2024年Palo Alto Networks公司分析报告：从防火墙到下一代安全产品，构建全球领先的安全平台-卡组百科-幻梦卡牌对战中心

admin 2025-11-24 02:28:19 卡组百科

2024年Palo Alto Networks公司分析报告：从防火墙到下一代安全产品，构建全球领先的安全平台

公司概况：以全栈方案整合企业安全开支

公司概述：从数据中心到云，领导“下一代安全”

Palo Alto Networks 于 2005 年成立于美国加利福尼亚州，2007 年提出下一代防火墙概念，持续建设广泛的产品和服务生态，并部署了规模庞大的全球交付伙伴网络；2012 年 7 月，公司于纽约交易所上市，随后在 2021 年 10 月转到纳斯达克交易所。目前公司提供网络安全、云安全、安全运营三大解决方案平台，通过让安全方案的部署更集成化、自动化，整合对孤立点产品的需求，降低客户的总拥有成本。 FY2023 年，公司营业收入达到 68.9 亿美元（+25% YoY），FY2019-FY2023 CAGR 近 24%，公司持续在防火墙及整个信息安全市场获取市场份额。截至 2023 年 11 月，公司市值达到 970 亿美元，年初以来涨幅超过 100%。

主营业务：打造一体化安全平台

产品体系：产品体系覆盖广泛，打造网络安全、云安全、安全运营三大解决方案平台。公司在 2007 年推出首款下一代防火墙 PA-4000，针对当时新兴的网络威胁提供防御，并在 2011 年发布威胁检测服务 Wildfire，从被动防御走向主动防御。随后，公司通过研发集成与外延并购，推动产品线的快速扩充。研发集成方面，公司一方面坚持对实体防火墙（PA）、虚拟防火墙（VM）以及容器防火墙（CN）的研发，在 2020 年发布 ML-Powered Next-Generation Firewall 实时防御零日威胁，同时推出 Panorama 提供集中式网络安全管理解决方案；另一方面布局云与 AI 产品线，推出 Prisma SaaS、Prisma Cloud、Prisma SASE 等产品并集成于网络安全与云安全平台，以及 Cortex XSIAM、Cortex XDR 和 Cortex XSOAR 等产品集成于 AI 驱动的安全运营平台。

外延并购方面，公司持续投资于云、AI、自动化领域，在 2014 年通过收购 Cyvera 完善了端点防护技术；通过收购整合 Evident.io、RedLock、CloudGenix、Demisto 等的技术，扩充了云和安全运营平台的产品线。目前，公司产品归纳于网络安全、云安全、安全运营三大平台，提供了从传统防火墙到下一代安全的全面解决方案。在支持和服务方面，公司提供从全球客户支持到威胁情报、事故响应和安全咨询的全方位服务，以及包括架构设计、规划、实施和防火墙迁移在内的专业服务，支持客户在整个网络安全旅程中的需求。

收费模式：定价策略旨在提供灵活性，以适应不同规模和需求的组织。公司的产品和服务费用主要由一次性购买和订阅费用构成，附件功能包括威胁预防、URL 过滤、沙盒分析等多种选项。1）硬件防火墙：价格依赖于设备型号和附加订阅服务。根据 IT Price，适用于中小企业以及分支机构的入门级 PA-220R 的硬件价格约为 3050 美元，适用于超大型企业和数据中心的高端 PA-7080 基础直流电硬件套装价格约为 15.75 万美元，而如果附加 DLP、SD-WAN 等额外功能则需另外支付订阅费用。2）容器和虚拟防火墙：定价基于防火墙规模、最大吞吐量、处理能力、部署环境（私有云、公共云、混合云）等因素，公有云环境下以订阅模式为主，私有云环境下和硬件防火墙的定价模式类似（一次性付费+选购订阅服务）。3）SASE：定价基于订阅的模式，费用和模块数（SWG、 CASB、ZNTA 等）以及使用 SASE 服务的用户数量等相关，如果用户流量超出设定范围需要额外支付费用。4）云安全平台：定价基于订阅的模式，费用根据部署规模（监控虚拟机数量或用户数量）、订阅层次、所需功能（CSPM、CWP 等）等因素而变化。5） Cortex 平台：不同组件的价格存在不同的定价标准，其中 Cortex XDR 价格取决于监控的终端数量、数据存储需求、附加安全服务等，Cortex Data Lake 根据数据存储量、日志保留期限等来定价，Cortex XSOAR 定价与自动化规则的复杂性、集成的系统数量等有关。

