解读Gartner 2011 企业网络防火墙魔力象限

时间：2013-1-16 16:44:49　　来源：未知　　作者：未知　　点击：5430次

解读Gartner 2011 企业网络防火墙魔力象限

2012年的第一篇辛看点，我们来谈谈安全市场，在2011年的最后一个月，Gartner发布了最新的企业市场防火墙魔力象限报告，在此次报告中，很多从前的老牌领导者纷纷都退出了领导者象限，落到了挑战者区间，这说明Garner对于下一代防火墙标准是认真的。而现在的第一集团只有PaloAlto与CheckPoint两家争雄了。

下面我们挑选了一些在中国市场出现较多的品牌，逐一讲解，以下点评大部分以Garner的报告为基础。

Barracuda Networks 梭子鱼梭子鱼获得防火墙产品线是靠2009年收购了一个欧洲防火墙小厂牌Phion，该产品线针对低端的中小型企业，靠价格取胜。虽然小，但是五脏俱全，Phion系列的防火墙还提供虚拟化版本。（只是一个虚拟Appliance版本和CheckPoint VE这种针对虚拟化环境的虚拟防火墙不是一回事）优势：对梭子鱼现有客户有一定的吸引力，靠同品牌优势。在欧洲对多语言支持较好，在中国，目前操作界面还没有中文版本。 VPN功能设置简便。劣势：选择梭子鱼防火墙的用户一般都太小了，没有成熟的企业安全规划理念。在欧洲以外没有什么知名度。初始安装比较复杂，缺乏强大的培训和文档系统支持。
CheckPoint Software Technologies 查客炮 CheckPoint公司是一个老牌的安全厂商，目前的部署量是全球第二。（思科第一）自从R70发布之后，CheckPoint坚持走软件刀片路线，在与Palo Alto不断PK的道路上，正稳扎稳打，快步赶上。而这两家公司竞争的直接结果就是，PC第一集团把JC（Juniper，Cisco）的第二集团越甩越远了。 CheckPoint目前提供的产品种类非常丰富，从UTM到虚拟防火墙VSX，VE到高端的机架板卡式的61000，几乎涵盖了每一种部署场景，而2012新推出的整合了Nokia IPSO与SmartCenter的Gaia平台也已经准备就绪，在Gartner的调查中，CheckPoint是被用户选择最多的下一代防火墙品牌之一，而用户选择的原因不仅仅因为品牌和历史，更多的是因为不可取代的功能已经强大的售后服务体系。优势 CheckPoint是Gartner调查中所有防火墙厂家的眼中钉。 CheckPoint的SmartCenter控制台受到了所有调查对象的高度评价。在Gartner的调查中，所有用过或者看过的用户都对这井井有条的控制台赞不绝口，在这个防火墙功能可以用日新月异来形容的时代，能做到化繁为简，尤显得难能可贵。 CheckPoint在R75之后的新功能，特别是增强了的IPS功能得到了业界好评，NSS Labs给出了很高的评价。 CheckPoint在虚拟化和云计算市场产品众多，VSX VE都通过了VMware的认证。 CheckPoint的第三方合作平台建设很好。劣势贵刀片数量有点过多了，现在有13个刀片了，其价格的叠加使得竞争力打折扣，而且11年提出的3D市场战略，有点太抽象了，市场不是很买账。刀片多了，功能多了，竞争对手也多了，例如新的DLP刀片，如果想要真的和DLP专业厂家打一仗，那真的要用很多很多心才可以哦。 Gaia新操作系统快点来吧。 Provider-1，这个被高端用户认可的产品，还没有被很好地推广。（云计算中心会否是Provider-1最好的市场呢？）


