Astaro Vs. Cisco Opinions

Thanks!  I think if I were to net out the difference, I'd say that, like WebAdmin, ZFW is an approach to configuration. The functionality can be duplicated in Astaro through the use of Groups.  

For example: If "Internal Zone" = [Internal (Network), VLAN1 (Network), VLAN2 (Network), etc], the following rule would allow them all access to eachother:

Internal Zone -> Any -> Internal Zone : Allow

Please correct any misunderstanding on my part.

Cheers - Bob

although ASA's have their limitations with what they can do (ie not being able to run routing protocols such as bgp in an active-active state) they do perform the following basic networking functions (im only going to state a few):

1. most importantly on a Cisco Security Appliance, each interface is its own separate interface. you'll find that on the astaro, you have your external interface and every other interface is treated as a switch port that sits on the same segment. THIS IS NOT SECURE.

2. security policies on an astaro are not bound to a particular interface. what this means is that traffic coming into the appliance is not blocked @ the interface. it's basically processed by the unit before the unit decides whether to allow or block it. as a security engineer, i dont wish to see unwanted traffic coming into my appliance.

3. translations and traffic processing: an ASA will require a translation between two interfaces. even if you are translating to the same IP, it still uses this as an added security feature. being able to see or to route from one interface to another unless explicitly denied is a security risk.

4. creating access lists through DNAT/SNAT. firstly address translations should never be mixed with access lists. not only does this create confusion but there is no justification as why you would have an access rule being processed by a translation rule. the astaro operates like this by allowing users to select the option "Automatic packet filter rule"

5. setting your interfaces duplex and speed settings. You are able to do this on a Cisco device. most decent hardware will allow you to change these settings. As a person from a networking background, it is good practice to have hardware connecting to each other configured with the same settings.

6. 802.1q trunking. It's an absolute joke that the astaro doesnt have this option. If i wish to run a trunk (and no, aggregating links is not vlan trunking) then i should be allowed to do so and there are quite good reasons for this (im not going to go into them now).


ill stop there, but what im trying to get @ is that the astaro is simply a linux box running a nice gui over the top. just because it's configured in this way doesnt make it a proper security appliance. you need to realise that Cisco is a networking company. it would design its hardware by conforming to certain rules. Astaro on the other hand is an open source software company, it is not a networking company.

although ASA's have their limitations with what they can do (ie not being able to run routing protocols such as bgp in an active-active state) they do perform the following basic networking functions (im only going to state a few):

1. most importantly on a Cisco Security Appliance, each interface is its own separate interface. you'll find that on the astaro, you have your external interface and every other interface is treated as a switch port that sits on the same segment. THIS IS NOT SECURE.

2. security policies on an astaro are not bound to a particular interface. what this means is that traffic coming into the appliance is not blocked @ the interface. it's basically processed by the unit before the unit decides whether to allow or block it. as a security engineer, i dont wish to see unwanted traffic coming into my appliance.

3. translations and traffic processing: an ASA will require a translation between two interfaces. even if you are translating to the same IP, it still uses this as an added security feature. being able to see or to route from one interface to another unless explicitly denied is a security risk.

4. creating access lists through DNAT/SNAT. firstly address translations should never be mixed with access lists. not only does this create confusion but there is no justification as why you would have an access rule being processed by a translation rule. the astaro operates like this by allowing users to select the option "Automatic packet filter rule"

5. setting your interfaces duplex and speed settings. You are able to do this on a Cisco device. most decent hardware will allow you to change these settings. As a person from a networking background, it is good practice to have hardware connecting to each other configured with the same settings.

6. 802.1q trunking. It's an absolute joke that the astaro doesnt have this option. If i wish to run a trunk (and no, aggregating links is not vlan trunking) then i should be allowed to do so and there are quite good reasons for this (im not going to go into them now).


ill stop there, but what im trying to get @ is that the astaro is simply a linux box running a nice gui over the top. just because it's configured in this way doesnt make it a proper security appliance. you need to realise that Cisco is a networking company. it would design its hardware by conforming to certain rules. Astaro on the other hand is an open source software company, it is not a networking company.