高管&股东：管理团队经验深厚，股权结构较为分散

管理层背景：核心团队经验丰富，具备安全领域的技术和经营能力。Palo AltoNetworks 的创始人兼首席技术官 Nir Zuk 在网络安全领域拥有丰富的经验，曾任 OneSecure（入侵防御和检测设备的先驱）的联合创始人兼 CTO，以及 CheckPoint 的首席工程师，为公司带来了丰富的网络安全专业知识和行业经验。公司 CEO Nikesh Arora 曾在 SoftBank 和 Google 担任高级职位，具备强大的业务和技术领导能力。总裁 Amit Singh 曾创立 Google 的云业务，在 Oracle 工作 20 年，担任过产品、工程、销售和战略职务。此外，公司的核心管理层成员来自不同行业的领先公司，如 Google、 Barracuda Networks、EMC、德国电信、Citrix 等，具有在网络安全、云计算、IT 运营等领域的丰富经验，并具备在亚太、欧洲、美洲、非洲等全球各地的市场运营经历。这些管理团队成员的加入不仅增强了公司在传统网络安全领域的实力，也促进了其在云安全、 SASE、XDR 等新兴领域的发展。

股权结构：股东多为机构投资者，股权结构较为分散。截至 2023 年 11 月，公司机构股东持股比例达 91.22%，直接持有公司 5%以上股份的股东仅有 The Vanguard Group,Inc.，其持股比例为 8.49%。总体来看，公司股权结构较为分散。

财务表现：NGS 驱动收入快速增长，盈利能力亦持续改善

成长性：NGS 业务驱动整体收入持续增长，收入结构不断优化。尽管公司从防火墙硬件起家，但公司产品结构持续丰富：一次性产品收入（安全产品）中纯软件的 Perpetual License（包括 VM/CN 系列产品）占比提升；经常性收入（安全服务）中，公司不仅基于防火墙搭售支持服务以及 DLP、DNS 安全、SD-WAN 等订阅服务，亦大力发展云安全（Prisma Cloud）、SASE（Prisma Access）、现代化 SOC（Cortex）等下一代安全产品（NGS）。产品结构以及收入模式的丰富一方面对冲了防火墙硬件固有的周期属性，另一方面也在很大程度上拓展了公司的市场空间，为公司提供了新的增长动能。 FY24Q1，公司 NGS ARR 首次超过 30 亿美元，同比增长 53%。伴随公司一体化安全平台建设推进、以及对于 NGS 业务的战略重视，公司订阅客户数量和使用模块数量快速增长，带动营业收入在 2018-2023 财年的复合增长率约 25%。随着公司经常性收入占比提高、销售渠道的持续扩展和完善，我们预计公司业务规模将持续扩大，未来仍有望延续较快增长。2023 财年，公司实现收入 68.93 亿美元，同比增长 25.3%；其中，安全服务占营业收入的比例持续增加，由 2018 财年的 61%增长到 2023 财年的 78%。

软件收入占比提高带动毛利率的提升。近年来，我们观察到公司整体毛利率水平经历显著波动，主要原因包括：1）产品方面，防火墙硬件本身的周期属性导致原材料价格、存货减值、折扣水平等都会对毛利率产生影响，而纯软件的 Perpetual License 毛利率则相对稳定；2）服务方面：公司防火墙附加订阅服务以及支持服务的毛利率整体更高，而以公有云形式交付的 NGS 系列产品则由于云成本的原因较低，因此 NGS 整体收入占比的提升也会带来服务毛利率的波动性。我们认为，公司后续毛利率波动性将持续减弱且呈趋势性提升，主要原因包括：1）防火墙硬件供应回归正常，且占比持续下降；2） NGS 产品能够通过架构改进以及规模折扣优化底层云计算成本；3）公司技术平台和客户支持平台的通用性持续提升；4）利用基于 AI 的自动化提升客户支持效率。

持续优化开支结构将改善公司运营效率。在开支维度，公司存在显著的运营杠杆优化空间。销售费用方面，公司能够借助庞大的存量用户基数进行交叉和追加销售，包括向防火墙硬件用户销售支持服务和附加订阅服务，向 SASE 用户销售云安全以及 Cortex 产品等，而存量客户的渗透成本要显著低于拓展新客。因此，我们观察到公司近年来销售费用率逐渐下降。研发费用方面，由于公司前期需要加大对于 NGS 等新品的开发力度，因此在 FY2018-FY2021 期间，公司研发费用率持续增长；而伴随产品收入规模的扩张以及产品体系趋于成熟，我们看到公司研发费用也呈现出持续下降的趋势。在近期财报电话会议上，公司更新了短期和中期的营业利润率目标：FY2023，公司实现 Non-GAAP 营业利润率 24.1%，公司预计 FY2024 年营业利润率为 25%-25.5%，FY2026 将大幅增长到 28%-29%，兑现每年约 150bps 的改善。