Cisco 思科思科家大业大，安全这块产品众多，ASA防火墙产品线只是之一，在2011年除了推出了一款5585-X将吞吐量推高到了40Gbps，功能没有任何改进，而关于下一代防火墙产品研发进度，Gartner很委婉地给了思科良好的祝愿，来年再看吧。优势强大的销售覆盖，全球的服务支持覆盖，让思科稳居防火墙销量第一的宝座。 ASA防火墙可以增加一个硬件IPS模块。（根据搭配的ASA防火墙不同，该扩展卡提供75Mbps-650Mbps的IPS能力，这是在夸还是在骂人？）思科有多种“防火墙类”产品提供，有ASA，Catalyst交换机安全板卡或者运营商市场基于IOS系统的安全路由器产品。思科将IronPort的Senderbase信誉系统功能加入所有的安全产品线，这项功能深得用户欢心。劣势思科的买卖大部分是总包的，单独采购思科防火墙的比较少。思科的控制台，出了名的比较难用。硬件IPS扩展模块限制了用户的部署场合，对于分支办公室很不利，而如果选择机内部署IPS，那么就没有办法启用其他安全扩展功能了，比如内容扫描引擎。（上面的确是在骂人。） ASA系列太老旧了，Gartner都忍不住催思科快出新品了。

Fortinet 飞塔飞塔在依靠高性能架构杀出一片市场后，没有能凭这“一招鲜”获得更高的辉煌，Gartner依旧认定飞塔还是非主流，除了在企业分支或者零售行业比较有竞争力，在主流市场依旧不被认可。优势庞大的研发团队是飞塔最大的优势，凭借自身的研发团队，飞塔可以快速捕捉市场风向，推出自己的新产品，并且不像其他通过收购合并获得技术的竞争对手，飞塔可以非常好的整合新功能，包括界面，报告以及操作习惯。由于性能强劲，云计算市场成为飞塔大显身手的新领域，而其价格屠刀依旧锋利。随着时间的推进，飞塔也终于将CC，FIPS，NSS，ICSA Labs这些“印花”都集齐了。与竞争对手纷纷拜倒在Intel多核架构裙下不同，飞塔相当爷们地依旧选择ASIC架构。劣势管理控制台被过度设计了，用户感觉比较复杂，特别是当你有很多台防火墙，但是只需要一种相同配置的情况下。售后服务不佳下一代防火墙的技术准备不足，很多功能还不能实现，例如应用控制功能。还没有建立起第三方生态系统

HP惠普通过2009年的3Com收购，HP获得了3Com在中国投资的H3C的防火墙产品线，目前销售的产品有F5000与F1000系列。（惠普网站找不到该产品的入口，只能通过搜索引擎找到了产品页面）优势还算适合中国国情的产品，口多。有总部版本也有分支版本（废话，Gartner是不是找不到优点说了？）支持IPv6（的确是找不到优点了说了。）劣势只限中国还没有集齐CC等“印花” 惠普最近很混乱，13个月4个CEO，到现在都没有一个像样的产品介绍页面

Juniper Networks 瞻博网络 Gartner将瞻博网络设定在挑战者象限，原因是瞻博网络的安全产品主要被瞻博网络的路由交换产品的客户购买，在单独的防火墙选择时，瞻博网络没有太多优势。此外，随着从ScreenOS向JunOS的迁移脚步，瞻博的客户对瞻博的安全产品越发认可，而SRX系列机架板卡式产品的推出使得瞻博在大型运营商市场的出境率提高。优势性能强劲，配置方便依旧是用户选择瞻博产品的主要原因。在高端的SRX产品线上用户可以充分享受定制的乐趣，这对运营商这样的大客户尤其受欢迎。秉承5GT便宜量又足带来的高市场覆盖，新的SSG5 SSG20分支办公防火墙依旧受到用户的欢迎劣势 SRX系列用起来太麻烦。与思科网络环境具有非技术性抵触。（思科环境不用Juniper，Juniper环境不用思科） IDP至今没有能够完全整合进入瞻博的防火墙下一代防火墙调查，瞻博很少被用户提及在Gartner的调查中，用户多次投诉瞻博在客户服务上的不足，尤其是在一些高难度问题上。

