Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 3 subscribers
  • Views 6466 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Vs. Cisco Opinions

Drew.McIntire
The medical office I work for is massively overhauling their network in preparation for EMR. A security appliance will be purchased but nothing specific has been chosen yet. I have limited experience with Astaro and None with the Cisco PIX. I have heard other members of the team mention the PIX in passing so it is a possibility. I would like to lobby for the Astaro Security Gateway but I have no good way to compare. Does anyone one here have any insight to the differences in price and ease of use between Gateway and PIX? From my limited research I feel like Astaro is a more complete solution, but just saying that without something to back it up isn't terribly convincing. The office I work for is a max of 30 users and security is of great concern now that the majority of our data will be electronic. Any info would be greatly appreciated.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to paokg4
    cost should not be the only driving factor in making your business decision. yes cisco gear is overpriced but as part of the cost you pay for R&D as well as support.

    I can't think of too much dollar for dollar Astaro lacks on Cisco.  You get R&D from a large community..some paid some not, and you get full commercial support from Astaro or a partner.  Cisco truly is overpriced simply because of the fact they have built their name up well.  The name however is not indicitive of overall value.
  • 0 in reply to paokg4
    cost should not be the only driving factor in making your business decision. yes cisco gear is overpriced but as part of the cost you pay for R&D as well as support.


    I am sorry, but Cisco support is overpriced. 

    I am mostly a Cisco shop, with over 100 Cisco switches, 3 ASA 5520 clusters, dozens of Cisco 1200 series APs, and at least 40 routers.

    I even have multiple PIX and ASA firewalls in my home lab collection, including ASA 5510, 5505, and a PIX 525, 515E and 506E (and three antique PIX 520). 

    Guess what I run at home to protect my network? Sure isn't Cisco.

    Guess what I use for the many dozen customer link VPNs I have? It sure isn't Cisco.

    My ASA's are only there because the boss likes Cisco. But for the real work, I use Astaro.
  • 0 in reply to William Warren
    bob,

    i'll asnwer you on the following points:

    1. although they might appear as separate interfaces, its not really the case. there are basically two separate ports on these devices.

    3. spend some time with ASA or PIX and come back to me with an answer.

    4. why on earth would you want to specify an access list through a DNAT? why wouldnt you keep your access lists separate from your NAT rules?

    5. you'll need to show me where you can specify 100MbFDX as oppsosed to 10Mb/half or 1000Mb/Auto

    6. being able to create a vlan is a far cry from 802.1q trunking.


    also just to get off topic, whats the point in not supporting routing protocols such as RIP(v2) or BGP? especially BGP if you use these devices as your internet gateways where you have more than one upstream link?

    as i said. these are pc's running linux with a nice gui. when comparing them to a proper firewall like your ASA, juniper, checkpoint or even fortigate make sure you're tying to compare apples with apples.
  • 0 in reply to paokg4
    bob,

    i'll asnwer you on the following points:

    1. although they might appear as separate interfaces, its not really the case. there are basically two separate ports on these devices.

    3. spend some time with ASA or PIX and come back to me with an answer.

    4. why on earth would you want to specify an access list through a DNAT? why wouldnt you keep your access lists separate from your NAT rules?

    5. you'll need to show me where you can specify 100MbFDX as oppsosed to 10Mb/half or 1000Mb/Auto

    6. being able to create a vlan is a far cry from 802.1q trunking.


    also just to get off topic, whats the point in not supporting routing protocols such as RIP(v2) or BGP? especially BGP if you use these devices as your internet gateways where you have more than one upstream link?

    as i said. these are pc's running linux with a nice gui. when comparing them to a proper firewall like your ASA, juniper, checkpoint or even fortigate make sure you're tying to compare apples with apples.


    1 - How are these any different that a 4 port NIC? They show as seperate interfaces to the kernel, because they are.

    3 - Astaro has a default deny in place between interfaces, care to expand?

    4 - Personal preferance whether you use auto packet filter rules or not. Makes it easier for some people. How is this relevant?

    5 - See attached screenshot, from an ASG 220.

    6 - Funny, I have an 802.1q trunk from my Cisco 3560 to my ASG. Then I use Vlan tags to define which vlan is which. How is that NOT 802.1q?

    Do you not realize that ASA is running on a Linux kernel as well? And what do you think Checkpoint is? Last I checked it was on a BSD base.

    Juniper and Fortigate are a niche.
  • 0 in reply to paokg4
    1. I still think you're confused about the Astaro functionality.  Up until 2-to-3 years ago, all "Astaros" were installed on standard server/desktop/workstation hardware.  Separate cards and separate interfaces.

    3. Pix is where I started back when we were a Cisco reseller (we dropped them because they, in effect, moved the business over to AT&T whenever we created a deal over $100K).  We replaced our Pix with Astaro in 2004.  I've replaced more than a couple of Pix boxes for customers, so I can still "read" them.  You may need to spend a little  more time with Astaros. [;)]

    4. Well, if you have a whole bunch of NAT and packet filter rules, it really cleans the packet filter list up and simplifies editing related rules.  For the first 18 months after this capability was introduced, I also disdained it; today, even us old fuddy duddies would think you were being a Luddite to insist on always working on the rules in separate places.

    5. That's exactly what I did in my previous post. Maybe a pic will help:


    6. I think we may have a semantical disagreement.  I got my training at IBM in how to maintain account control by creating a language and terminology that made it difficult for customers to compare apples-to-apples with competitors. Still, there may be something I don't understand about 802.1q, so I'd appreciate knowing the fundamental technical difference you see compared to what Astaro does.

    RipV2 was largely replaced by OSPF, which the Astaro does support.  I don't see the need for BGP either unless you're an AT&T, IBM or entity that runs its own gigantic IP-space.  Don't get me wrong, I think there are places where a big, honkin' ASA makes sense, and where the Cisco tools for managing large networks make it the only choice.  I also have met Cisco developers who had been researchers at MIT, so I know they have some very, very talented people.

    Having said that, I think any company with under 10,000 employees that completey avoids Astaro for Cisco is spending way too much money on CCIEs and Cisco iron.

    I still would like an analysis of any errors in my very first post, and you seem to be very knowledgable, so I had hoped you might address that.

    Cheers - Bob