行业背景：网络攻击持续升级，散点产品亟待整合

全球数字化转型加速，网络攻击暴露面扩大。伴随移动互联网和 AIoT 的蓬勃发展，以及企业数字化和云化的持续推进，全球数据量以及企业部署和管理的 IT 技术堆栈都在迅速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利益的动机和诉求日益增强，恶意攻击的频次和隐蔽性日益上升；另一方面，也意味着企业或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。思科在《2020 年年度互联网报告》预计，全球人均联网设备数量将从 2018 年的 2.4 个提高到 2023 年的 3.6 个，对应 2018 年-2023 年复合增长率为 8.4%，其中北美和西欧地区的增速更快。伴随着疫情后远程办公的加速渗透以及 IT 基础设施的云化加速，企业暴露在互联网中的端点设备和工作负载不断增加，使得其数字足迹和网络攻击面变得更广、更分散、更具动态性，进而对网络安全防范手段提出了更高要求。

勒索攻击频次&数据泄露成本持续上升，安全开支快速增长。2023 年 9 月，国际自动化巨头江森自控遭到大规模勒索软件攻击，该攻击对公司的许多设备（包括 VMware ESXi 服务器）进行了加密，影响了公司及其子公司的运营，勒索金额高达 5100 万美金； 10 月，美国知名的酒店和娱乐巨头美高美因预订系统遭到入侵损失收入高达 1 亿美元，这其中并不包括声誉受损、网络修复、合规罚款等更广泛的损失。根据 IBM 数据，全球网络攻击事件导致数据泄露的平均经济损失持续增加，于 2022 年达到 435 万美元；根据 Google Trend，网络安全关键词在企业文档中的出现频次持续攀升；根据 Palo Alto Networks 统计，2023 年 10 月全球恶意程序数量较 2014 年增加了 20 倍，达到 13 亿个。网络攻击天然具备不对称性，网络安全人员需要阻止所有攻击，而攻击者只需找到一个显著弱点就能成功入侵。因此，企业也大幅增加了网络安全方面的支出。IDC 预测， 2026 年全球安全即服务（Security as a Service）市场规模将达到 933 亿美元，对应 2021-2026 年 CAGR 为 16%。

单点安全方案亟待整合，平台型安全厂商料将持续受益。根据 Gartner，目前欧美大型公司平均部署 75 个安全工具，安全行业是所有软件细分领域中供应商最为分散的子行业。该行业往往以单点产品的方式看待问题，每次出现新需求时总会出现新的单点产品，而繁杂的安全软件部署为客户带来的极大的复杂性，包括安全数据格式的不一致、安全数据维度的单一性、安全事件调查&取证的复杂化、各个系统维护&更新的复杂性等。但集成的安全平台将极大程度上解决这些问题。1）增强安全的可见性：企业可以从一个单一的界面获得对其网络、应用程序、端点和云服务的全面视图，支持更有效地共享和应用威胁情报。2）数据整合：统一平台可以将安全数据整合到一个共同的格式和存储系统中，这样可以更容易地进行分析和报告。3）自动化和协调响应：在统一平台上，可以实现更高级别的自动化和协调。例如，当检测到威胁时，可以自动启动响应流程，如隔离受感染的系统或自动应用安全更新。整体而言，将安全软件整合到统一平台上，可以帮助组织更有效地管理其安全架构，提高对威胁的响应速度，同时降低运营成本和复杂性。考虑到 Palo Alto Networks 在网络安全、安全 SOC 和云安全领域的完善布局，以及平台上现已推出的 74 种高度集成的功能，我们认为公司将充分受益于安全软件平台化的趋势，在安全市场持续赢得份额。

行业分析：防火墙需求处于下行周期，下一代安全软件依然需求旺盛

防火墙：需求尚处下行周期，软件+订阅服务平滑硬件波动

防火墙：形态分为物理和虚拟，商业模式向订阅过渡。防火墙（Firewall）是一种网络安全系统，它监控和控制进入和离开网络的数据流量。它的主要功能是根据一组预定的安全规则阻止或允许数据流量，保护网络不受未经授权的访问和网络攻击，同时允许合法的通信通过。从产品形态上而言，防火墙主要包括物理防火墙和虚拟防火墙，其中物理防火墙是一组专门优化的硬件和软件系统，主要放置在网络的边界，通常位于内部网络和互联网之间，保护企业核心数据中心免受外部访问威胁；而虚拟防火墙则是物理设备的软件实例，运行在裸金属或者虚拟化&容器环境中，主要为了保护数据中心内部的东西流量安全、分支机构网络安全，以及公有&私有云环境下的网络安全等。从商业模式上而言，起初防火墙产品均基于永久许可证模型，客户有权永久使用所有功能，直到设备故障；随着时间的推移，部分供应商开始提供基于基础产品和多个功能升级选项的产品套餐，每个选项都有一个单独的关联永久许可证；时至今日，Palo Alto 等新一代供应商认为某些功能是服务而不是永久性功能，开始引入订阅许可模型，客户有权在固定时间内使用特定的产品功能，通常为一年、两年或三年，安全威胁情报提供是安全设备上首次以订阅方式引入的功能之一，而 URL 过滤、安全沙箱、DNS 安全、DLP、IoT 安全、 CASB 等功能后续亦被引入。

