Astaro Vs. Cisco Opinions

Well, PIX is gone, you would have to look at the ASA line of products. 

I use both at work, and can tell you the Astaro is a lot more user friendly, and is also cheaper on the budget.

I have multiple ASA 5520 and ASA 5510 firewalls I manage, as well as multiple ASG 220 firewalls.

If I had to choose today, I would stay with the Astaro product. I think there is a comparison somewhere, let me see if I can find it.

Here is one: Astaro Competitive Overview - All-in-One Unified Threat Management Solutions for Complete Network Security, Web Security and Mail Security

Im an IT mgr for a ford dealership, got a quote on an asa5510. Their filtering subscription is like $6000/yr. I told them hell no. Cisco is nothing but overpriced even on their appliance which was around $7k. We lease a sonicwall thru TWC, and its ok, but i like the astaro better, and will probably go with that.

Im looking at these things for the firewall, but more so the content filtering so I can eliminate employees wasting time. Astaro seems to have a good system when it comes to reporting

We sold PIX for a long time, but when they moved to ASA, it was too expensive for us to justify for smaller clients. 

Nice thing about Astaro - it's the same software whether you've got 10 or 25,000 machines. It can do an incredible amount of stuff in the same box (we typically sell appliances). The management is via web browser, and I can teach just about anyone to manage users, or troubleshoot problems with VPN, etc. 

Other thing was the features around automated backups and restores. Automated backups? Hey, you love that kind of stuff when things blow up and no one has a backup! And restores? I can have a trained monkey put a backup file on a USB device and reboot the firewall to restore. 

I don't really think there's much of a comparison anymore. 

Jon Johnston

I have experience in PIX/ASA too and IMHO I think you are trying to compare apples to oranges.

Both Astaro and ASA have their strong points and weak points, but they both solve different solutions for different markets.  Trying to make an ASA into a UTM device is not cheap or easy, especially since the OP says he has no experience of PIX/ASA.

If you wanted a packet filtering firewall that participated at the core of an enterprise sized network (including VoIP/unified comms with VPNs thrown into the mix) that can do wirespeed routing etc, then I'd get an ASA every time, but if you want more exotic services, such as AV, proxy, content filtering, mail handling etc, then I would recommend Astaro without hesitation.

Regards,
Stuart

Stu has a great point, we currently use PIX/ASA for all of our enterprise level ingress/egress points. But we are working with WAN connections on the level of Gig Ethernet and OC48 ATM's with Unified communications and CiscoAnyconnect VPN, not to mention the B2B VPN's we also have thrown in the mix. 

The last company I was working for didn't have millions to throw at their infrastructure and really needed one device to handle all packet and content filtering, QOS and VPN. We deployed ASTARO appliances above all else for our offices as it was the perfect solution for small to medium size offices. We weren't terminating multiple circuits nor transporting VOIP across the WAN. ( none of our WAN circuits exceeded DS3 )

As far as a a GUI interface goes, the ASA does offer the ASDM, which is accessible via  a JAVA download if enabled. It will also support the SSL-VPN vie CiscoAnyconnect which is downloadable aswell via HTTPS.

I am still a strong supporter of the Astaro line of appliances and use one today for my home network. It is a great platform and has a specific niche that Cisco just cant touch with one device nor the price.

One sales feature I've always found extremely well received by our market is exactly one of your points Jon; We have always had a strong belief that every feature should be available on every box. We know how annoying it can be to have to buy the "next model up" just to get the one function you really need to solve a problem you are looking at the product for!

As such, customers do tend to love that no matter what box they buy, they can access all our feature offerings, and the GUI/experience is the same whether the box is managing a network of 10 or 10,000+ . Where other products have different "versions" like pro/enterprise/business etc..that add features and change the user interface, we deliver a single platform - one thing to learn, one thing to use, and one thing to teach others, which can be a great advantage vs. the competition. This is especially true for users of the home user version who then buy it for work and don't have to learn a whole new environment again; they can take what they know and instantly apply it to a business setting!

With many products in this space within say 10% of each other functionality-wise, a large influence in the buying decision can be made with a strong GUI, and little tweaks made with the user in mind (like our objects definitions, changing one which instantly updates all the rules, a tooltip showing where it is in use etc..) and this type of thing isn't so much a single differentiator or an advantage, it's a company attitude towards being tuned-in to the users of the product and what they demand.

Cheers,

It will also support the SSL-VPN vie CiscoAnyconnect which is downloadable aswell via HTTPS.

Just to clarify something to the non-Cisco people here... the SSL VPN comes in two flavours - the clientless version (also known as Cisco Secure Desktop) which is pretty expensive, and the AnyConnect SSL VPN.  Secure Desktop allows you to secure insecure web apps by acting as a reverse proxy.  On Windows machines it also gives you a second desktop for the secure environment that allows you to restrict what your users can do (hence the price).

Until recently, you had to purchase the SSL VPN license that gave you the Secure Desktop functionality too, but you can now get something called AnyConnect Essentials that costs something like $100USD to add to a standard ASA5510 that means it can do either IPSec or SSL VPN in total up to the hardware maximum.  Beware that you need a memory upgrade on 5510 and 5520 devices to use AnyConnect essentials though.

Regards,
Stuart

We utilize both the Cisco ASA5540 and the ASTARO.
The ASA provides Zone Based Access (DMZ, LAN) all all the appropriate rules for inbound or outbound traffic.
The Astaro provides web filtering/content filtering from all internal traffic through the ASA as well the Astaro takes care of the e-mail filtering once it gets past the ASA but before it hits the mail server. We found this was the best solution as the ASA has strong points but not as intuitive when it comes to reporting.
The Astaro provides great reporting as well as very user friendly which allows our Tier 1 support to handle the day to day admin.

Paul, I'm not familiar with "Zone-Based Access."  I found nothing when I googled: advantages of cisco "Zone Based Access"

If you have a minute, can you help me understand how that's anything other than a marketing term?  Specifically, how does it make rules easier to create than the way Astaro does packet filter and NAT rules?

Thanks - Bob