Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 2152 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IMO: What Astaro needs to become an Enterprise firewall

yoda715
To whom it may concern,

I am Information Security Engineer and I work with Cisco, Watchguard, and Sonicwall firewalls everyday. I am very experienced in the requirements a firewall must have in order to survive the Enterprise environment. Compared to the other guys, Astaro has many great features, but it also has many short comings. I feel I need to share my opinions and experiences so that Astaro can become an even better firewall. I apologize ahead of time if I list a feature that may already exist/be planned. This post is in no way a list of negatives about Astaro, but rather should be viewed as a list of recommendations to improve Astaro. That being said, here are the items that I think must be implemented to increase Astaro competitiveness:

- Improvements for GAV/IPS:

- need to be able to whitelist IPs on individual rules
- need to be able to modify actions of individual rules easier
- need to be able to add/write custom signatures



- Time Schedules needs to support grouped time ranges. I.E. multiple times in one definition.

- Need access to more advanced settings for firewall, TCP timeout, UDP timeouts, etc

- Need to be able to spoof MAC addresses on interfaces

- Need to be able to specify SMTP server for notification emails

- Need RIP dynamic routing support. I know it's an old protocol, but it's still widely used

- Need to be able to adjust advanced http proxy settings. Cache object size limit, cache speed, etc

- GUI for packet capture, with download into pcap format.

- Wake on LAN packet generator

- Network definitions details should be shown upon mouse over in every possible location. I.E. Network Security > Packet Filter, NAT, are currently not displaying network definitions popup.

- Remote Access VPNs (SSL, IPSec, etc) need to be able to enable/disable split tunneling

- Astaro Command Center needs major improvements

- need to be able to make the same changes in ACC as in the firewall. A user needs to be able to create a firewall change, and be able to push that to all/selected firewalls. If I need to write a rule to block traffic from a certain IP, I don't want to have to write the rule 400 times if I have 400 firewalls.
- needs to maintain a local copy of the remote firewall configs.



- Site to Site IPSec 'keep alive' option needs to be configurable, not always turned on as is the case now.

Additional entry after original post:

- Ability to allow traffic to any Address EXCEPT a defined definition(s). Often referred to as 'Not' operators.


Other user suggestions that I agree with:
- generate a complete fw config report (pdf ?) for auditing/documentation/revision


When all of these changes are implemented I would be confident in stating that Astaro will easily compete with any of the major firewall vendors. As I stated before Astaro is a great product, and can become even greater if the changes mentioned above are implemented and implemented well. 

If anyone has any comments feel free to say what you think [:)].

Best Regards,
Astaro user


This thread was automatically locked due to age.
  • 0
    I agree that those are good ideas.. but for one. I disagree on them spending time on implimenting RIP.

    There are much better protocols than RIP out there, such as EIGRP, OSPF, BGP. RIP is antiquated.
  • 0 in reply to ReD-MaN
    Most of these could be (relatively, the functionality already exists in the backend products for most of your requests) easily accomplished; I do agree with the previous poster that RIP is not a big issue, as most folks have migrated to OSPF.  Also, they are no longer using Squid in the current version, they are using a custom-written HTTP Proxy, but yes, access to some advanced settings for it could come in handy.

    I definitely agree with you on what ACC should become (remember, it's a fairly new product, and I'm sure they plan to add on functionality) ... central management is a must in larger environments.
  • 0
    - generate a complete fw config report (pdf ?) for auditing/documentation/revision
  • 0 in reply to ReD-MaN
    I agree that those are good ideas.. but for one. I disagree on them spending time on implimenting RIP.

    There are much better protocols than RIP out there, such as EIGRP, OSPF, BGP. RIP is antiquated.


    I totally agree. But the reality is that RIP is still widely used and needs to be supported. Take for example AT&T. They still use RIP, along with the other protocols as well.

    - generate a complete fw config report (pdf ?) for auditing/documentation/revision

    That would be nice as well. Auditors love to be able to read a report (not log into firewall and find themselves) of the status of the firewall. I'll insert your recommendation into my list [:)].
  • 0

    - Wake on LAN packet generator


    I'm pretty certain this is still available on the console/ssh shell.

    Barry
  • 0 in reply to ClausP
    - generate a complete fw config report (pdf ?) for auditing/documentation/revision


    I would pay good money for this tool

    Gregor Kemter
  • 0 in reply to gkemter
    I would pay good money for this tool

    Gregor Kemter


    Me as well!! Manually documenting 9 firewall configs, each with up to 80 packet filter rules and 25 NAT entries, can take a very long time.
  • 0 in reply to ReD-MaN
    You lost me when you started out and included WatchGuard and Sonicwall on the list of 'enterprise' level firewalls. Cisco is understandable. 

    Agreed on the config doc, though.
  • 0
    - ICAP Interface (RFC 3507) / many enterprise customer use webwasher and/or symantec etc.
  • 0 in reply to ClausP
    I have criticized Astaro's memory configuration multiple times..even come up with ways to improve it before they decided to switch to a proprietary proxy. IMO they should put out two editions of ASL. One optimized for the low end asg 1 and 2 x systems and one for everything else to allow the Linux kernel they use to properly use memory for caching and other memory enhancements. 

    I like the Astaro product but some of the compromises they are making are hurting the product. Honestly they should take out their shoehorn tweaks and ship everything with 1 gigabyte at the absolute minimum.

    If they don't want to do that I would dump the ASG 1x line. they really are seriously underpowered even for a basic ASG and they curl up on the floor and quiver if you really start using the whole suite.