市场规模：整体开支在周期性波动中依然向上。过去三年，我们看到防火墙市场增速出现了显著的波动：2020 年疫情爆发初期，企业业务暂停、资源限制以及供应链问题等使得全球防火墙市场增速大幅回落；2020H2-2021 年，疫情催化下云化&数字化激增的需求使得防火墙市场重回活跃，但在供应依然受限的情况下，更多的需求导致了更长的交付时间和恐慌的购买情绪，进而加剧了现有的供应链问题，这亦为后续的库存积压埋下伏笔；自 2021 下半年开始，防火墙供应商逐渐克服了供应链方面的挑战，但前期客户的“over-ordering”使得相关设备存在积压，客户也因此减缓了新增的采购需求，而后续欧美地区宏观经济预期的恶化使得增量需求进一步承压。短期来看，根据数家防火墙公司近期的业绩以及相关展望，我们认为防火墙市场在未来几个季度仍将面临压力，有望在 2024 下半年开始温和复苏。当然，尽管硬件防火墙较长的供应链难以避免周期性的波动，但伴随着云化的推进以及云端应用保护的需求，虚拟防火墙一直保持着较为旺盛的需求水平，而防火墙附加的订阅服务也在持续渗透，能够在一定程度上平滑硬件产品市场的波动性。中长期来看，考虑到企业数字化&云化的持续推进、威胁形势的日益严峻以及以太网速度的持续跃升，我们认为这一市场依然将在波动中向上演进。根据 Dell’Oro， 2022 年全球防火墙市场规模为 122 亿美元，且预计 2022-2027 年 CAGR 为 9.7%；其中， 2022 年全球物理防火墙和虚拟防火墙市场规模分别为 112.8 亿和 9.2 亿美元，预计 2022-2027 年 CAGR 分别为 8.8%和 18.7%。

竞争格局：软件能力的布局使得 Palo Alto Networks 持续获得份额。在创业之初， Palo Alto Networks 便希望通过软件能力变革传统防火墙硬件市场，实现对于应用程序和用户访问的精细识别和控制，使企业能够对网络流量有更多的可见性，对安全策略制定有更高的灵活性。时至今日，我们看到软件能力的前瞻性布局使得公司在应对周期性波动时仍能获得健康的增长，在全球防火墙市场中快速获得份额。根据 Dell’Oro 数据，公司在 2023Q3 全球防火墙市场占据 27.5%的市场份额，同比增加 4pcts。进一步分析收入结构，我们看到公司一次性的防火墙产品收入在本季度同样面临显著压力，同比增速仅为 3.4%，但基于订阅的软件服务较好地对冲了产品收入增速下滑的不利影响。我们认为，软件收入的较高占比将使得公司防火墙业务在性能上更具竞争力，在商业模式上更具稳定性和可预测性，据此公司有望在这一市场持续获得份额。

SASE：整合网安管理体系，覆盖所有位置和场景

SASE 将整合的网络安全能力推向边缘。随着企业越来越多地依赖于基于云的应用程序，并支持分布式工作流以支持远程和移动端用户，企业网络迅速超出传统的网络边缘。尽管网络的发展速度足以支持远程端点的工作流程，但绝大多数安全工具并未跟上发展的步伐。为了保护现代企业网络下的网络安全，所有端点都必须使用与其本地基础架构相同的安全和网络策略进行保护和管理，安全访问服务边缘（SASE）应运而生。 SASE 是 Gartner 于 2019 年提出的一个新的网络安全类别，将 SD-WAN 和网络安全点解决方案融合到统一的云原生服务中。Gartner 预计，到 2024 年至少有 40%的企业将制定采用 SASE 的明确战略，而 2018 年底这一比例还不到 1%。由于 SASE 在底层基础架构中内置了完整的安全堆栈，所有边缘都享有统一策略的相同级别保护。当所有 WAN 和 Internet 流量通过 SASE 云平台时，IT 人员可以完全了解网络，使得 IT 部门能够通过单一管理平台保持对整个网络的控制。同时，网络和安全堆栈的简化，以及多个单点产品的整合，消除了任何资本支出采购以及内部管理和维护的需要，所有成本都转化为 Opex。我们认为，SASE 的趋势一方面将使得网络安全厂商加速平台化的整合，技术能力全面的头部厂商有望强者恒强；另一方面，SASE 也在持续推动网络安全产品云化的进程， SASE 核心组件中的 FwaaS、CASB、ZTNA、SWG 均将加速云化。

