Radware與F5競爭比較第三稿

1、大綱一、總體技術(shù)對(duì)比一、總體技術(shù)對(duì)比1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比硬件對(duì)比架構(gòu)分析F5是基于PC架構(gòu)的解決方案，也就是在一臺(tái)PC機(jī)上，安裝了相應(yīng)的軟件系統(tǒng)，而不是真正意義上的交換機(jī)。由于F5基于PC架構(gòu)，相對(duì)交換機(jī)架構(gòu)性能差很多 硬件對(duì)比架構(gòu)分析硬件對(duì)比CPU分析F5使用的INTEL 的Pentium CPU長于多媒體數(shù)據(jù)的處理，但是對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的處理性能遠(yuǎn)遠(yuǎn)差于RISC CPU ，RISC因?yàn)椴捎脭?shù)量較少、相對(duì)簡單的定長指令，使得它執(zhí)行命令靈活，速度很快，以靈活和快速而聞名，而CISC處理器（例如Intel PIII）對(duì)變長指令和長指令處理的較為復(fù)雜，性能極差

2、。并且主流的網(wǎng)絡(luò)產(chǎn)品廠商都使用RISC芯片，例如CISCO,NORTEL,RADWARE等等。硬件對(duì)比背板帶寬分析F5的PC部分與交換部分的連接是通過PCI總線進(jìn)行的，由于PCI總線的物理限制，F(xiàn)5設(shè)備的最大吞吐量理論值小于2G，這是F5設(shè)備最大的一個(gè)瓶頸。F5的新產(chǎn)品也是采用同樣的PCI結(jié)構(gòu)，但是他們稱之為“back plane”。Radware 最大可以支持到44G。大綱1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比軟件架構(gòu)操作系統(tǒng)F5的操作系統(tǒng)是freeBSD(開放式UNIX系統(tǒng)), 開放的系統(tǒng)本身有很多的已知漏洞, 存在非常嚴(yán)重的安全隱患, 非常容易受到駭客攻擊，F(xiàn)5的

3、設(shè)備曾經(jīng)被駭客攻擊過，詳細(xì)描述請參考第三方專業(yè)網(wǎng)絡(luò)安全網(wǎng)站http:/ 而Radware的系統(tǒng)內(nèi)核是自己編譯，本身不會(huì)存在漏洞，SynApps中的Application Security(應(yīng)用安全)模塊可以防止1300多種常見的黑客和病毒的攻擊，DoS Shield模塊可以在千兆流量的情況下防止DoS,DdoS攻擊. 著名的網(wǎng)上交易商Ebay采用Radware交換機(jī)來防止網(wǎng)絡(luò)攻擊 。軟件架構(gòu)操作系統(tǒng)漏洞軟件架構(gòu)操作系統(tǒng)漏洞最近一年以來最近一年以來FreeBSDFreeBSD被發(fā)現(xiàn)的部分安全漏洞被發(fā)現(xiàn)的部分安全漏洞F5 BIG-IP Syncookie F5 BIG-IP Syncookie 評(píng)

4、估代碼評(píng)估代碼 遠(yuǎn)程拒絕服務(wù)漏洞遠(yuǎn)程拒絕服務(wù)漏洞FreeBSD Msync(2) FreeBSD Msync(2) 系統(tǒng)調(diào)用緩沖區(qū)緩存實(shí)現(xiàn)漏洞系統(tǒng)調(diào)用緩沖區(qū)緩存實(shí)現(xiàn)漏洞FreeBSD Out Of SequenceFreeBSD Out Of Sequence包遠(yuǎn)程拒絕服務(wù)攻擊漏洞包遠(yuǎn)程拒絕服務(wù)攻擊漏洞FreeBSD sendmail(8)FreeBSD sendmail(8)存在報(bào)頭分析緩沖區(qū)溢出漏洞存在報(bào)頭分析緩沖區(qū)溢出漏洞FreeBSDFreeBSD安全公告：安全公告：XDRXDR編碼器編碼器- -解碼器存在解碼器存在DoSDoS缺陷缺陷FreeBSDFreeBSD內(nèi)核緩沖區(qū)溢出漏洞內(nèi)核