McAfee 迈克菲 McAfee的防火墙产品来自于2008年收购的SecureComputing的Sidewinder防火墙产品，该产品实际上是一台很古老的应用代理型防火墙，所以其安全性很高，好多美国政府军方都使用Sidewinder，只可惜应用代理防火墙天生的弊端就是支持的应用太少，所以一般都会将Sidewinder工作在普通模式。来到McAfee手里的Sidewinder改名MFE（McAfee Firewll Enterprise），McAfee花了很大力气为它升级，在最新的8.0中还增加了AppPrism应用程序控制功能，并且将报告界面进行了McAfee化的改装。（不可否认，McAfee的报告界面排版是华丽优雅的代名词）但是这一切努力，最终都无法将McAfee送入Gartner的领导者象限，原因主要是McAfee目前的缺乏下一代防火墙技术，而Intel收购后的整合速度显然还没有达到Gartner的要求。优势 2007年，SecureComputing与CipherTrust公司合并后带来的TrustedSource信誉系统为McAfee防火墙带来称赞，而McAfee将该信誉系统发扬光大，植入了旗下几乎所有的网络产品中。而且，优良的信誉系统，对于政府订单非常有吸引力。 McAfee提供一款叫做Enterprise Profiler的设备来专门分析防火墙的策略对企业网络架构的影响。（这个产品很神奇！有需要了解的可以访问 http://www.wit.co.th/pdf/McAfee/ds_fw_profiler.pdf，但是只支持Sidewinder，不出所料，应该是应美国军方的特别需求研发的这个东东。） McAfee的产品家族覆盖全面，只许用户说不需要，不许McAfee说没有，不信？参见上一条。劣势 McAfee的产品多，但是绝大多数都是收购来的，而且，结果都不算太成功，这次Intel把McAfee整个又收了，其整合的预期未知。 IntruShield IPS没有能够和MFE防火墙进行整合。（Gartner要求真的有点太高了！不过好像McAfee也正在动作，将MFE装在IntruShield上面？怎么装，我猜大概是用虚拟机的方式吧） McAfee的整个销售售后团队至今没有完全准备好销售防火墙类型的产品。

Palo Alto Networks 初出江湖才4年的PaloAlto以非凡的产品在这个防火墙变革年代异军突起，其产品将防火墙和IPS完美整合，并且将应用控制功能提升到了从来没有过的高度，而其成功的背后还站着一堆来自业界顶尖公司精英。PaloAlto是Gartner调查中，被提及最多的下一代防火墙替换者。（没有之一） PaloAlto的是最近几年对防火墙市场最大的贡献者，其创新的下一代防火墙的定义，已经迫使所有的竞争对手以此标准来进行产品的重新研发，而其优良设计的单引擎检测方式，也使得他可以兼具高性能和多功能。优势在应用控制领域，凭借App-ID，Palo Alto展现出超凡的应用识别控制与优化能力，这使得Palo Alto的用户可以轻而易举地针对网络中的应用对象进行细粒度管理，这在Gartner的调查中，有口皆碑。通过防火墙与IPS的联动效应，加之App-ID的预设分析，用非常策略的方式获得了超高性能。其IPS性能同样得到NSS的赞誉。在Gartner的调查中，曝光度高，口碑好。劣势还没有获得CC EAL-4+的认证，说明其设备本身的安全性还没有尽善尽美。产品型号还不够丰富，没有机架板卡式的大型产品。客户服务能力还有待改善。（生意太好，美国市场都忙不过来了，中国市场的表现，我们基本看不到，可惜了好产品了）集成功能太多，容易让用户忽视其防火墙属性，而把它当作上网行为管理或者流控QoS设备来看。（这好像是一个优点哦，现在要做防火墙替代太难，都要换个名字才好卖啊）由于没有机架板卡式的大型设备，所以在一些超高端领域的市场，有性能瓶颈。

Sonicwall 音墙在2010年被私募基金收购退市后，Sonicwall并没有实行砍掉研发，现金为王的策略，反而进行了新的高端市场的探索，其最新的SuperMassive防火墙平台在4U高的机箱内，提供最高达40Gbps的防火墙性能。但是在Gartner的调查中，Sonicwall的大部分客户还是集中在小企业和零售市场。优势价格优势，非常适合小型公司和零售行业规模部署。渠道支持有力。（在中国好像比较一般哦） SuperMassive在需要高性能但预算不够的客户面前，很有吸引力。（在中国，Hillstone应该更有资格说这句话）诸如应用程序控制这样的功能正在被逐步加入和完善。收购Sonicwall的Thoma Brave公司，具有长远的研发计划，使得Sonicwall能够更从容的完成既定的产品发展规划。劣势在企业市场，产品力和品牌力都还显得比较稚嫩。 Gartner在调查中，无论客户还是竞争对手，都没有把Sonicwall放在眼里。

