帕洛阿尔托的防火墙是不是防火墙?

帕洛阿尔托网络公司并不幻想一款上市不到一年的产品将拥有企业竞争对手Check Point、Cisco和Juniper所提供的功能设置和深度。而且，由于来自帕罗奥图的大多数员工都是来自Check Point、Cisco和Juniper的老手，所以他们在设计PA-4020时非常小心，这样就可以把它放在现有的第2层或第3层防火墙的后面(或前面)。

帕洛阿尔托网络公司并不幻想一款上市不到一年的产品将拥有企业竞争对手Check Point、Cisco和Juniper所提供的功能设置和深度。而且，由于帕洛阿尔托的大部分员工都是Check Point、思科和瞻博公司的资深员工，所以他们在设计PA-4020时非常小心，这样就可以把它放在现有设备的后面(或前面)防火墙在第2层或第3层。

但现实是，如果这款设备想要在拥有三大功能的企业中发挥作用，它必须提供企业防火墙功能。有钱的客户可能会发现，他们可以负担得起PA-4020和他们现有的防火墙，但PA-4020要想获得成功，就必须依靠自己的力量，才能物有所值。

毫无疑问，我们发现PA-4020不具备企业竞争对手所具备的功能集和深度。基本的是明确的地方，和PA-4020有一个强大的显示出大门。虚拟局域网、同一设备中的第2层和第3层防火墙的组合、内置的专属门户和虚拟系统等功能都进入高级功能库。

但是其他基本的防火墙功能，如网络地址转换、VPN、动态路由和高可用性选项，在这个最初的实现中都相当原始。例如，简单而常见的NAT策略，如“将所有离开接口的内容转换为接口地址”，必须加以解决，而且不容易落实到位。另一方面，复杂的NAT和虚拟IP策略也同样难以落实和配置。

类似地，VPN也缺少配置特性，无法与所有其他基于标准的IPSec实现互操作。这最后的抱怨比听起来更大，因为你不会在分公司放一个帕洛阿尔托的盒子——它销售的最小系统是一个500Mbps的设备，与Check Point、思科、Juniper或SonicWall的小型办公设备无法真正竞争。因此，如果这是一个中央防火墙，VPN互操作性是很重要的。

这些赤字突出表明，在目前阶段，PA-4020的设计或能力都不足以成为中央防火墙。PA-4020的设计目的是作为一个用户保护防火墙——一个放置在数百或数千终端用户面前的防火墙，这些用户通常试图访问Internet。为了取代庞大的Check Point/诺基亚系统，Palo Alto牺牲了一些核心站点功能，转而专注于竞争不太顺畅的领域:用户控制和保护。

我们认为,如果你看这个设计目标的pa - 4020 -用户保护和控制,你会发现,像我们一样,是一个创新的和强大的工具来控制用户应用程序使用在互联网上,阻止各种各样的威胁,给交通非凡的可见性。

<返回测试:Palo Alto提供了对网络威胁的极大可见性>

了解有关此主题的更多信息