Buying Decision: Astaro vs Fortigate Throughput

Hi Nirmal,

I want to procure an hardware appliance for my office of 100 users. And there is a battle happening between Astaro and Fortigate specifications.

We are comparing Astaro 220 with Fortigate 300C (for similar pricing) and could see that Fortigate has 8 Gbps of firewall throughput while Astaro displays 3 Gbps. What does this mean?

The FortiGate 300C uses application specific silicon in various locations in order to accelerate specific network security tasks.  If the 300C is like the 310B, network interfaces 1-8 are ASIC accelerated, meaning that the NIC chipsets for those ports perform basic packet filtering at wire speed.  Meaning ports 1-8 can filter at full gigabit saturation even for 64 byte packets, all simultaneously and without incurring any performance impact to the rest of the system.

On the 310B ports 9 and 10 just use regular Intel Gigabit chipsets, so I use them for the redundant HA traffic between units.

There is a quirk to the FortiASIC Network Processors on the 310B and others I've seen, in that seperate ASIC's are used per 4 ports.  In other words, an ASIC is used for ports 1-4 and another for ports 5-8.  An example consequence of this, similar to some Cisco limitations, is that you cannot aggregate ports between ASIC's.  You couldn't bond ports 1 and 5 with ASIC acceleration enabled for example.  This has never been an issue for us, but it's something you may need to design around.  If you want to bond more than 4 gigabit ports together, then maybe look elsewhere.


When I tested the 310B, I pushed more than 7Gbit/S through it, with a mix of packet generation of varying degrees of malice and also a mix of HTTP and FTP traffic scripted to retain a configurable amount of concurrent connections each.  With these scripts I could push the anti-virus scanners of each vendor to a failure state due to memory exhaustion, where some would stop further transfers (Juniper SSG-550 from memory would fail-closed) and another would allow traffic through without scanning (FortiGate 800F - fail-open default, can be set to fail-closed).

I did not have specialist testing gear to use against it though, just Dell desktops using the Linux Kernel packet generator (pktgen), hping and scripted wgets, etc.  The limiting factor was my test setup, as I could see no drop from baseline with the 310B.

But, will you actually need this much brute force packet filtering performance for your needs? Do you have untrusted gigabit connected networks?  Given that your Internet connection is 60Mbit I guess this depends if you have a DMZ and how likely hosts within it are to be used against your internal network.

For us, this was mostly a bonus, given that the FortiGate 310B was the cheapest unit we tested at the time.

Also Fortigate exhibits 2 Million concurrent connections while Astaro does 300,000 connections. How does this affect our operations?

We are a group of 100 users, 60 Mbps WAN uplink, a web server hosted in-house, most of the users making Skype voice calls, and moderate VPN usage.

My company has about 550 users but it is rare for our concurrent connections to go above 100,000.  Your mileage may vary.

One thing I feel limiting with the FortiGate is the packet shaping.  As far as priorities go it only caters for High, Medium and Low.  I find this a little restrictive compared with other systems I am used to, but it is effective for separating business critical traffic from general traffic and some recreational traffic at least.

I am really comfortable with Astaro, but how I could convince people to buy it?
Thank you for any insight.

Nothing worse for security than a security appliance that you're not comfortable with.  If you've trialled the FortiGate and find Astaro easier to use and it meets your technical needs, then you should stick with what you are comfortable with.

very well said ShaneJP [:)]

speaking of performance based on my experiences fortigate has an edge over ASG

Hello...  why want flight so much... 2 ways to try...
first way is let third party people to test for it... result can't lie people. anybody here is specialist. you sure you say all is true. all is sales man talk. i can talk until a product can fly. got prove or not?
second just ask customer request for POC (prove of concept). so easy thing also dont know. all of you not qualify people. Astaro say them very good than show out to customer you are good. dont at a side say other product not good.

give you an example if one day both of you are is changing company. astaro people work at fortinet and fortinet people work at astaro. I want to think today both of you what to say...

POC only the way to prove how good of your product. majority customer will choose the product how much can meet them need. not because of your product can win over other. if you dont have farrari money than buy toyota. same to toyota people.

Hello...  why want flight so much... 2 ways to try...
first way is let third party people to test for it... result can't lie people. anybody here is specialist. you sure you say all is true. all is sales man talk. i can talk until a product can fly. got prove or not?
second just ask customer request for POC (prove of concept). so easy thing also dont know. all of you not qualify people. Astaro say them very good than show out to customer you are good. dont at a side say other product not good.

give you an example if one day both of you are is changing company. astaro people work at fortinet and fortinet people work at astaro. I want to think today both of you what to say...

POC only the way to prove how good of your product. majority customer will choose the product how much can meet them need. not because of your product can win over other. if you dont have farrari money than buy toyota. same to toyota people.