5、緩沖區(qū)溢出漏洞 BINDBIND存在存在negative cachenegative cache漏洞漏洞 可導(dǎo)致拒絕服務(wù)攻擊可導(dǎo)致拒絕服務(wù)攻擊BSD IBCS2BSD IBCS2系統(tǒng)調(diào)用轉(zhuǎn)化內(nèi)核內(nèi)存信息泄露漏洞系統(tǒng)調(diào)用轉(zhuǎn)化內(nèi)核內(nèi)存信息泄露漏洞BSD Kernel ARPBSD Kernel ARP緩沖淹沒遠(yuǎn)程拒絕服務(wù)漏洞緩沖淹沒遠(yuǎn)程拒絕服務(wù)漏洞軟件架構(gòu)F5軟件的不穩(wěn)定性F5聲稱自己以軟件見長，軟件開發(fā)團(tuán)隊(duì)也很龐大，但是至今仍然存在很多BUG，在半年以來，F(xiàn)5推出了7個(gè)版本，功能沒有任何增加，其推出的目的只是修復(fù)上一版本存在的BUG，但是，新版本的本身又增加了新的BUG，形成惡性循環(huán)，使用戶輕易

6、不敢升級(jí)。具體情況請看每個(gè)版本附帶的長達(dá)50余頁的Release Notes以4.5PTF08版本為例，在2003年12月22日推出該版本后不到一個(gè)月，F(xiàn)5馬上宣布發(fā)現(xiàn)4.5PTF08版本有一個(gè)session無緣無故丟失的重大問題，不再支持下載，用4.5PTF09版本來取代，而4.5PTF09只是一個(gè)沒有經(jīng)過嚴(yán)格測試的開發(fā)版，為解決4.5PTF08版本的問題而匆匆上馬。F5軟件的不穩(wěn)定性的真實(shí)例子：大綱1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比性能對(duì)比背板架構(gòu)RADWARE RADWARE 最大支持最大支持44G44G背板帶寬背板帶寬F5F5號(hào)稱最大支持號(hào)稱最大支持19.2

7、G19.2G的背板帶寬，但是其交換端的背板帶寬，但是其交換端口與口與CPUCPU之間的之間的PCIPCI總線最大支持總線最大支持2G (2G (雙向雙向) )，所以其，所以其真正的背板交換速率絕不會(huì)達(dá)到真正的背板交換速率絕不會(huì)達(dá)到19.2G19.2G。性能對(duì)比SSL性能分析F5F5的的SSLSSL加解密功能目前最大支持加解密功能目前最大支持1200TPS, 1200TPS, 而而RadwareRadware的的SSLSSL解決方案單臺(tái)最大支持解決方案單臺(tái)最大支持70007000，并且整體，并且整體最大可支持到最大可支持到700700，000 TPS000 TPS（100100臺(tái)堆疊），是業(yè)界臺(tái)

8、堆疊），是業(yè)界最高性能的最高性能的SSLSSL加速解決方案！加速解決方案！F5F5的的SSLSSL芯片芯片( (僅支持僅支持100TPS)100TPS)已經(jīng)焊死在設(shè)備的底已經(jīng)焊死在設(shè)備的底板上，通過額外增加板上，通過額外增加SSLSSL加速卡加速卡( (每塊支持每塊支持400TPS,400TPS,價(jià)價(jià)格格$9,600)$9,600)，1000,24001000,2400最多只能擴(kuò)展到最多只能擴(kuò)展到800TPS,5000800TPS,5000系統(tǒng)最大可擴(kuò)展到系統(tǒng)最大可擴(kuò)展到1200TPS, 1200TPS, 而而RadwareRadware存在極大的擴(kuò)存在極大的擴(kuò)展空間，單臺(tái)展空間，單臺(tái)CT10

9、0CT100指標(biāo)指標(biāo)(1400,2800,5600,7000TPS)(1400,2800,5600,7000TPS)即已經(jīng)超出即已經(jīng)超出F5, F5, 通過多臺(tái)通過多臺(tái)CertainT100CertainT100的堆疊，的堆疊，TPSTPS整整體指標(biāo)更是遠(yuǎn)遠(yuǎn)超過了體指標(biāo)更是遠(yuǎn)遠(yuǎn)超過了F5F5。大綱1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比功能對(duì)比對(duì)比傳統(tǒng)負(fù)載均衡產(chǎn)品功能對(duì)比全局負(fù)載均衡F5針對(duì)全局負(fù)載均衡，只支持DNS重定向方式Radware可支持以下 4 種方式：DNS重定向HTTP重定向RSTP重定向全局三角功能對(duì)比網(wǎng)絡(luò)就近性F5F5不支持網(wǎng)絡(luò)就近性功能（不支持網(wǎng)絡(luò)就近