市场规模&竞争格局：整体需求持续强劲，Palo Alto 提供全场景、全产品覆盖。伴随着分布式应用程序和混合工作环境的持续渗透，安全边界从本地物理设备转向基于云的网络安全服务，SASE 市场需求持续强劲。根据 Dell’Oro，2022 年全球 SASE 市场规模为 64 亿美元，且预计 2022-2027 年 CAGR 为 17.1%；其中，2022 年全球 SSE 和 SD-WAN 市场规模分别为 112.8 亿和 9.2 亿美元，且预计 2022-2027 年 CAGR 分别为 17.9%和 16.1%。我们认为，Palo Alto Networks 在 SASE 市场的竞争优势主要包括：1）提供硬件防火墙、软件防火墙和 SASE 方案的集成交付，覆盖数据中心和园区网络（硬件防火墙）、云端网络（软件防火墙）以及混合工作和分支机构（SASE）等全量场景，提供网络安全体系中所有流量和威胁的全景视图。2）在 Gartner 魔力象限中，公司是唯一在 SSE 和 SD-WAN 两个 SASE 子领域均位列领导者的安全供应商，能够真正意义上将 SD-WAN 和网络安全点解决方案融合到统一的云原生服务中。截至 FY23 末，PaloAlto Networks SASE 业务年度经常性收入（ARR）突破 10 亿美元。根据 Dell’Oro，公司在 2023Q3 全球 SASE 市场占据 10.5%的市场份额，其中 SSE 和 SD-WAN 分布较为均匀，是所有市场参与者中近年来份额提升最为显著的。

云安全：渗透率仍然较低，公司提供代码到生产环境的全套产品

市场规模：云安全需求迅速崛起。云工作负载安全是针对部署在云端的虚拟机、容器等工作负载的安全解决方案，能够在漏洞风险、入侵威胁检测、主动防御、快速响应以及安全管理等方面为工作负载提供全面的保护。我们认为，云工作负载安全市场增长主要受到以下几点因素的驱动：1）伴随数字化、云化的持续渗透，企业部署在云端的工作负载不断增加；2）多云、混合云的部署，以及微服务架构的持续渗透显著增加了 IT 堆栈的动态性及复杂度，亦显著提升了安全防范的难度和重要性。根据 IDC 数据，2021 年全球云工作负载安全市场规模为 22 亿美元，预计到 2026 年将增长至 51 亿美元，2021- 2026 年 CAGR 为 18.5%。我们认为，这一市场的增长空间可能被显著低估：根据 IDC，目前安全开支占企业 IT 总开支约 10%，但目前云安全占公有云市场（IaaS+ PaaS）的比例则尚不及 2%。考虑到云环境本身动态、复杂的特点，以及 IT 基础设施上云的持续推进，我们认为云计算环境下的安全开支将持续增长。

竞争格局：Palo Alto 居于领先地位。在云原生应用的开发、部署、运行环节，开发者自己编写的代码和大量的开源代码通过 CI/CD 流程部署到代码定义的云环境中，而这意味着发生在代码阶段的一系列问题都将在云中扩大。传统的云安全实践由每个环节的单点解决方案构建，在代码开发、环境部署和应用运行环节都有不同供应商提供的不同工具解决问题。但一方面，这会导致这些工具中的每一个都缺乏足够的上下文；另一方面，企业内的安全团队人数远少于开发团队，难以面对在云中显著扩散的风险并从代码环节溯源。Palo Alto Networks 的 Prisma Cloud 平台很好地解决了上述问题，其为安全从业者提供了整个应用程序管道的可见性，安全团队能够直接从运行环节中报错的数千个问题溯源到代码阶段的数个问题，大幅提升问题发现和解决的效率。根据 Forrester 的统计，2022 年云安全厂商经常性收入中，PANW 以 5 亿美元位居第一，同比增加 40%。在 2022 年 Forrester Wave 的云工作负载魔力象限中，PANW 位居首要领导者地位。 Frost & Sullivan 在 2022 年和 2023 年均授予 PANW 最佳云原生安全应用保护平台的奖项，这均印证了其帮助客户解决从构建到部署和运营的云安全需求的平台化能力。

SOC：数据+AI 构建现代化的安全运营平台

市场规模：传统 SOC 面临挑战，实时响应需要整合的现代化平台。SOC（Security Operations Center）是一个专门的部门或团队，旨在监控、检测、响应和缓解组织的信息安全事件和威胁。传统的 SOC 以 SIEM（安全信息和事件管理）为核心，SIEM 从企业的几乎所有来源收集大量日志和数据并向安全人员发送警报，但未考虑数据的有效性，导致安全团队被许多无法分类或调查的警报淹没而忽略关键警报。此外，即使 SIEM 从诸多来源和传感器捕获数据，它仍然是一种发出警报的被动分析工具，无法跨多个端点自动协调对网络威胁的一致实时响应。在现代化的 SOC 架构下，企业需要具有 XDR （扩展检测与响应）系统，跨多个安全层收集并自动关联信息以实现快速威胁检测；需要具有攻击面管理工具，帮助组织识别恶意攻击者可以利用的所有可能入侵或渗透组织的路径、漏洞和弱点；需要具有 SOAR（安全编排自动化和响应）能力，提供自动化的技术和工具，减少需要企业安全人员手动操作的频率和人为操作出错的概率，提高安全运营效率。基于现代化的 SOC，安全人员能够大幅降低警报噪音、关联事件完整上下文，并通过自动化手段解决多数问题。IDC 预测，2027 年，SOC 面向的所有子市场总额将超过 500 亿美元，对应 2022-2027 年 CAGR 达 17.2%，其中现代化、集成化的 SOC 产品将在这一市场持续渗透。

