fortinet和netscreen的防火墙我感觉都不错，如果需要的是一款纯硬件防火墙，那么就只有这两款目前是符合要求的，sonicwall也好，nokia（就是checkpoint）也好，还是卡巴斯基也好，从真正意义上来说，都是不符合纯硬件防火墙的技术指标的，fortinet的产品叫fortigate，netscreen的防火墙就叫netscreen，这两款防火墙有一个共同的技术特点，就是同样使用了基于asic芯片的处理技术，大部分的数据处理是由asic芯片来承担的，而不是传统意义上的cpu了。

话说回来，如果单纯的追求防火墙的技术性能指标，那么绝对绝对是非netscreen莫属，但是有一个问题，netscreen的idp还没有从真正意义上与其防火墙融合到一起去，也就是netscreen的idp还不能真正的走出传统的旁听模式，直接应用到在线（online）模式下，真正的问题是在于正是因为没有asic芯片的技术基础，netscreen的idp才没法真正应用到对性能指标要求更苛刻的在下模式下的。

回过头来看看fortinet的产品fortigate，这款产品在防火墙的性能指标上，并不见得比netscreen突出，有些甚至是没法跟netscreen相抗衡的，但是在防火墙的综合应用上来说，它提供了多种功能模块，其中就包括了ids/idp功能，这些功能是基于asic的技术来提供支持的，所以，在很大程度上，它比netscreen的idp其性价比是要胜出的，而在防火墙对新增会话的处理方面，我们有一个很头疼的问题就是，如果内部主机中标，使劲的发包，防火墙往往是处理不过来的，最明显的特点就是，比方说内部有设备中了冲击波，那么我前面的状态检测的防火墙的会话队列将会在极短的时间内排满，反而对正常的进出请求无法提供响应，这样，也就给大家造成一个直观的感觉——防火墙死了，其实，很多情况下，我们可以看一下netscreen的状态，它的session是满的，但是，防火墙并没有死掉，如果我们重启一下，那么防火墙在短时间内又是可以正常工作的，但是一旦其队列再次充满，那么，又会重复上述的情景，而要解决这样的状况，我一直期待着能够提供在线的idp（不是ids），在请求到达我防火墙之前，就能够及时地将那些非正常的请求给屏蔽掉，这样，将在很大程度上缓解网络设备的压力，尤其是防火墙的压力，而目前，netscreen是能够提供这样的方案的，只不过这一方案的实现需要netscreen 防火墙和netscreen idp二者结合起来使用才行，这样的直接效果就是费效比很不理想，同样，fortinet公司也提供了他们的方案，他们将idp和防火墙直接整合到一起，作为一个all in one的设备来出售，而且在价格上基本上是按照防火墙的价格来出售的（idp的单台采购的价格在业内是比防火墙要高的），这样的费效比是有点让人咂舌的。

转载请注明：

本文转自：http://www.liusuping.com/juniper/fortigate-netscreen.html