接下来让我们看看Fortinet FortiGate 3950B下一代防火墙与竞争对手的比较，从中可了解到评估下一代防火墙所需要关注的点。

与下一代防火墙（NGFW）领域的其他领先供应商一样，Fortinet公司的FortiGate防火墙系列包含多种型号和类别。这个FortiGate 3950B是一款企业级NGFW产品，它包含多个扩展插槽。同时，该产品配备了该公司定制化的FortiASIC处理器，用于处理应用流量分析和过滤。

显著特性

FortiGate 3950B不像Check Point 12610那么容易配置和设置，但也不是太困难。其Web管理界面非常直观，并且在设备运行起来后，该界面很容易浏览和配置。而相比之下，命令行界面（CLI）则有些麻烦，需要一段时间来适应。与其他设备相比，该FortiGate设备有一个显著的优势，即所有变更都是实时进行，而不需要“提交”变更请求。以往变更过程常常会非常缓慢和繁琐，甚至可能造成问题，比如说如果管理员忘记提交变更。

该FortiGate设备允许创建非常简单的防火墙和VPN规则。其中VPN配置选项非常容易浏览和配置，而SSL VPN选项包括门户网站和客户端。

FortiGate的用户身份验证和用户识别功能并不像其他产品那么容易配置。该产品还支持Active Directory身份验证和集成，以及其他用户信息库，但利用用户ID和属性来创建政策规则有些麻烦。不过，在配置完成后，我们创建的规则是可行的。

特别之处

3950B具有优秀的入侵防御系统（IPS）功能，且易于配置。其规则在配置中提供了大量的细粒度化和灵活性，以及多种规则和政策选项用于检测、阻止和警报。

在测试过程中，FortiGate能够成功地识别应用程序，但只能识别少数应用程序。这些特定应用程序规则还整合了主要防火墙规则库，并易于全面管理。我们还可以为这些服务配置简单的服务质量（QoS），这个很不错。

附加功能

3950B还能够检测和限制拒绝服务（DoS）攻击，其中重点在于限速类型的规则。
该产品还能够识别IP声誉和地理位置作为政策定义的属性，但我们并没有对这些进行大规模的测试。

挑战

在测试过程中，我们注意到，3950B有几个问题。首先，日志记录和报告在选项和灵活性方面感觉有点“固定化”，并且，我们不能完全根据我们的需求来调整吞吐量，即使我们使用Fortinet的FortiAnalyzer工具。

此外，当启用大量应用层功能（例如入侵防护、URL过滤、应用监控和反恶意软件）时，该系统有着显著的性能损失，特别是当启用SSL检测时。虽然我们没有专门测试性能，但性能下降能明显看出来。

总结

Fortinet的FortiGate 3950B提供的功能包括应用检测、入侵防御、应用和内容检测等。从功能方面来看，其FortiOS平台可能是最广泛的平台，相当于一个统一威胁管理系统。然而，其配置有点复杂，且当启用多个应用级检测和过滤选项时，性能受到明显影响。总体来说，该系统提供了很多好处，当你在评估用于大中型企业的NGFW产品时，这是个不错的选择。