Hát az iptables + Suricata többet tud imho, mint az iptables + Zorp. A Zorp kitünően enforceolja a http forgalomra a http forgalmat, de a Suricatanak pl nem portot adsz meg ,hanem azt, hogy http forgalom és arra ez meg ez vonatkozik. És még pár más dolog. A Suricata ezen felül elég sokat tud - pl a http forgalomból lementeni a futtatható állományokat stb. -, és konkrétan a policy enforcementre is jó. Ezen felül még szűr. A hagyományos sima protokoll szűrő tűzfalaknak vége. IMHO. Időpzarlás. A protokoll szűrő + ips/ids + alkalmazás kontrollos tűzfalaknak van értelme a mai környezetben.
Nem tudom mennyi időt töltöttél el céges környezetben, meg mennyit securityval, van persze akik dobozt vesznek, de itt nem a pipa szokott lenni szerencsés esetben a választás alapja. Egyébként nem csereszabatos, de a Suricata pl már tartalmazza a tűzfalnak a nem layer2-es szűrő részét.