10、性功能（ProximityProximity）RadwareRadware支持動(dòng)態(tài)就近性和靜態(tài)就近性兩種方式：支持動(dòng)態(tài)就近性和靜態(tài)就近性兩種方式：通過動(dòng)態(tài)判斷發(fā)起訪問的客戶端的通過動(dòng)態(tài)判斷發(fā)起訪問的客戶端的“距離距離”遠(yuǎn)近遠(yuǎn)近，以，以C C類地址為單位建立動(dòng)態(tài)就近性表，對(duì)后續(xù)訪問類地址為單位建立動(dòng)態(tài)就近性表，對(duì)后續(xù)訪問直接響應(yīng)，大大提供系統(tǒng)的整體性能。直接響應(yīng)，大大提供系統(tǒng)的整體性能。大綱一、總體技術(shù)對(duì)比一、總體技術(shù)對(duì)比1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比安全性操作系統(tǒng)的安全性F5F5的的FreeBSDFreeBSD系統(tǒng)存在著若干個(gè)漏洞是我們應(yīng)用系系統(tǒng)存在著若干個(gè)漏洞

11、是我們應(yīng)用系統(tǒng)的安全隱患。統(tǒng)的安全隱患。RadwareRadware的自己編寫的內(nèi)核不會(huì)有這些問題。的自己編寫的內(nèi)核不會(huì)有這些問題。安全性設(shè)備本身的安全性F5F5號(hào)稱可以抵擋十多種號(hào)稱可以抵擋十多種DOSDOS攻擊，其實(shí)只是一些攻擊，其實(shí)只是一些synsyn攻擊的預(yù)防而已。攻擊的預(yù)防而已。RadwareRadware的的DOS Shield DOS Shield 模塊可以過濾抵擋模塊可以過濾抵擋DOSDOS，DDOSDDOS，SYNSYN攻擊攻擊RadwareRadware的應(yīng)用安全模塊可以過濾的應(yīng)用安全模塊可以過濾13001300多種病毒，多種病毒，蠕蟲，木馬等攻擊方式。蠕蟲，木馬等攻擊方式

12、。 安全性SSL安全漏洞SSLSSL存在一個(gè)安全漏洞：當(dāng)病毒或者入侵潛藏再存在一個(gè)安全漏洞：當(dāng)病毒或者入侵潛藏再HTTPSHTTPS包中時(shí)，由于是加密了的數(shù)據(jù)，包中時(shí)，由于是加密了的數(shù)據(jù)，IDSIDS，防病毒等，防病毒等設(shè)備都不能發(fā)現(xiàn)或過濾。從此使攻擊直接到達(dá)服務(wù)器設(shè)備都不能發(fā)現(xiàn)或過濾。從此使攻擊直接到達(dá)服務(wù)器F5F5對(duì)此無能為力對(duì)此無能為力RadwareRadware通過在通過在WSDWSD上部署應(yīng)用安全模塊，配合上部署應(yīng)用安全模塊，配合CT100CT100可實(shí)現(xiàn)實(shí)時(shí)的過濾，攔截包含在可實(shí)現(xiàn)實(shí)時(shí)的過濾，攔截包含在HTTPSHTTPS加密數(shù)據(jù)加密數(shù)據(jù)包中的所有可疑代碼。包中的所有可疑代碼。大綱

13、1、硬件對(duì)比2、軟件架構(gòu)3、性能對(duì)比4、功能對(duì)比5、安全性對(duì)比一、總體技術(shù)對(duì)比一、總體技術(shù)對(duì)比安全許可證明針對(duì)用戶如此重要的系統(tǒng)，必須部署具備通過安針對(duì)用戶如此重要的系統(tǒng)，必須部署具備通過安全等級(jí)評(píng)估的設(shè)備。全等級(jí)評(píng)估的設(shè)備。但是，但是，F(xiàn)5F5沒有拿到公安部的安全產(chǎn)品銷售許可證沒有拿到公安部的安全產(chǎn)品銷售許可證RadwareRadware已經(jīng)拿到。已經(jīng)拿到。CT100 Http 壓縮HTML file size (Kbytes)Total objects sizeTotal page sizePage size (after compression)Ratio63K98.1K161.1K107.1K34%36K55K91K60K33%49K28.8K77.8K35.8K54%50K40K90K47.1K48%Compression reduces the average page size by 40%SecurityRadware Synapps提供了應(yīng)用安全模塊可以提供對(duì)于互聯(lián)網(wǎng)上1300種蠕蟲、后面、木馬等攻擊的防護(hù)，結(jié)合強(qiáng)大的帶寬管理功能保證關(guān)鍵業(yè)務(wù)的安全。Dos Shied提供了兆比特大流量下對(duì)于Dos/Dd