Я к сожалению не могу сравнить с F5, не было у меня опыта с ними, зато работал с CheckPoint в частности на десктопных и мобильных платформах, «юзер экспириенс» остался весьма отрицательный. Кстати и по поводу ISE, на данный момент это практически безконкурентная система идентификации пользовательского и непользовательского доступа в сеть. Более органично вписывающейся системы идентификации с прозрачной авторизацией на транзитных узлах (МСЭ, маршрутизаторы, коммутаторы ЦОД, VPN гейтвей) я просто не знаю (поправьте если не прав). И именно благодаря TrustSec и меткам SGT.
Контексты они крайне полезны в ЦОД, заказчики нарезают на контексты функционально разные сегменты ЦОД, разных своих внутренних заказчиков, отделяют PCI DSS сертифицируемые сегменты и так далее, фактически вы же получаете логически полностью отдельный фаервол, даже с защитой вычислительных ресурсов по классам обслуживания.
Наверное процесс конфигурации NAT на ASA это как «фломастеры на вкус и цвет все разные», я настраивал NAT еще на 6-ке PIX и за последние лет 7 какие только сложные конфигурации натирования мне не приходилось делать. Если честно, на мой взгляд, на ASA самая гибкая система натирования и эта функция очень продвинутая. С точки зрения настроек, да, пожалуй надо привыкнуть, но как и любая профессиональная система ASA требует сноровки и внимательного чтения мана.
Линейка ASA очень бурно развивается, посмотрите на тот функционал что был добавлен начиная с версии 9.0 и 9.2.1, кластеризация, микшированные контексты, BGP, интеграция в архитектуру TrustSec и оочень много всего другого, я боюсь что именно VPN в виде GETVPN/DMVPN этот как раз и есть то отличие, которое на маршрутизаторах впереди. Но возьмем мобильный VPN посредством ANYCONNECT, полноценная его работа со всеми функциями и теперь уже COA (Change of Authorization) есть только на ASA. По многим функциям у ASA и конкурентов то нет, так что платформа цветет и развивается семимильными шагами.
Контексты они крайне полезны в ЦОД, заказчики нарезают на контексты функционально разные сегменты ЦОД, разных своих внутренних заказчиков, отделяют PCI DSS сертифицируемые сегменты и так далее, фактически вы же получаете логически полностью отдельный фаервол, даже с защитой вычислительных ресурсов по классам обслуживания.