5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

I think the major flaw right now with the License IP counting is the reboot.  Any firewall that needs to be rebooted in order to correct that type of problem is not an Enterprise level product IMHO.  Reboot time on astaro is pretty quick, but when filtering 155Mbs of INET from 3 providers, the slightest bit of downtime will make the phone ring like crazy.  I'd rather stick with the Frankensien PIX 520's we have now.

Yes, the D-LINK box doesnt have antivirus or antispam... I don't have antivirus on my ASL either coz it's too expensive !

Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !  Note it probably offers more than v3 ASL did at least.  As I said before I'm not jumping ship AT ALL, but trying to prove a point that ASL aint cheap.

[ QUOTE ]
Yes they don't compare well on features.  But the firewall side is probably as strong as ASL's and the price is a hell of a lot cheaper for what you get !

[/ QUOTE ]

A couple of thoughts here.  First of all, a key factor that many people accidently overlook is throughput.  The Astaro provides up to 750 Mbps of throughput, and most of the other devices fall way, way short:

Astaro Security Linux:  750 Mbps
Fortigate:  50 Mbps
Watchguard X500:  100 Mbps
Stonegate SG-500:  100 Mbps
Cisco PIX 501:  60 Mbps
Cisco 515E:  180 Mbps
Netscreen-25:  100 Mbps
Check Point:  150 Mbps
Sonicwall TZ170:  90 Mbps
Cyberguard SG300:  28 Mbps
Cyberguard 570/575:  140 Mbps

Note that those are all "rated" throughputs -- the products at their best.  When you turn on additional services (antivirus, antispam, IDS, etc), the throughput drops.  But wouldn't you rather have 750 Mbps at the top end?  

Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

There's always someone out there with a cheaper firewall.  Astaro, however, provides true enterprise-level, blow-the-doors-down performance, and features that should make the competition blush.  And they do this at a fraction of the cost of what most of the other enterprise-level vendors charge.

We don't sell ASL based on cost - we sell it based on value.  Most businesses have a lot to lose if their network is damaged by hackers or malicious code, and dropping in something that is "just" a firewall, albeit cheaper, is flirting with disaster.  And while it is true that someone could go out and buy a firewall device (at a lower throughput), and then add on other devices and services for antivirus, antispam, IDS, etc., the end result is an octopus of equipment and a training and maintenance nightmare.  With ASL, it's all in one easily manageable box.

-Steve

[ QUOTE ]
I think the major flaw right now with the License IP counting is the reboot. 

[/ QUOTE ]

I can't speak for Astaro directly of course, but the License IP counting is relatively new and to our knowledge is still being developed.  In fact, it isn't even fully implemented yet.  I would look for Astaro to address this issue soon.  Feel free to call our office (1-866-888-2898) and we'll keep you informed.

-Steve

Yes, ASL has very high throughput.

But:
Most countries outside of the USA and Europe don't require high throughput because there is no need.  (Our internet connections are so slow it becomes irrelevant).

My 2mbps fibre costs us over $1000 per month and that's more speed than most businesses have.  Most Australian businesses use ADSL 256/128 to connect because thats basically all there is.  (Yes yes there are other solutions but $$$$$)

Deep packet inspection aka SNORT is new in v5.  I'd be curious to know how many people have purchased an ASL IPS license.  (Again cost).

I'm just worried since Astaro seem to be targetting large organisations and neglecting smaller sites.

If I had the money I'd run out, buy a 100IP license, IDS, Virusscan, the works but alas...  I have to compromise and maximumise the protection per dollar factor...

Ok, here are my thoughts on the subject.

First, off, the IP counting in AstaroV5 is bugged. At least, it was bugged in v5.019 (I don't know for 5.021 yet). It will count licenses for IPs that do not exist on the network. I expect that to be fixes eventually but, today, it is causing quite a bit of trouble in our small installation.

