HQY 一个和谐有爱的空间

新发布的系统版本，引入了DNS安全服务；

利用其Cortex产品来构建其第三方生态系统，使合作伙伴能够构建与Palo Alto Networks平台进行交互的应用程序。使用Panorama管理平台作为供应商集成解决方案的编排点。使构建更大的安全平台计划成为可能；

提供直接FWaaS作为SaaS模型。其Prisma Access FWaaS提供出站过滤功能；

可根据功能授权调整支出，而不是硬件，从而使安全预算更加可预测；

改进的SSL解密性能；

非常广泛的云生态系统，在客户使用微服务和无服务器环境构建新的工作负载时预期他们的中长期需求；

售前服务的高度专业性，在评估期间提供与交易的规模无关的优质支持。

性价比不高，基于机架的数据中心防火墙非常昂贵；

组件之间的集成程度不高；

发行的早期软件版本存在错误，且尚未投入生产；

公共云环境中的性能问题；

缺乏集成的SD-WAN功能，而是通过与第三方供应商的合作关系提供。缺少作为SaaS模型提供的基于云的管理门户；

售后技术支持质量下降。

性价比高，供应商提供了一系列防火墙模型，可以满足多种防火墙部署用例；

新的NP7芯片支持急速会话建立，宣称业界最强的安全性能；

在其E系列防火墙中提供了集成的SD-WAN功能，还基于健康性能，延迟，抖动和数据包丢失为特定应用程序提供了诸如多路径自动故障转移之类的功能，从而增强了应用程序的性能；

引入了对TLS 1.3的支持，增强了启用了基于流的检查模式的Web筛选器配置文件和SSL / SSH检查配置文件的现有更深入的检查功能；

安全结构和API的扩展集成性良好，并开发工具来提供自动化；

与全球许多MSSP（Managed Security Service Provider，安全托管服务提供商）紧密合作，这些MSSP向客户提供Fortinet防火墙作为托管服务；

