Вопрос пахнет троллингом. Что лучше — христианство или буддизм? не в обиду будет сказано, но исходя из вопроса, автор не имеет опыта работы ни с одним из вендоров, поэтому можно советовать что угодно, вплоть до PC с несколькими сетевухами.
Скажите, зачем именно фаерволлы? У Вас каналы Интернет в филиалах больше 10 мб/с? Вы планируете использовать IPS/IDS? У Вас будет выделенная DMZ для серверов? У Вас филиалов меньше 5? Если на половину вопросов ответ «нет», то берите маршрутизатор (я работаю с Cisco, поэтому рекомендую ее :)- )
Исходя из каких соображений Вам была предложена 3560? Почему не WS-C3750G-24TS, которая, ИМХО, круче в качестве «ядра» для небольшой конторы?
Если в филиалах не более 20 человек, берите одну Cisco 861 (K9), если более — Cisco 1921. Поднимите на ней и ACL для защиты от Интернета и DMVPN в ЦО. Поднимите на ней OSPF с ЦО.
В ЦО как однорукий роутер поставьте Cisco 2921, на ядро сети 3750, в качестве внешнего брандмауэра — Cisco ASA 5505 и живите счастливо — будет красиво и удобно.
Вот таблица производительности по IPSec —
anticisco.ru/pubs/ISR_G2_Perfomance.pdf