Sophos 守护使 Sophos在收购了德国UTM厂家Astaro后第一次走进了这个排行榜。（Sophos好像对德国货情有独钟，之前收购的Utimaco也是德国公司）Astaro是一家以浓缩提炼开源社区的安全技术整合成自己产品的特色公司，其客户大都是预算“非常紧”的小企业。优势价格实在。（Astaro的虚拟机版本的软件防火墙，网购仅需xK人民币）群集功能比较好用。（在很长一段时间里，Astaro的产品都在为突破200Mbps的吞吐量奋斗，群集的必要性显而易见） Astaro的防火墙支持亚马逊的云连接，并且已经拥有应用控制功能了。虽然大多数技术都是来自开源社区，但是这不影响Astaro产品的品质，作为性价比品牌，不求最新但求稳定可靠，用户口碑不错。（在国内很多OEM的自主品牌防火墙，其实质就是Astaro，很多还是Hack版的，太黑了！不过这也证明，Astaro还是用的住的。）劣势聚焦中小企业市场。（这其实不算劣势，是明智的选择）报告功能较差，控制台反应较慢。 Sophos在Gartner的客户和竞争对手眼中是透明的。

总体看来，应用程序控制与IPS整合是Gartner评价下一代防火墙的重要标志，而在过去的一年中，大部分的厂家都对防火墙性能进行了升级，对于运营商市场，超高性能的防火墙将成为必须，中国家庭的带宽在未来5年会有10倍的增长。而企业市场，类似PacketShaper的应用控制产品的需求进一步旺盛，但是还没有“PackerShaper进化版”这样的神器诞生，这个空白注定要由下一代防火墙来填啊。

附件下载：

解读Gartner 2011 企业网络防火墙魔力象限

2012年的第一篇辛看点，我们来谈谈安全市场，在2011年的最后一个月，Gartner发布了最新的企业市场防火墙魔力象限报告，在此次报告中，很多从前的老牌领导者纷纷都退出了领导者象限，落到了挑战者区间，这说明Garner对于下一代防火墙标准是认真的。而现在的第一集团只有PaloAlto与CheckPoint两家争雄了。