通过提供基于设备捆绑的许可来保持其更简单的授权。

尽管Fortinet提供了用于集成其产品的安全结构和API集成功能，但是缺乏成熟的防火墙与产品组合中用于威胁关联的其他安全产品的直接集成功能；

缺乏直接向其客户端提供的基于云的出站过滤服务（例如FWaaS）；

提供的日志不容易钻取以查找事件，与其他防火墙市场领导者相比更加复杂；

新功能的增加导致频繁的UI更改，使防火墙的管理变得复杂。

简单的定价模型；

拥有最大的威胁研究团队之一，还为客户提供第三方威胁情报提要；

投入大量资金来构建专业产品，以提高可扩展性；

集中管理产品的领导地位。

缺乏其他防火墙供应商对SD-WAN的关注；

安全管理门户（SMP，基于云的管理控制台）仅适用于有限的防火墙型号，不支持整个防火墙系列；

缺乏对TLS 1.3的支持，当前在解密流量时将TLS 1.3连接降级为TLS 1.2；

安装和部署并不简单，通常需要专业服务或支持团队的帮助；

缺乏强大的定位和产品信息；

技术支持服务升级困难。

拥有广泛的网络和安全解决方案组合；

客户和转售商继续对Talos威胁研究和Firepower上提供的高级恶意软件防护（AMP）功能给予很高的评价；

易于部署和维护，专有自动VPN和SD-WAN简化了站点到站点VPN的部署；

Cisco AnyConnect VPN客户端为大多数移动设备及其操作系统提供支持，VPN隧道是稳定的。

价格优势不明显；

思科ISE（NAC解决方案）和思科Firepower之间缺乏自动化；

缺乏功能齐全的统一管理；

Firepower缺乏SD-WAN功能和零接触部署；

无法在IaaS平台上有效部署Firepower虚拟机，稳定性问题和功能不一致；

支持质量的满意度方面得分低于平均分；

Firepower的管理API在成熟度方面落后于其直接竞争对手。

具有成熟的VPN和SD-WAN功能；

安全管理中心（SMC）是供应商的集中管理产品，非常直观且易于使用。提供了精细的管理员访问控制；

成熟的IDPS产品中享有悠久的声誉，有专业安全厂商提供的威胁情报；

同类最佳的防火墙群集功能，可在不同设备型号之间运行成熟的负载平衡功能，可以支持不同的固件，易于管理，并且故障转移对网络是透明的；

为DevOps用例提供云供应工具和自动化脚本；

提供易于配置的VPN模板，UI提供易于监控和管理的多个VPN隧道；

内置的UEBA功能，无需额外付费即可将高级威胁检测功能带到网络沙箱之外。

大多数研发工作集中在Web安全（其SWG产品），因此减少了对防火墙产品线的关注；

缺乏防火墙产品的强大市场；

供应商缺少EDR（终端安全响应系统）客户端集成功能，还缺乏与第三方EDR客户端的防火墙集成；

缺少提供基于云的管理门户，缺少FWaaS；

技术支持不到位。

可以本地解密TLS 1.3；

不断提高高级威胁的可见性，检测和响应能力，以满足不断增长的市场需求；

具有强大的勒索软件检测功能，并会不断地对其进行改进，勒索软件检测功能更加强大；

强大的售前支持和易于实施，直观的管理界面以及与Sophos产品的紧密集成；

将防火墙和终结点（Intercept X）集成功能。

产品市场定位更侧重于中型企业，当前无法满足某些企业部署用例，包括提供高吞吐量设备；

虚拟IaaS版本的问题，尤其是在高可用性方案中，基础特性不足以解决公共IaaS部署问题；

防火墙缺少证书；

缺乏与第三方EDR工具的集成，使用其他商业EDR供应商的企业客户将无法使用其防火墙并共享与端点相关的威胁情报；

基于云的安全产品方面仍落后于竞争对手。

易于管理，易于创建的防火墙规则用户界面；

敏捷控制器，通过回调功能与防火墙紧密集成，并提供自动化功能以分割网络；

SecoManager的本地集中管理器，专用的策略编排功能，为新策略提供了可视化功能，以显示其对流量的影响；

提供对TLS 1.3的支持；

提供欺骗功能（蜜罐）；

通过其大数据分析SIEM解决方案网络安全情报系统（CIS）提供直接集成功能。

缺乏与第三方安全厂商，尤其是SIEM（安全信息和事件管理）提供商的集成能力；

BYOL（自带许可）模式无法随用随付；

提供基本的集中式云管理功能，只能用于管理防火墙上的有限功能，缺乏集中式固件升级和批量防火墙上的零配置上限功能；

缺少主要防火墙厂商提供的其他常见SDN平台的支持；

缺乏对与防火墙及其用户有关的基于云的服务的关注。

集中式本地管理器产品，有成熟的编排功能。该产品提供了适合MSSP的成熟的多租户功能，还提供了带有策略分析的防火墙规则创建向导，能在规则重复的情况下发出警报；

简化了为云工作负载创建集中式防火墙策略的过程；

产品型号丰富，可以满足所有防火墙用例；

庞大的合作伙伴生态系统，支持将NAC集成扩展到Juniper交换机，从而可以使用Policy Enforcer隔离受感染的端点；

利用ATP TAXII服务器检索ATP发现的STIX恶意软件包，能发现威胁并处置。

应用程序控制功能缺乏粒度，子控件功能有限；

侧重于在硬件设备上引入功能，缺乏针对漫游用户和分布式用例（例如直接FWaaS产品）的基于云的成熟服务；

虽然提供了多个具有不同功能的集中式管理器，但是多个非集成式管理器的协同是产品的弱点；

厂商有时对与固件相关的错误也不完全了解；

不提供漏洞赏金计划；

防火墙升级固件的过程并不顺利。

专用产品线，可通过VMware NSX提供成熟的微分段功能。CloudHive提供的功能包括实时可视化映射，自动发现新的虚拟网络并支持跨虚拟机集群进行威胁检测；

NTA平台Hillstone sBDS，为Hillstone客户端执行高级威胁检测和分析；

防火墙内其他威胁检测功能的扩展；

优秀的VPN功能。

缺乏SD-WAN功能；

不同产品线功能区别不明显；

不提供本地网络沙箱；

没有提供通用的威胁关联门户以使寻求更好威胁检测功能的防火墙用户受益；

缺乏针对最终用户市场的防火墙的强大营销；

供应商提供了一个基本的基于云的防火墙管理器，但该管理器仅限于监视，并且缺少其他集中管理控件。

为客户提供多种基于云的服务，FWaaS、威胁情报服务、威胁分析门户网站Security Butler；

分布式场景应用的理想厂商；

提供本机EDR客户端，提供了额外的威胁检测功能；

提供了用于安全策略部署和修改的配置向导；

本地化集中管理器，简化了多个防火墙的管理；

技术支持满意度很高。

在企业和数据中心的优势不太明显；

内置日志记录和报告缺乏粒度，日志搜索起来很复杂，要使用专用的报告工具才能获取高级报告功能。且本地专用报告和日志记录设备仅提供中文；

中端产品不提供默认的10 Gigabit接口；

仅为其本地SDN平台Sangfor HCI提供支持。