竞争格局：Palo Alto 有望实现 SOC 的开支整合。我们认为，SOC 平台的竞争力一方面在于安全数据收集的全面性和实时性，另一方面在于流程自动化的完整性和正确性。而对于 Palo Alto 而言，全面、统一的平台工具集本身就能保障数据的丰富性，以及流程自动化的原生集成。从产品层面，公司通过 Cortex XDR 关联内部数据，通过 Cortex XPANSE 关联外部威胁情报和攻击面数据，通过 Cortex XSOAR 执行基于检测结果的自动化流程，覆盖 SOC 的全部环节。FY23Q1，公司推出高度集成的 SOC 平台 XSIAM，整合 XDR、XPANSE 和 XSOAR 所有功能，从规范化的丰富数据集出发，通过 AI 引擎生产高置信度的警报，并将警报分组成事件，为每个事件分配风险评分，按照优先级根据自动化规则解决大部分事件，只留下少数事件供安全团队解决。目前，公司 SOC 产品的经常性收入突破 10 亿美元，其中 XSIAM 在仅推出一年的时间内签约超过 2 亿美金，该产品销售 Pipeline 超过 10 亿美金，在 FY24Q1 单一季度新增 Pipeline 超过 5 亿美金。我们认为，丰富的产品集和数据集将为 Palo Alto 的 SOC 业务构筑强大的壁垒，而这一壁垒能够持续自我强化，公司有望在这一市场持续实现开支整合。

公司分析：产品&生态构筑核心壁垒，长期增长空间广阔

技术优势：持续开发新产品，多平台整合创造协同效应

从网络到云到端点，提供全面的网络安全解决方案。公司提供全面的安全产品，从硬件到软件端搭建新一代安全平台，涵盖网络安全、云安全与端点安全等。这些平台虽然作为独立的解决方案提供，但由于在相同的技术架构下开发，其间具有高度的集成性。例如，Cortex Data Lake 收集来自全系列产品的数据，为全面威胁分析提供数据基础。Cortex XDR 可以无缝集成来自防火墙、云和端点安全的数据，提供全面的威胁视图。在检测到跨平台威胁时，各平台可以实现自动化的响应协调，如果 Prisma Cloud 在云应用中检测到可疑活动，Cortex XDR 可以自动对关联的端点采取隔离措施，防火墙则自动阻断该威胁的网络通信。这种整合性意味着 PANW 能够提供一个更加全面、一体化的安全视角，从而提高整体安全架构的效率和效果。横向对比其他厂商，公司在产品全面性和集成强度方面具有优势。Checkpoint 专注于网络安全，如防火墙技术；Cisco 以 ASA、Firepower 等网络安全解决方案著称，但 Cisco Umbrella、AMP for Endpoints 等云和端点安全产品的集成性较弱； CrowdStrike 则更专注于端点安全。

下一代防火墙龙头地位稳固，高筑技术壁垒。公司的下一代防火墙（NGFW）融合了四项创新专利技术：App-ID、User-ID、Content-ID 和单通道并行处理架构，实现了应用、用户和内容的精确识别与控制，并通过硬件加速有效提高了处理效率，减少了系统延迟。防火墙内置了一系列高级威胁防护功能，包括 IPS、恶意软件防护、 URL 过滤、安全沙箱等，确保全面的网络安全防护。产品的部署方式包括物理、虚拟和容器，均采用统一的 PAN-OS 操作系统，保障了不同部署形式下的一致性和高效性能。Panorama 管理平台为所有部署提供了集中式网络安全管理，简化了安全策略的配置和管理。此外，Palo Alto Networks 持续围绕客户需求进行创新，比如从最初的网络防火墙到 2019 年推出 K2 系列 5G 防火墙，再到目前推出基于机器学习的下一代防火墙 PA-800。与其他厂商如 Cisco、Fortinet、Check Point 的传统多层处理架构相比，Palo Alto Networks 的单通道架构在减少处理延迟和提高效率方面显示出明显的优势。