下面我们挑选了一些在中国市场出现较多的品牌，逐一讲解，以下点评大部分以Garner的报告为基础。

Barracuda Networks 梭子鱼梭子鱼获得防火墙产品线是靠2009年收购了一个欧洲防火墙小厂牌Phion，该产品线针对低端的中小型企业，靠价格取胜。虽然小，但是五脏俱全，Phion系列的防火墙还提供虚拟化版本。（只是一个虚拟Appliance版本和CheckPoint VE这种针对虚拟化环境的虚拟防火墙不是一回事）优势：对梭子鱼现有客户有一定的吸引力，靠同品牌优势。在欧洲对多语言支持较好，在中国，目前操作界面还没有中文版本。 VPN功能设置简便。劣势：选择梭子鱼防火墙的用户一般都太小了，没有成熟的企业安全规划理念。在欧洲以外没有什么知名度。初始安装比较复杂，缺乏强大的培训和文档系统支持。
CheckPoint Software Technologies 查客炮 CheckPoint公司是一个老牌的安全厂商，目前的部署量是全球第二。（思科第一）自从R70发布之后，CheckPoint坚持走软件刀片路线，在与Palo Alto不断PK的道路上，正稳扎稳打，快步赶上。而这两家公司竞争的直接结果就是，PC第一集团把JC（Juniper，Cisco）的第二集团越甩越远了。 CheckPoint目前提供的产品种类非常丰富，从UTM到虚拟防火墙VSX，VE到高端的机架板卡式的61000，几乎涵盖了每一种部署场景，而2012新推出的整合了Nokia IPSO与SmartCenter的Gaia平台也已经准备就绪，在Gartner的调查中，CheckPoint是被用户选择最多的下一代防火墙品牌之一，而用户选择的原因不仅仅因为品牌和历史，更多的是因为不可取代的功能已经强大的售后服务体系。优势 CheckPoint是Gartner调查中所有防火墙厂家的眼中钉。 CheckPoint的SmartCenter控制台受到了所有调查对象的高度评价。在Gartner的调查中，所有用过或者看过的用户都对这井井有条的控制台赞不绝口，在这个防火墙功能可以用日新月异来形容的时代，能做到化繁为简，尤显得难能可贵。 CheckPoint在R75之后的新功能，特别是增强了的IPS功能得到了业界好评，NSS Labs给出了很高的评价。 CheckPoint在虚拟化和云计算市场产品众多，VSX VE都通过了VMware的认证。 CheckPoint的第三方合作平台建设很好。劣势贵刀片数量有点过多了，现在有13个刀片了，其价格的叠加使得竞争力打折扣，而且11年提出的3D市场战略，有点太抽象了，市场不是很买账。刀片多了，功能多了，竞争对手也多了，例如新的DLP刀片，如果想要真的和DLP专业厂家打一仗，那真的要用很多很多心才可以哦。 Gaia新操作系统快点来吧。 Provider-1，这个被高端用户认可的产品，还没有被很好地推广。（云计算中心会否是Provider-1最好的市场呢？）


Cisco 思科思科家大业大，安全这块产品众多，ASA防火墙产品线只是之一，在2011年除了推出了一款5585-X将吞吐量推高到了40Gbps，功能没有任何改进，而关于下一代防火墙产品研发进度，Gartner很委婉地给了思科良好的祝愿，来年再看吧。优势强大的销售覆盖，全球的服务支持覆盖，让思科稳居防火墙销量第一的宝座。 ASA防火墙可以增加一个硬件IPS模块。（根据搭配的ASA防火墙不同，该扩展卡提供75Mbps-650Mbps的IPS能力，这是在夸还是在骂人？）思科有多种“防火墙类”产品提供，有ASA，Catalyst交换机安全板卡或者运营商市场基于IOS系统的安全路由器产品。思科将IronPort的Senderbase信誉系统功能加入所有的安全产品线，这项功能深得用户欢心。劣势思科的买卖大部分是总包的，单独采购思科防火墙的比较少。思科的控制台，出了名的比较难用。硬件IPS扩展模块限制了用户的部署场合，对于分支办公室很不利，而如果选择机内部署IPS，那么就没有办法启用其他安全扩展功能了，比如内容扫描引擎。（上面的确是在骂人。） ASA系列太老旧了，Gartner都忍不住催思科快出新品了。

Fortinet 飞塔飞塔在依靠高性能架构杀出一片市场后，没有能凭这“一招鲜”获得更高的辉煌，Gartner依旧认定飞塔还是非主流，除了在企业分支或者零售行业比较有竞争力，在主流市场依旧不被认可。优势庞大的研发团队是飞塔最大的优势，凭借自身的研发团队，飞塔可以快速捕捉市场风向，推出自己的新产品，并且不像其他通过收购合并获得技术的竞争对手，飞塔可以非常好的整合新功能，包括界面，报告以及操作习惯。由于性能强劲，云计算市场成为飞塔大显身手的新领域，而其价格屠刀依旧锋利。随着时间的推进，飞塔也终于将CC，FIPS，NSS，ICSA Labs这些“印花”都集齐了。与竞争对手纷纷拜倒在Intel多核架构裙下不同，飞塔相当爷们地依旧选择ASIC架构。劣势管理控制台被过度设计了，用户感觉比较复杂，特别是当你有很多台防火墙，但是只需要一种相同配置的情况下。售后服务不佳下一代防火墙的技术准备不足，很多功能还不能实现，例如应用控制功能。还没有建立起第三方生态系统

