接下来让我们看看Palo Alto Networks PA-5060下一代防火墙与其竞争对手的比较，从中可了解到评估下一代防火墙所需要关注的点。

Palo Alto Networks下一代防火墙（NGFW）平台有很多不同的型号，而PA-5060是在高端企业数据中心中最流行的平台之一。凭借其宣称的最大20Gbps吞吐量和400万最大会话量，以及多种千兆和光纤接口，PA-5060是最适合核心数据中心部署的产品。

显著特性

Palo Alto在其整个设备产品系列中都提供了大量有针对性的企业级功能，只有个别除外。其最大的区分点在于性能损失，特别是在低负载的情形下启用高级功能的时候。

PA-5060具有广泛的应用识别功能，它通过App-ID识别控制台和应用命令中心（ACC）来“管理”哪些应用正在使用中以及被谁使用。PA-5060有着包含几千个已知应用的数据库，这些应用都可以被识别，且在测试中，Palo Alto能够标记不同的应用流量，从Skype到数据库到Gmail。通过简单易用的拖放式界面，对这些应用进行规则策略创建也十分简单。

Palo Alto的用户识别功能也非常先进，但部署起来有些困难。PA-5060连接到Active Directory需要很多步骤，会增加部署周期。即便如此，其基于用户身份以及用户访问的网址来创建规则和政策的能力非常强大，超过了大多数其他NGFW产品的类似功能。

PA-5060的入侵防御系统（IPS）功能也非常好用。该设备可以检测和阻止多种基于签名的威胁和攻击，并具有强大的协议异常检测功能，以检测修改过的命令和控制以及异常协议行为。

同时，对于PA-5060来说，为VPN连接性设置Ipsec规则以及根据VPN用户创建政策都很简单。其宣称的最大总Ipsec通道数量为8000，但我们在测试中并没有达到这个数目。不过，在测试中，超过2500个通道都没有出现问题。此外，集群也容易配置。

这个Palo Alto产品的另一个优点是易于管理。本机Web界面易于导航，并相对整洁。全景中央管理工具也很容易使用，对使用Palo Alto防火墙的多个地点具有强大的聚合和分组功能。

附加功能

PA-5060可以与Palo Alto新的Wildfire反恶意软件系统进行整合，这个软件可以将检测到的威胁在虚拟恶意软件沙箱中“引爆”。

PA-5060内还提供安全套接字层和安全Shell检查。Palo Alto能够很好地解密和分析加密流量，但对性能有着显著影响。该系统还可以镜像或者转发加密流量到第三方系统进行更深层次的数据丢失防护（DLP）、分析以及网络取证。

总结

总的来说，PA-5060是一个相对容易使用且带有一些非常先进的功能的下一代防火墙产品。该系统的一个缺点是应用层分析带来的性能影响。当我们启用广泛的App-ID检测规则、IPS规则和SSL解密功能时，该设备的容量会有所下降，并不是其宣称的20Gbps的吞吐量，在我们的测试中最终显示的只有15Gbps的吞吐量。然而，该产品在识别用户和应用方面非常出色，足以使其在企业级NGFW竞争中占有一席之地。