我在帕洛阿尔托的经验是有限的，所以请对我所说的持保留态度（我相信这里的人可以根据需要纠正我）......

Palo Alto 是与 Check Point、Juniper 或几乎任何其他防火墙完全不同的防火墙范例。传统防火墙根据源 IP、目标 IP 和端口（或 IP 协议定义，例如 ICMP 类型/代码）定义流量。Palo Alto 根据数据流内容定义流量；端口 80 上的 TCP 流预计是 HTTP，但它也可以很容易地成为 SSH，并且在帕洛阿尔托世界中，您根据语义内容限制连接 - 即使 HTTP 可以通过相同的内容，您也会阻止该 SSH设备。如果端口 80 开放，Check Point 或 Juniper 将允许两者通过。（是的，我相信 Check Point限制了 如果如此配置，则能够强制执行应用程序协议，但这是对作为其产品核心的传统 IP 协议过滤的附加附加。）

这种方法的弱点在于它依赖于对流量进行分类和解码的能力，这是一个不小的问题。去查看任何 IDS 的误报以获取证据。此外，如今，一切都可以（并且是）包裹在 SSL 中，使协议分析变得复杂。

有些人认为帕洛阿尔托做得很好；有些人认为这还不够好。如果你打算做安装为您的eval的一部分，你可以做出自己的决定上，我是为决策犹豫决策的基础上别人的经验网络的网络，因为它是一个内容（和上下文) 敏感设备。

对 Palo Alto 有更多经验的人可能会与代理防火墙和 IDS/IDP 产品进行非常有用的比较，所以也许这应该是您问题的一部分。

让我先声明一下，我是 Palo Alto Networks 以及 Check Point 和 Juniper 的合作伙伴。多年来，我们与所有三个制造商都取得了很大的成功。Palo Alto Networks 构建了一种在技术上与市场上其他产品不同的网络安全设备。如果您清除营销BS，则不可否认。我的技术解释在下一段中。您是否认为 Palo Alto Networks 所做的事情是否重要到足以进行转换，这取决于您。

防火墙的目的是使您能够在具有不同信任级别的两个网络之间创建积极执行模型（默认拒绝）控制。传统的状态检查防火墙在 1990 年代中期首次出现时就能够做到这一点。他们不能再这样做了，因为现代应用程序是使用端口共享、端口跳跃、隧道和加密等技术编写的。

据我所知，Palo Alto Networks 是市场上唯一允许您实施积极执行模型的防火墙。此外，Gartner 刚刚在 2011 年 12 月下旬发布了他们的防火墙魔力象限并说了同样的话。

根据英国备受推崇的安全产品评估商店 NSS Labs 的说法，Palo Alto 的 IPS 功能与业内最好的独立 IPS 非常匹配。有趣的是，PAN IPS 功能需要较少的调整，因为它了解应用程序并且只应用相关签名。

WRT 到 UI、CLI、日志和其他“标准”防火墙功能，PAN 是令人满意的。

最后，Palo Alto 继续创新，支持远程和移动用户，并在不影响流处理的单独（基于云）进程中分析恶意软件文件。

由于这是技术主题，我试图给你简单直接的答案，我在这里提到的例子并不意味着宣传或侮辱任何产品...... Paloalto 就像 Apple 笔记本电脑，Juniper 就像 Linux，Cisco 就像 Windows 笔记本电脑. 瞻博网络防火墙适用于需要更精细配置和调整的超级用户。思科适用于不想探索/升级自己或培训资源的老学生。Paloalto 适用于 New Guys（业余 GUI 人）。PAN 甚至不向客户共享 root 密码，如果您以 root 身份访问设备，我认为保修无效:) ...我拥有所有这些防火墙，所以当我说这些陈述超出我的经验时，请相信我...