HP惠普通过2009年的3Com收购，HP获得了3Com在中国投资的H3C的防火墙产品线，目前销售的产品有F5000与F1000系列。（惠普网站找不到该产品的入口，只能通过搜索引擎找到了产品页面）优势还算适合中国国情的产品，口多。有总部版本也有分支版本（废话，Gartner是不是找不到优点说了？）支持IPv6（的确是找不到优点了说了。）劣势只限中国还没有集齐CC等“印花” 惠普最近很混乱，13个月4个CEO，到现在都没有一个像样的产品介绍页面

Juniper Networks 瞻博网络 Gartner将瞻博网络设定在挑战者象限，原因是瞻博网络的安全产品主要被瞻博网络的路由交换产品的客户购买，在单独的防火墙选择时，瞻博网络没有太多优势。此外，随着从ScreenOS向JunOS的迁移脚步，瞻博的客户对瞻博的安全产品越发认可，而SRX系列机架板卡式产品的推出使得瞻博在大型运营商市场的出境率提高。优势性能强劲，配置方便依旧是用户选择瞻博产品的主要原因。在高端的SRX产品线上用户可以充分享受定制的乐趣，这对运营商这样的大客户尤其受欢迎。秉承5GT便宜量又足带来的高市场覆盖，新的SSG5 SSG20分支办公防火墙依旧受到用户的欢迎劣势 SRX系列用起来太麻烦。与思科网络环境具有非技术性抵触。（思科环境不用Juniper，Juniper环境不用思科） IDP至今没有能够完全整合进入瞻博的防火墙下一代防火墙调查，瞻博很少被用户提及在Gartner的调查中，用户多次投诉瞻博在客户服务上的不足，尤其是在一些高难度问题上。

McAfee 迈克菲 McAfee的防火墙产品来自于2008年收购的SecureComputing的Sidewinder防火墙产品，该产品实际上是一台很古老的应用代理型防火墙，所以其安全性很高，好多美国政府军方都使用Sidewinder，只可惜应用代理防火墙天生的弊端就是支持的应用太少，所以一般都会将Sidewinder工作在普通模式。来到McAfee手里的Sidewinder改名MFE（McAfee Firewll Enterprise），McAfee花了很大力气为它升级，在最新的8.0中还增加了AppPrism应用程序控制功能，并且将报告界面进行了McAfee化的改装。（不可否认，McAfee的报告界面排版是华丽优雅的代名词）但是这一切努力，最终都无法将McAfee送入Gartner的领导者象限，原因主要是McAfee目前的缺乏下一代防火墙技术，而Intel收购后的整合速度显然还没有达到Gartner的要求。优势 2007年，SecureComputing与CipherTrust公司合并后带来的TrustedSource信誉系统为McAfee防火墙带来称赞，而McAfee将该信誉系统发扬光大，植入了旗下几乎所有的网络产品中。而且，优良的信誉系统，对于政府订单非常有吸引力。 McAfee提供一款叫做Enterprise Profiler的设备来专门分析防火墙的策略对企业网络架构的影响。（这个产品很神奇！有需要了解的可以访问 http://www.wit.co.th/pdf/McAfee/ds_fw_profiler.pdf，但是只支持Sidewinder，不出所料，应该是应美国军方的特别需求研发的这个东东。） McAfee的产品家族覆盖全面，只许用户说不需要，不许McAfee说没有，不信？参见上一条。劣势 McAfee的产品多，但是绝大多数都是收购来的，而且，结果都不算太成功，这次Intel把McAfee整个又收了，其整合的预期未知。 IntruShield IPS没有能够和MFE防火墙进行整合。（Gartner要求真的有点太高了！不过好像McAfee也正在动作，将MFE装在IntruShield上面？怎么装，我猜大概是用虚拟机的方式吧） McAfee的整个销售售后团队至今没有完全准备好销售防火墙类型的产品。

