之间存在着的关系。PAN-OS 具备助力提升安全性、解密、QoS和身份验证策略等方面表现的作用。

扫描流量内容

阻止规避其他安全方法的漏洞利用

像 Device-ID 以及 App-ID 那般，Content-ID™ 能让您领会并掌控经由网络传送的流量内容 (sysin)。Content-ID 在一回网络流量扫描里给予周全的威胁防护，对您的 NGFW 性能予以优化。

最大化吞吐量

实现高吞吐量、低延迟的安全保护

越来越多安全功能简单添加的传统策略会让性能下降，会使延迟增加。Palo Alto 的单通道架构在单次扫描里去执行所有必要的安全功能，借此降低复杂性，以此最大限度降低总拥有成本。

保护加密流量

防御通过加密隐藏的威胁

组织会因加密流量对隐藏于内部的安全风险视而不见，除非进行检查，sysin。黑客借助可见性的缺失，于加密流量里传播恶意软件。PAN-OS为TLS和SSL加密流量予以包括TLS 1.3以及HTTP/2的全面解密。

面向未来的 虚拟专用网络

针对如今收获，之后解密（HNDL）这种防护，实施攻击。

尽管当下还不存在那种能够将加密予以破解的强大无比的量子计算机，然而 HNDL 攻击却依旧对数据隐私形成了实实在在的威胁，借助基于开放标准的 PAN - OS 后量子虚拟专用网络，去守护你的数据安全。

原生 Web 代理支持

原生 Web 代理支持

在单一平台里把防火墙跟代理功能合并起来，借助集中管理平台去构建以及管理策略 (sysin)，它支持凭借 PAC 文件的那种显式代理，同样也支持透明代理。

新增功能

在 2026 年 3 月的时候，宣布要推出 PAN - OS 12.1.5，这是自 2025 年 8 月 PAN - OS 12.1 发布之后的首次重大更新，加入了以下新增功能以及数十项已知问题修复，由于篇幅有限，本文仅仅列出新增功能部分，对于已知问题修复有兴趣的话可以查阅官方文档。

App-ID 功能

App-ID 更新保障机制

2026 年 3 月，引入于 PAN-OS 12.1.5

Palo Alto Networks 的安全策略，一般是依靠配置时 App-ID™ 特征签名的特定状态，当 Palo Alto Networks 发布内容更新，对现有 App-ID 作出修改或者引入新的 App-ID 时，原本被准许的流量，很可能会被意外阻断，又或者产生无法预期的行为，原因在于现有安全策略尚未识别新的签名定义 (sysin)，这种潜在影响，可能会延缓新威胁防护内容的采用，还会增添额外的运维流程。

此刻，你能够借由 NGFW 或者 Panorama 开启 App-ID 更新保障机制，于更新时段维持策略意图的一致性。启用此功能之后，防火墙会参照新的 Previous App-ID 属性来判定策略执行。要是流量与新的或者已被修改的 App-ID 相匹配，然而该 App-ID 并未在策略里明确界定，防火墙会核查其先前的身份。比如说，要是先前的 App-ID 获得了准许，那么此流量依旧会得以准许，进而在你对变更展开审查的这段期间确保业务的连续性。

在启用了 App-ID 更新保障机制之后，NGFW 会运用新的或者更新过后的 App-ID 去记录流量日志，在不会对业务运行造成影响的前提条件下给出对于应用变化的可见性。此功能是默认处于关闭状态的，目的在于保障能够让你完全充分地掌控什么时候自动去应用这一过渡逻辑。

管理功能

基于 XML API 的 IP-Tag 子类型

2026 年 3 月，引入于 PAN-OS 12.1.5

相关标签： # PaloAlto # PAN-OS # 网络安全 # 下一代防火墙 # 量子安全