Astaro Vs. Cisco Opinions

Paul, I'm not familiar with "Zone-Based Access."  I found nothing when I googled: advantages of cisco "Zone Based Access"

If you have a minute, can you help me understand how that's anything other than a marketing term?  Specifically, how does it make rules easier to create than the way Astaro does packet filter and NAT rules?

Thanks - Bob

Conceptual Difference Between Cisco IOS Classic and Zone-Based Firewalls [Cisco IOS Firewall] - Cisco Systems

Thanks!  I think if I were to net out the difference, I'd say that, like WebAdmin, ZFW is an approach to configuration. The functionality can be duplicated in Astaro through the use of Groups.  

For example: If "Internal Zone" = [Internal (Network), VLAN1 (Network), VLAN2 (Network), etc], the following rule would allow them all access to eachother:

Internal Zone -> Any -> Internal Zone : Allow

Please correct any misunderstanding on my part.

Cheers - Bob

although ASA's have their limitations with what they can do (ie not being able to run routing protocols such as bgp in an active-active state) they do perform the following basic networking functions (im only going to state a few):

1. most importantly on a Cisco Security Appliance, each interface is its own separate interface. you'll find that on the astaro, you have your external interface and every other interface is treated as a switch port that sits on the same segment. THIS IS NOT SECURE.

2. security policies on an astaro are not bound to a particular interface. what this means is that traffic coming into the appliance is not blocked @ the interface. it's basically processed by the unit before the unit decides whether to allow or block it. as a security engineer, i dont wish to see unwanted traffic coming into my appliance.

3. translations and traffic processing: an ASA will require a translation between two interfaces. even if you are translating to the same IP, it still uses this as an added security feature. being able to see or to route from one interface to another unless explicitly denied is a security risk.

4. creating access lists through DNAT/SNAT. firstly address translations should never be mixed with access lists. not only does this create confusion but there is no justification as why you would have an access rule being processed by a translation rule. the astaro operates like this by allowing users to select the option "Automatic packet filter rule"

5. setting your interfaces duplex and speed settings. You are able to do this on a Cisco device. most decent hardware will allow you to change these settings. As a person from a networking background, it is good practice to have hardware connecting to each other configured with the same settings.

6. 802.1q trunking. It's an absolute joke that the astaro doesnt have this option. If i wish to run a trunk (and no, aggregating links is not vlan trunking) then i should be allowed to do so and there are quite good reasons for this (im not going to go into them now).


ill stop there, but what im trying to get @ is that the astaro is simply a linux box running a nice gui over the top. just because it's configured in this way doesnt make it a proper security appliance. you need to realise that Cisco is a networking company. it would design its hardware by conforming to certain rules. Astaro on the other hand is an open source software company, it is not a networking company.

cost should not be the only driving factor in making your business decision. yes cisco gear is overpriced but as part of the cost you pay for R&D as well as support.

1. That is not correct.  Each interface is separate unless you bridge one or more.  Without explicit packet filter rules, no traffic passes between them at all.

2. No, the traffic is blocked at the interface, as anyone who's been through the ACE course could tell you.

3. It's not clear to me what you're saying.  Given my response in 1, could you restate this?

4. You're confusing the configuration interface with the internal functionality.  Selecting 'Auto packet filter rules' is no different from creating your own rule(s).  Separate instructions are written in the proper chains.  No internal checks are bypassed.

5. On the 'Networks >> Interfaces' 'Advanced' tab, you can make this change from auto-negotiation if necessary.

6. Ah, but a rose by any other name still smells as sweet!  Astaro DOES do VLANs.

Please don't stop there.  As you study the Astaro, I think you'll find that it adheres to the same standards as Cisco.  I would like to understand how my comments in post #13 above might be corrected.

Cheers - Bob

cost should not be the only driving factor in making your business decision. yes cisco gear is overpriced but as part of the cost you pay for R&D as well as support.

I can't think of too much dollar for dollar Astaro lacks on Cisco.  You get R&D from a large community..some paid some not, and you get full commercial support from Astaro or a partner.  Cisco truly is overpriced simply because of the fact they have built their name up well.  The name however is not indicitive of overall value.

cost should not be the only driving factor in making your business decision. yes cisco gear is overpriced but as part of the cost you pay for R&D as well as support.

I am sorry, but Cisco support is overpriced. 

I am mostly a Cisco shop, with over 100 Cisco switches, 3 ASA 5520 clusters, dozens of Cisco 1200 series APs, and at least 40 routers.