Palo Alto Networks 初出江湖才4年的PaloAlto以非凡的产品在这个防火墙变革年代异军突起，其产品将防火墙和IPS完美整合，并且将应用控制功能提升到了从来没有过的高度，而其成功的背后还站着一堆来自业界顶尖公司精英。PaloAlto是Gartner调查中，被提及最多的下一代防火墙替换者。（没有之一） PaloAlto的是最近几年对防火墙市场最大的贡献者，其创新的下一代防火墙的定义，已经迫使所有的竞争对手以此标准来进行产品的重新研发，而其优良设计的单引擎检测方式，也使得他可以兼具高性能和多功能。优势在应用控制领域，凭借App-ID，Palo Alto展现出超凡的应用识别控制与优化能力，这使得Palo Alto的用户可以轻而易举地针对网络中的应用对象进行细粒度管理，这在Gartner的调查中，有口皆碑。通过防火墙与IPS的联动效应，加之App-ID的预设分析，用非常策略的方式获得了超高性能。其IPS性能同样得到NSS的赞誉。在Gartner的调查中，曝光度高，口碑好。劣势还没有获得CC EAL-4+的认证，说明其设备本身的安全性还没有尽善尽美。产品型号还不够丰富，没有机架板卡式的大型产品。客户服务能力还有待改善。（生意太好，美国市场都忙不过来了，中国市场的表现，我们基本看不到，可惜了好产品了）集成功能太多，容易让用户忽视其防火墙属性，而把它当作上网行为管理或者流控QoS设备来看。（这好像是一个优点哦，现在要做防火墙替代太难，都要换个名字才好卖啊）由于没有机架板卡式的大型设备，所以在一些超高端领域的市场，有性能瓶颈。

Sonicwall 音墙在2010年被私募基金收购退市后，Sonicwall并没有实行砍掉研发，现金为王的策略，反而进行了新的高端市场的探索，其最新的SuperMassive防火墙平台在4U高的机箱内，提供最高达40Gbps的防火墙性能。但是在Gartner的调查中，Sonicwall的大部分客户还是集中在小企业和零售市场。优势价格优势，非常适合小型公司和零售行业规模部署。渠道支持有力。（在中国好像比较一般哦） SuperMassive在需要高性能但预算不够的客户面前，很有吸引力。（在中国，Hillstone应该更有资格说这句话）诸如应用程序控制这样的功能正在被逐步加入和完善。收购Sonicwall的Thoma Brave公司，具有长远的研发计划，使得Sonicwall能够更从容的完成既定的产品发展规划。劣势在企业市场，产品力和品牌力都还显得比较稚嫩。 Gartner在调查中，无论客户还是竞争对手，都没有把Sonicwall放在眼里。

Sophos 守护使 Sophos在收购了德国UTM厂家Astaro后第一次走进了这个排行榜。（Sophos好像对德国货情有独钟，之前收购的Utimaco也是德国公司）Astaro是一家以浓缩提炼开源社区的安全技术整合成自己产品的特色公司，其客户大都是预算“非常紧”的小企业。优势价格实在。（Astaro的虚拟机版本的软件防火墙，网购仅需xK人民币）群集功能比较好用。（在很长一段时间里，Astaro的产品都在为突破200Mbps的吞吐量奋斗，群集的必要性显而易见） Astaro的防火墙支持亚马逊的云连接，并且已经拥有应用控制功能了。虽然大多数技术都是来自开源社区，但是这不影响Astaro产品的品质，作为性价比品牌，不求最新但求稳定可靠，用户口碑不错。（在国内很多OEM的自主品牌防火墙，其实质就是Astaro，很多还是Hack版的，太黑了！不过这也证明，Astaro还是用的住的。）劣势聚焦中小企业市场。（这其实不算劣势，是明智的选择）报告功能较差，控制台反应较慢。 Sophos在Gartner的客户和竞争对手眼中是透明的。

总体看来，应用程序控制与IPS整合是Gartner评价下一代防火墙的重要标志，而在过去的一年中，大部分的厂家都对防火墙性能进行了升级，对于运营商市场，超高性能的防火墙将成为必须，中国家庭的带宽在未来5年会有10倍的增长。而企业市场，类似PacketShaper的应用控制产品的需求进一步旺盛，但是还没有“PackerShaper进化版”这样的神器诞生，这个空白注定要由下一代防火墙来填啊。