Palo Alto在2011年發布PA-200，它是價值2000美金，具有100Mbps吞吐量的下一代防火墻。與其相同，SonicWall也發布了兩款針對分支機構的下一代防火墻：NSA220和NSA250M，它們的起始價格分別是1095美金和1495美金。下一代防火墻所包含的應用智能和控制功能在SonicWall 設備上是可選的，它需要額外的授權費，但這在發布會中沒有詳細說明。使用下一代防火墻模式，SonicWall設備大概可以達到110Mbps的速度。

　　傳統的狀態防火墻檢驗端口和協議是為了判斷，例如是否經過TCP 80端口的流量確實是合法的HTTP流量。下一代防火墻超越了端口和協議安全的做法，應用深層報文檢測來識別用HTTP協議的請求和用80端口接入的應用程序。這項功能在今天尤為重要，特別是當企業的應用程序愈來愈多的基于網頁，而且客戶網頁應用程序可以在企業中合法使用。

　　根據ZK Research首席分析員Zeus Kerravala所言，今天企業正在它們的中心位置部署大型且昂貴的下一代防火墻。為了使它們的分支機構能夠感知應用安全，企業為了檢測要么回程分支機構網絡流量到中央防火墻，要么在分支機構部署輕量級安全設備，比如統一威脅管理設備。

　　而在分支機構直接部署下一代防火墻，企業可以將廣域網的安全問題降入分支機構，節省回程流量消耗的帶寬。

　　Kerravala說：“其實沒必要在核心跑所有因特網流量，但是如果你轉到一個分離的隧道模式，并且希望分支機構的用戶能直接訪問因特網，那么和核心位置一樣，你需要在分支機構使用相同的應用感知防火墻。想要分支機構的下一代防火墻價格便宜，并且吞吐量盡可能高。顯然你的分支機構的技術不能昂貴到超過了回程因特網流量的費用。”

　　根據信息技術總監Michael Giorgio介紹：“ SonicWall客戶Connex信用合作社使用中央SonicWall NSA 3500 統一威脅管理防火墻，將流量從銀行分支回程到網絡核心。從用戶的觀點看，我更愿意把流量分散，它可以減輕網絡的負荷，通過取消回程流量到WAN上的 hub，每個分支機構的下一代防火墻可以減少分支機構的WAN鏈路。”

　　分支機構下一代防火墻功能：選擇還是必須？

　　Current Analysis研究總監Andrew Braunberg說：“這仍然有待觀察，我們不知道分部很多的企業，它們對下一代防火墻應用智能技術有多大需求。在分支機構使用狀態防火墻很不明智。但是小型分支機構可能不需要下一代防火墻的精細應用控制功能。如果你想在每個設備上安裝這個功能，它會在哪里開啟，會到什么程度？你知道一旦你開啟了額外的深層報文檢測，你會進行性能檢測。我認為分支機構會使用該功能，但是我好奇它的使用情況以及使用方式。”

　　如果將來證實確有必要，他相信許多企業將部署SonicWall設備，因為將來狀態防火墻可以升級為下一代防火墻。

　　Palo Alto產品市場總監Chris King 提到，Palo Alto的PA-200“天生”就可以在下一代防火墻模式中工作。PA-200根據對應用程序的識別來決定允許或拒絕流量。他提到了其他廠家，也包括 SonicWall在內，是根據端口來決定的。他們在流量中應用一個單獨的深層報文檢測引擎來識別應用程序，做出不同的策略決定。哪種做法更優現在還無定論。

　   有關Palo Alto：

　　Palo Alto是近幾年發展非常迅猛的一家安全企業，在業內負有盛名。該公司旗下僅擁有NGFW一類產品，被看做NGFW時代的先行者。經過充分的準備，Palo Alto于2011年年初在國內設立了辦事處。據了解，諸如應用特征庫、WebUI和報表管理系統的本土化工作已初見成效。

　　Palo Alto將用戶識別、應用識別和內容識別并列為產品的3大核心功能，使用戶權限和策略設定變得像自然語言般簡單易懂，同時讓報表的可讀性更強。內容識別基于防火墻、IPS、反惡意軟件、URL過濾乃至DLP等多種安全功能，可以為用戶提供全面的安全保障。在業務處理方面，其產品采用了單數據流并行處理體系結構，保證了高性能、低延遲。有業內人士認為，Palo Alto產品中關于一體化的處理引擎和一體化的策略框架是最關鍵的設計理念，在保證高性能的同時提高了易用性。

　　產品規格方面，Palo Alto面向不同規模用戶推出了從最低端的PA-500到最高端的PA-5060在內的多款產品。其最低端產品PA-500擁有250Mbps的防火墻處理能力、100Mbps的攻擊防護能力和50Mbps的IPSec VPN性能，最高端的PA-5060則將這3個指標推向20Gbps/10Gbps/4Gbps。Palo Alto公司創始人、首席架構師毛宇明在接受我們采訪時特別指出，該公司在官方網站公布了所有產品的性能指標，其中攻擊防護能力一項均為開啟應用識別及所有安全模塊后的數據，并且即便用戶沒有選購任何安全功能的許可，也可以使用不受任何限制的應用識別與控制功能。