Buying Decision: Astaro vs Fortigate Throughput

fortiget Superior?  hardly.  Fortigate's numbers aren't anything approaching reality.  Astaro at least Attempts to get close but they aren't either.  That's unfortunately how marketing goes.  Throw the numbers out and fire them up side by side.  I've seen 220's in areas where an equivalent fortigate just falls over.  That supposed ASIC version?  That's just a cutesy way of saying it's a custom cpu running a stripped down OS.  they pull everything from the cloud..there's no onboard anything in terms of storage or whatnot.  I don't go buy claimed numbers for anyone..i go buy experience...and i can tlel you most of the time(nothing is perfect) a fortigate cannot keep up with an equivalent Astaro.  The gulf gets wider if you go with the ASG software where you sue your own hardware...then the costs drop through the floor and your performance is practically unlimited.

That supposed ASIC version?  That's just a cutesy way of saying it's a custom cpu running a stripped down OS.  they pull everything from the cloud..there's no onboard anything in terms of storage or whatnot.

Re: ASIC vs CPU:  You clearly do not understand the difference between an ASIC and a CPU.  CPU's are general purpose, their transistors are masked in such a way that they can be made to do many things at an acceptable speed, since all their transistors are divided up to cater for many tasks.  A CPU is a jack of all trades but master of none.

An ASIC on the other hand is Application Specific, thus Application Specific Integrated Circuit.  An ASIC's transistors are masked in such a way that it does one or a few things extremely fast, since all transistors are dedicated to one or a few specific tasks.  An ASIC is not a jack of all trades, but most certainly by far is a master of one or a few.

A 3D accelerator GPU chipset is an example of where ASIC's can be used to accelerate specific tasks to an extreme degree.

Some FortiGate's do contain ASIC's in the form of encryption and compression accelerators for VPN and WAN acceleration, also with ASIC's which perform basic packet filtering at incredible speed (offloading the task from the main CPU) and also with ASIC regular expression engines for super fast anti-virus and IPS pattern matching.

For one example, to see how impressive the FortiGates packet filtering ASIC's can be, note the FortiGates quoted speeds for their ASIC based models are the same regardless of packet sizes between 1,500 bytes, 512 bytes or 64 bytes.  With a software firewall running on a general purpose CPU, the performance drops as packet sizes get smaller and more frequent, which is why Packets Per Second tends to be a more meaningful measure of the speed of a packet filter than bytes per second.

ASIC based FortiGate's are insanely fast, but if you enable something which cannot avoid a high amount of CPU intervention, then like any firewall performance will drop.  The beauty of the ASIC based FortiGates is that there is typically far less need for the CPU to intervene, due to the various ASIC's taking the load in the areas that they specifically excel in.

Re: pulling everything from the cloud and having no onboard storage:  this is just completely wrong.  The FortiGate's download AV and IPS signature updates and FortiGuard info like blacklists, etc periodically like any vendors product would, but DOES store these along with base databases for each within their units.  The firmware images contain base images of this data for example.  FortiGates have enough flash based storage for this task and some can be upgraded with SSD's, so the claim that they "pull everything from the cloud" due to not having storage is just silly.

BTW, I'm not an employee, nor do I own stock, I am however a very happy FortiNet admin of the last 4 years or so.  I have not tried Astaro, so I cannot comment on them comparatively against FortiGates.

But what I do know, is that when I tested 310B's against Juniper SSG-550's and some Checkpoint appliance, I found that I could show the 310B in some respects to exceed FortiNet's claims, in other respects my testing gear was the limiting factor (FortiGate 310B's never dropped below no-firewall baseline).  And I pushed these firewalls hard enough to find the fail-open/fail-closed scenarios for AV for example.  I could easily kill the Junipers SSG's and the Checkpoint, but could only cause AV fail-open on the FortiGate 310B (configurable to fail-closed).

ASIC based FortiGates are really fast and not in any way "cutesy custom CPU's".

That supposed ASIC version?  That's just a cutesy way of saying it's a custom cpu running a stripped down OS.  they pull everything from the cloud..there's no onboard anything in terms of storage or whatnot.

Re: ASIC vs CPU:  You clearly do not understand the difference between an ASIC and a CPU.  CPU's are general purpose, their transistors are masked in such a way that they can be made to do many things at an acceptable speed, since all their transistors are divided up to cater for many tasks.  A CPU is a jack of all trades but master of none.

An ASIC on the other hand is Application Specific, thus Application Specific Integrated Circuit.  An ASIC's transistors are masked in such a way that it does one or a few things extremely fast, since all transistors are dedicated to one or a few specific tasks.  An ASIC is not a jack of all trades, but most certainly by far is a master of one or a few.

A 3D accelerator GPU chipset is an example of where ASIC's can be used to accelerate specific tasks to an extreme degree.

Some FortiGate's do contain ASIC's in the form of encryption and compression accelerators for VPN and WAN acceleration, also with ASIC's which perform basic packet filtering at incredible speed (offloading the task from the main CPU) and also with ASIC regular expression engines for super fast anti-virus and IPS pattern matching.

For one example, to see how impressive the FortiGates packet filtering ASIC's can be, note the FortiGates quoted speeds for their ASIC based models are the same regardless of packet sizes between 1,500 bytes, 512 bytes or 64 bytes.  With a software firewall running on a general purpose CPU, the performance drops as packet sizes get smaller and more frequent, which is why Packets Per Second tends to be a more meaningful measure of the speed of a packet filter than bytes per second.

ASIC based FortiGate's are insanely fast, but if you enable something which cannot avoid a high amount of CPU intervention, then like any firewall performance will drop.  The beauty of the ASIC based FortiGates is that there is typically far less need for the CPU to intervene, due to the various ASIC's taking the load in the areas that they specifically excel in.

Re: pulling everything from the cloud and having no onboard storage:  this is just completely wrong.  The FortiGate's download AV and IPS signature updates and FortiGuard info like blacklists, etc periodically like any vendors product would, but DOES store these along with base databases for each within their units.  The firmware images contain base images of this data for example.  FortiGates have enough flash based storage for this task and some can be upgraded with SSD's, so the claim that they "pull everything from the cloud" due to not having storage is just silly.

BTW, I'm not an employee, nor do I own stock, I am however a very happy FortiNet admin of the last 4 years or so.  I have not tried Astaro, so I cannot comment on them comparatively against FortiGates.

But what I do know, is that when I tested 310B's against Juniper SSG-550's and some Checkpoint appliance, I found that I could show the 310B in some respects to exceed FortiNet's claims, in other respects my testing gear was the limiting factor (FortiGate 310B's never dropped below no-firewall baseline).  And I pushed these firewalls hard enough to find the fail-open/fail-closed scenarios for AV for example.  I could easily kill the Junipers SSG's and the Checkpoint, but could only cause AV fail-open on the FortiGate 310B (configurable to fail-closed).

ASIC based FortiGates are really fast and not in any way "cutesy custom CPU's".