Second, ASTARO IS an expensive solution for small offices. It might be very cost-effective in larger installations but for 50-100 user networks, it is not. The argument about thouroughtput simply doesn't mean anything: very, very few networks have a need for 750MB-capable firewall and we, without our two 2 megs line, do not need it. Same goes for IDS: I really love that functionality and, as a network security freak, I can see it's value but there is really no way I can convince my boss that this is worth the money because it's not. We've lived without dynamic firewalling so far and, browser issue put asside, I see no reason why we should need it or, at least, pay extra for this (it doesn't really lower the risks since the issues it mitigates, outdated or misconfigured software, must be fixed anyway by other means (managed updates, central configuration, global policies, etc).

The AV functionality should actually not be needed in most config as it is redundant. Since it's not free, I see no reason to use it. The spam filtering option is nice, but it could be replaced easily with cheaper and easier to maintain client or server-based solutions.

My conclusion is this: Astaro is really a great product. It has a tone of features and  it's relatively easy to use and manage (except the VPN and IPsec stuff that still need some work). It is, however, not competitive on small or medium network except if you absolutely need one of it's unique features, a rare case. We've bought it specially for that: because it allows a better control of a hosted server rack that can't be easily reached and managed and should have very strict usage policies.I've also deployed a temporary license here because of an emergency (I hate Novell) but we will probably pick another solution because of the cost.

and lets not forget the power user.

Whilst the head count in my house is low the box count is quite high. I have lots of boxes that do lots of things but if I activate them all over a period of time i will bust the IP count significantly. To cover this with the current licnesing i would have to buy a SME type license. No way I can do that as a home user.

Licensing per IP is a simple solution and I can fully understand why Astaro went for it but unfortunatley the excpetions to the rule (of which I am one) make it really inflexible.

A nice solution would be average IP count. WHist my max IP count which is sporadic and greater than the home license count my average would be much less.

Fullgan spoke my feelings entirely.  50-100IP's aint so cost effective.

Pentests idea of the license being based on average number of IP's is good, but it brings me back to my original question of how often will the IP count be reset?

Maybe lower end license counts could go a bit cheaper?  My main pricing objection is the IPS.  Content filtering / virus checking prices aint too bad.  Though as Fulgan states, antivirus is usually deployed throughout companies anyway already so ASL antivirus is basically icing on the cake for most people. 

Cobion surf protection is hell expensive and isnt too important IMHO anyway, I can easily live without it.

(For schools etc I can see it would be far more appropriate).

btw: Ver 5.021 IP counting appears to be working except in some portscan situations which seem related to ICMP filtering setup.  Unsure how this can be fixed.

Astaro DO NOT want valid licensed people suddenly getting locked out due to somone outside scanning and sucking up all the IP addresses...

[ QUOTE ]
Secondly, Astaro's firewall is a deep-packet inspection, application-level beast.  By comparison, much of what the competition has to offer (with a few exceptions) are plain-vanilla IP packet filters.  

[/ QUOTE ]

Ah, I must be missing something here: where is that application-level packet inspection taking place exactly ? Îf you're talking about the IDS, then no, this is not application-level packet inspection (at least, not in the firewall/access control sense).

 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.

If this feature exists, I'd be really happy to find out how to use it and, if possible, to write my own filters: with the generalization of the use of web services, it's getting harder and harder to know what you're exactly letting go through your firewall.

True.

We just bought Astaro v5 for our main offices, because the 700+ computers and 3 DMZs were much cheaper to protect with an unlimited Astaro than any other serious firewalls out there 

As for our little sites, we investigated the possibility of buying 50 or 100-user licences, but we prolly won't chose this as the functionality we need are quite few and the price isn't very friendly

As others said, Astaro is a great product - but plz improve the update service, it needs a reboot to often !

True.

We just bought Astaro v5 for our main offices, because the 700+ computers and 3 DMZs were much cheaper to protect with an unlimited Astaro than any other serious firewalls out there 

As for our little sites, we investigated the possibility of buying 50 or 100-user licences, but we prolly won't chose this as the functionality we need are quite few and the price isn't very friendly

As others said, Astaro is a great product - but plz improve the update service, it needs a reboot to often !