下一代安全扩展业务边界，完善公司产品矩阵。公司在应对企业云迁移趋势中推出了全面的云原生安全平台 Prisma Cloud，覆盖应用的整个生命周期，从开发到部署和运行，功能涵盖云安全态势管理、云工作负载保护、云访问安全代理到远程浏览器隔离等。并针对云原生技术和服务进行了深度优化和集成。借助先进的 AI 技术，能从云风险在应用程序代码和构建阶段的起源，到运行时的表现进行追踪，为企业提供完整的安全图景，并对云资源进行实时监控和自动化响应。安全自动化领域， Cortex XSIAM 整合了 EDR、XDR、安全编排、SOAR 以及 ASM 等多种功能，形成了一个统一的安全运营平台。利用 AI 技术，Cortex XSIAM 自动执行数据集成、分析和分类，有效响应大部分安全警报。这种自动化能力使得安全分析人员能够将注意力集中在那些需要深入人工干预的复杂或关键事件上，从而显著提高了 SOC 团队的工作效率和整体安全响应的效能。这些领域的布局完善了从防火墙起家的 PANW 的产品矩阵，从而使其能够提供完整的安全保护。

销售渠道：渠道合作伙伴贡献主要收入，售后支持和市场营销提高品牌认知度

高质量的渠道合作伙伴生态系统。公司面向全球市场推出了 NextWave 渠道合作伙伴计划，首先将产品及订阅服务出售给分销商，分销商再销售给经销商，经销商再销售给终端客户。该计划专注于与具有强大安全专业背景的解决方案导向的分销商和经销商建立深入的关系，为他们提供销售激励、营销资金、技术和销售培训以及支持。截至 2023 年 7 月 31 日，公司拥有超过 7,100 个渠道合作伙伴，约有 150 个 1,000 万美元以上的战略伙伴共同推动销售活动。同时公司成立全球客户成功（GCS）组织，直接向渠道合作伙伴和最终客户提供专业、教育和支持服务。由于安全产品专业属性较强，合作伙伴渠道是公司合同收入的主要来源。截至 2022 财年，公司合作伙伴带来客户数达到 8270 名。2023 财年，公司总营收的 49.7%来自于对三家分销商的销售，销售费用达到 25.4 亿美元，同比增长 20%，占营收比重为36.9%。

捆绑销售策略。公司的捆绑销售策略帮助其在与 Cisco、Juniper 和 Check Point 等传统防火墙竞争对手的竞争中获得了市场份额，同时提高了与 CrowdStrike 和 Zscaler 等新一代云安全厂商竞争的胜率。在面对传统防火墙竞争对手时，公司能够提供丰富的选配订阅服务以及基于云的 NGS 产品线，构成差异化竞争优势；而在面对等新一代云安全厂商时，公司并不寻求与之在独立产品方面正面对抗，而是依托网络防火墙的客户基础实现交叉销售，并使用网络防火墙作为枢纽来整合安全产品。考虑到中大型企业客户整合安全开支的趋势，以及公司跨多个部署环境以及多条产品线的强大组合，我们认为其捆绑销售策略有望继续帮助公司赢得份额。

充分的售后支持和品牌建设。公司 GCS 向终端客户和渠道合作伙伴提供标准支持、高级支持和铂金支持，并聘请了经验丰富的支持工程师来提供服务。公司为终端客户提供硬件、软件和某些云产品的持续支持，包括持续的安全更新、PAN-OS 升级、错误修复和维修。授权支持中心的渠道合作伙伴通常提供一级和二级支持，位于全球各地的区域支持中心，提供全天候、每周七天的三级支持。针对有特殊或复杂需求的终端客户，公司提供 Focused Services，以定制化方式满足其独特的支持需求。在品牌建设方面，公司充分利用社交媒体、公司网站、合作伙伴门户、技术论坛等渠道，比如组织 Ignite、Cortex Symphony 和 SASE Converge 等年度论坛，为与客户和合作伙伴的互动提供了平台。此外，公司威胁研究团队还会定期发布如 Unit 42 云威胁和网络威胁趋势等报告，在丰富威胁情报的同时实现产品宣传目的。

客户资源：多样化与高价值的客户基础，为业绩的持续增长提供坚实保障

公司客户遍布全球多个行业，包括科技、金融服务、医疗保健、政府、教育、零售、制造业等，并同时服务大型企业与 SMB 客户。

不同规模的客户数量增长强劲。凭借优异的产品性能、丰富的产品模块及广泛的销售渠道，公司的客户数量持续快速增长，遍布 180 个国家，从 2017 年的 42,500 名增加到 2021 年的 85,000 名，复合增长率达 19%。PANW 针对不同规模的企业提供从基础到高端不同版本产品，并采取订阅制度平滑了用户现金流支出，为订阅客户数量的增加打下坚实基础。2022 年 ARR 超过 100 万美元的客户数量达到 1240 家， 3 年复合年增长率为 27%，FY24Q1 剩余履约义务达到 104 亿美元，同比增长 25%。