I even have multiple PIX and ASA firewalls in my home lab collection, including ASA 5510, 5505, and a PIX 525, 515E and 506E (and three antique PIX 520). 

Guess what I run at home to protect my network? Sure isn't Cisco.

Guess what I use for the many dozen customer link VPNs I have? It sure isn't Cisco.

My ASA's are only there because the boss likes Cisco. But for the real work, I use Astaro.

bob,

i'll asnwer you on the following points:

1. although they might appear as separate interfaces, its not really the case. there are basically two separate ports on these devices.

3. spend some time with ASA or PIX and come back to me with an answer.

4. why on earth would you want to specify an access list through a DNAT? why wouldnt you keep your access lists separate from your NAT rules?

5. you'll need to show me where you can specify 100MbFDX as oppsosed to 10Mb/half or 1000Mb/Auto

6. being able to create a vlan is a far cry from 802.1q trunking.


also just to get off topic, whats the point in not supporting routing protocols such as RIP(v2) or BGP? especially BGP if you use these devices as your internet gateways where you have more than one upstream link?

as i said. these are pc's running linux with a nice gui. when comparing them to a proper firewall like your ASA, juniper, checkpoint or even fortigate make sure you're tying to compare apples with apples.

bob,

i'll asnwer you on the following points:

1. although they might appear as separate interfaces, its not really the case. there are basically two separate ports on these devices.

3. spend some time with ASA or PIX and come back to me with an answer.

4. why on earth would you want to specify an access list through a DNAT? why wouldnt you keep your access lists separate from your NAT rules?

5. you'll need to show me where you can specify 100MbFDX as oppsosed to 10Mb/half or 1000Mb/Auto

6. being able to create a vlan is a far cry from 802.1q trunking.


also just to get off topic, whats the point in not supporting routing protocols such as RIP(v2) or BGP? especially BGP if you use these devices as your internet gateways where you have more than one upstream link?

as i said. these are pc's running linux with a nice gui. when comparing them to a proper firewall like your ASA, juniper, checkpoint or even fortigate make sure you're tying to compare apples with apples.

1 - How are these any different that a 4 port NIC? They show as seperate interfaces to the kernel, because they are.

3 - Astaro has a default deny in place between interfaces, care to expand?

4 - Personal preferance whether you use auto packet filter rules or not. Makes it easier for some people. How is this relevant?

5 - See attached screenshot, from an ASG 220.

6 - Funny, I have an 802.1q trunk from my Cisco 3560 to my ASG. Then I use Vlan tags to define which vlan is which. How is that NOT 802.1q?

Do you not realize that ASA is running on a Linux kernel as well? And what do you think Checkpoint is? Last I checked it was on a BSD base.

Juniper and Fortigate are a niche.

1. I still think you're confused about the Astaro functionality.  Up until 2-to-3 years ago, all "Astaros" were installed on standard server/desktop/workstation hardware.  Separate cards and separate interfaces.

3. Pix is where I started back when we were a Cisco reseller (we dropped them because they, in effect, moved the business over to AT&T whenever we created a deal over $100K).  We replaced our Pix with Astaro in 2004.  I've replaced more than a couple of Pix boxes for customers, so I can still "read" them.  You may need to spend a little  more time with Astaros. [;)]

4. Well, if you have a whole bunch of NAT and packet filter rules, it really cleans the packet filter list up and simplifies editing related rules.  For the first 18 months after this capability was introduced, I also disdained it; today, even us old fuddy duddies would think you were being a Luddite to insist on always working on the rules in separate places.

5. That's exactly what I did in my previous post. Maybe a pic will help:


6. I think we may have a semantical disagreement.  I got my training at IBM in how to maintain account control by creating a language and terminology that made it difficult for customers to compare apples-to-apples with competitors. Still, there may be something I don't understand about 802.1q, so I'd appreciate knowing the fundamental technical difference you see compared to what Astaro does.

RipV2 was largely replaced by OSPF, which the Astaro does support.  I don't see the need for BGP either unless you're an AT&T, IBM or entity that runs its own gigantic IP-space.  Don't get me wrong, I think there are places where a big, honkin' ASA makes sense, and where the Cisco tools for managing large networks make it the only choice.  I also have met Cisco developers who had been researchers at MIT, so I know they have some very, very talented people.

Having said that, I think any company with under 10,000 employees that completey avoids Astaro for Cisco is spending way too much money on CCIEs and Cisco iron.

I still would like an analysis of any errors in my very first post, and you seem to be very knowledgable, so I had hoped you might address that.

Cheers - Bob