高价值客户关系。公司主要专注于为企业级客户提供服务，提供高度定制化的安全解决方案，能够满足各种规模和类型企业的特定需求。公司在网络安全领域的市场定位偏向高端，其产品和服务的质量、性能以及价格都反映出面向高价值客户群的策略。公司在下游客户中建立了良好的品牌和技术口碑，获得了众多行业知名客户的认可。截至 2023 年 11 月，《财富》10 强中全部公司、《财富》100 强中的 95 家、美国前 10 大银行中的 8 家，全球企业 2000 强中的 80%都采用了 PANW 的网络安全解决方案。2023 财年三季度公司 Top 200 客户的平均 LTV 为 6300 万美元，三年 CAGR 达到 30%，公司预计未来 Top 30 的大客户合计将贡献 100 亿美元的业务价值。

采用模块数量实现扩张，预计贡献更多价值。PANW 不断加强创新，推出新的模块与功能以应对新的威胁。同时三大平台相辅相成，共同在安全防护中发挥协同效应。基于以上原因，客户采用的模块数量实现了显著增长。公司客户中，同时采用 Strata, Prisma 和 Cortex 三大平台的比例稳步上升，Top100 客户中有 60%同时购买了三大平台的产品。网络安全中，新客户平均采购的附加服务数量从 FY2021 的 2.8 个增长至 FY 2023 年的 3.4 个，且公司预计到 FY2028 将超过 5 个。云安全中，5 个以上模块用户数高速增长，预计在 FY2028 年将超过 7000 名。得益于公司产品的卓越性能、高度集成的服务以及持续积累的大数据优势，一旦客户形成依赖，转向其他服务的难度增大，确保了客户的高度粘性，同时随着客户使用模块数量的增加，客户 ARPU 水平亦将得到持续提升。

未来成长性：立足现有资源，积极拓展产品和市场

NGS 成为增长的核心助力。根据公司 FY23Q4 财报电话会议上的相关表述，公司预计将在 FY2023-2026 实现 17%-19%的收入和 Billings 增长，其中 NGS ARR 预计在 2026 财年结束时达到 65 亿美元，占当年收入的 55%以上，这意味着 FY2023-2026 公司的 ARR CAGR 在 30%以上。此外，根据 IDC，公司 NGS 业务的 TAM 在 FY2026 将占到公司整体 TAM 的 50%以上，FY2023-2026 TAM 比 Strata 增长速度高出 2x。伴随着 NGS 业务的持续增长，公司整体收入结构中经常性收入占比将持续提升，而纯硬件收入占比将下降至 10%以下。

渗透现有客户。基于丰富的产品，公司不断进行 up-sell 和 cross-sell 渗透现有客户。公司目前为 80%的 Global 2000 客户提供服务，但只有 54%的客户使用三个平台，公司计划从横向和纵向来挖掘增长潜力。1）横向来看，跨平台的收入协同效应显著，采用三个平台的客户 ARPU 高达 410 万美元，几乎是采用两个平台客户 ARPU 的 10 倍、单平台客户 ARPU 的 50 倍。2）纵向来看，云安全积分消费随着跨多个模块的扩张而增长，使用 8 个模块的客户积分消费增速是 5 个模块客户的 2 倍，公司预计 FY2028 使用大于 5 个模块的客户将为现在的 18 倍。在 SOC 方面，公司预计当现有的 Cortex 客户迁移到 XSIAM 时，ARR 将扩展三倍。我们预计随时间推移，公司客户订阅模块数量将会继续保持增长趋势。

开拓海外市场。2023 财年，PANW 约 70%的收入来自美国市场，在海外市场方面仍存在较大的拓展空间。FY2023，公司来自于美国、EMEA 和 APAC 地区的收入增速分别为 24%、29%和 26%，海外地区的增速水平显著领先于美国本土。目前，公司在全球四十多个国家和地区设置本地办公室，依靠本土化团队运营当地业务。此外，公司在全球范围内拥有超过 7,100 个渠道合作伙伴，约有 150 个 1,000 万美元以上的战略伙伴共同推动全球各地的销售活动。

拓展新的产品模块。基于三大安全平台，公司能够交叉销售现有产品，并通过战略性并购迅速整合新模块，从而扩展其在市场细分领域的影响力。2019 年，公司收购 Demisto 和 Twistlock 分别加强了自动化和云安全功能；2020 年 4 月，公司收购 CloudGenix 增强网络和云安全；随后在 2022 年 12 月通过收购 Cider 获得 CI/CD 安全能力。目前，公司正将人工智能技术作为下一代安全解决方案的重点发展方向，计划收购 DIG Security，以扩展其云平台的代码安全能力，并计划加大对下一代防火墙、云安全与安全运营自动化的投入。IDC 预计 2023 年安全产品市场空间将达到 2190 亿美元，分为网络、端点、身份和数字信任等，每个细分市场都有多家规模较小的供应商。通过集成安全平台的优势，不断加入新功能强化整体产品生态，并在不同模块间创造协同效应，公司有望在更多市场占据领先地位。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）