Radware与F5产品竞争比较V3课件.ppt

1、Radware与与F5产品竞争比较产品竞争比较V3硬件对比CPU分析F5使用的INTEL 的Pentium CPU长于多媒体数据的处理，但是对于网络数据的处理性能远远差于RISC CPU，RISC因为采用数量较少、相对简单的定长指令，使得它执行命令灵活，速度很快，以灵活和快速而闻名，而CISC处理器（例如Intel PIII）对变长指令和长指令处理的较为复杂，性能极差。并且主流的网络产品厂商都使用RISC芯片，例如CISCO,NORTEL,RADWARE等等。硬件对比背板带宽分析F5的PC部分与交换部分的连接是通过PCI总线进行的，由于PCI总线的物理限制，F5设备的最大吞吐量理论值小于2G，

2、这是F5设备最大的一个瓶颈。F5的新产品也是采用同样的PCI结构，但是他们称之为“back plane”。Radware 最大可以支持到44G。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比软件架构操作系统F5的操作系统是freeBSD(开放式UNIX系统),开放的系统本身有很多的已知漏洞,存在非常严重的安全隐患,非常容易受到骇客攻击，F5的设备曾经被骇客攻击过，详细描述请参考第三方专业网络安全网站http:/ 而Radware的系统内核是自己编译，本身不会存在漏洞，SynApps中的Application Security(应用安全)模块可以防止1300多种常见的黑客和病

3、毒的攻击，DoS Shield模块可以在千兆流量的情况下防止DoS,DdoS攻击.著名的网上交易商Ebay采用Radware交换机来防止网络攻击。软件架构操作系统漏洞软件架构操作系统漏洞最近一年以来最近一年以来FreeBSDFreeBSD被发现的部分安全漏洞被发现的部分安全漏洞F5 BIG-IP Syncookie F5 BIG-IP Syncookie 评估代码评估代码 远程拒绝服务漏洞远程拒绝服务漏洞FreeBSD Msync(2)FreeBSD Msync(2)系统调用缓冲区缓存实现漏洞系统调用缓冲区缓存实现漏洞FreeBSD Out Of SequenceFreeBSD Out Of

4、Sequence包远程拒绝服务攻击漏洞包远程拒绝服务攻击漏洞FreeBSD sendmail(8)FreeBSD sendmail(8)存在报头分析缓冲区溢出漏洞存在报头分析缓冲区溢出漏洞FreeBSDFreeBSD安全公告：安全公告：XDRXDR编码器编码器-解码器存在解码器存在DoSDoS缺陷缺陷FreeBSDFreeBSD内核缓冲区溢出漏洞内核缓冲区溢出漏洞 BINDBIND存在存在negative cachenegative cache漏洞漏洞 可导致拒绝服务攻击可导致拒绝服务攻击BSD IBCS2BSD IBCS2系统调用转化内核内存信息泄露漏洞系统调用转化内核内存信息泄露漏洞BSD

5、 Kernel ARPBSD Kernel ARP缓冲淹没远程拒绝服务漏洞缓冲淹没远程拒绝服务漏洞软件架构F5软件的不稳定性F5声称自己以软件见长，软件开发团队也很庞大，但是至今仍然存在很多BUG，在半年以来，F5推出了7个版本，功能没有任何增加，其推出的目的只是修复上一版本存在的BUG，但是，新版本的本身又增加了新的BUG，形成恶性循环，使用户轻易不敢升级。具体情况请看每个版本附带的长达50余页的Release Notes以4.5PTF08版本为例，在2003年12月22日推出该版本后不到一个月，F5马上宣布发现4.5PTF08版本有一个session无缘无故丢失的重大问题，不再支持下载，用

6、4.5PTF09版本来取代，而4.5PTF09只是一个没有经过严格测试的开发版，为解决4.5PTF08版本的问题而匆匆上马。F5软件的不稳定性的真实例子：大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比性能对比背板架构RADWARE RADWARE 最大支持最大支持44G44G背板带宽背板带宽F5F5号称最大支持号称最大支持19.2G19.2G的背板带宽，但是其交换端的背板带宽，但是其交换端口与口与CPUCPU之间的之间的PCIPCI总线最大支持总线最大支持2G(2G(双向双向)，所以其，所以其真正的背板交换速率绝不会达到真正的背板交换速率绝不会达到19.2G19.2G。性能

7、对比SSL性能分析F5F5的的SSLSSL加解密功能目前最大支持加解密功能目前最大支持1200TPS,1200TPS,而而RadwareRadware的的SSLSSL解决方案单台最大支持解决方案单台最大支持70007000，并且整体，并且整体最大可支持到最大可支持到700700，000 TPS000 TPS（100100台堆叠），是业界台堆叠），是业界最高性能的最高性能的SSLSSL加速解决方案！加速解决方案！F5F5的的SSLSSL芯片芯片(仅支持仅支持100TPS)100TPS)已经焊死在设备的底已经焊死在设备的底板上，通过额外增加板上，通过额外增加SSLSSL加速卡加速卡(每块支持每块支

8、持400TPS,400TPS,价价格格$9,600)$9,600)，1000,24001000,2400最多只能扩展到最多只能扩展到800TPS,5000800TPS,5000系统最大可扩展到系统最大可扩展到1200TPS,1200TPS,而而RadwareRadware存在极大的扩存在极大的扩展空间，单台展空间，单台CT100CT100指标指标(1400,2800,5600,7000TPS)(1400,2800,5600,7000TPS)即已经超出即已经超出F5,F5,通过多台通过多台CertainT100CertainT100的堆叠，的堆叠，TPSTPS整整体指标更是远远超过了体指标更是远

9、远超过了F5F5。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比功能对比对比传统负载均衡产品功能对比全局负载均衡F5针对全局负载均衡，只支持DNS重定向方式Radware可支持以下 4 种方式：DNS重定向HTTP重定向RSTP重定向全局三角功能对比网络就近性F5F5不支持网络就近性功能（不支持网络就近性功能（ProximityProximity）RadwareRadware支持动态就近性和静态就近性两种方式：支持动态就近性和静态就近性两种方式：通过动态判断发起访问的客户端的通过动态判断发起访问的客户端的“距离距离”远近远近，以，以C C类地址为单位建立动态就近性表，对后续

10、访问类地址为单位建立动态就近性表，对后续访问直接响应，大大提供系统的整体性能。直接响应，大大提供系统的整体性能。大纲一、总体技术对比一、总体技术对比1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比安全性操作系统的安全性F5F5的的FreeBSDFreeBSD系统存在着若干个漏洞是我们应用系系统存在着若干个漏洞是我们应用系统的安全隐患。统的安全隐患。RadwareRadware的自己编写的内核不会有这些问题。的自己编写的内核不会有这些问题。安全性设备本身的安全性F5F5号称可以抵挡十多种号称可以抵挡十多种DOSDOS攻击，其实只是一些攻击，其实只是一些synsyn攻击的预防而已。攻

11、击的预防而已。RadwareRadware的的DOS Shield DOS Shield 模块可以过滤抵挡模块可以过滤抵挡DOSDOS，DDOSDDOS，SYNSYN攻击攻击RadwareRadware的应用安全模块可以过滤的应用安全模块可以过滤13001300多种病毒，多种病毒，蠕虫，木马等攻击方式。蠕虫，木马等攻击方式。安全性SSL安全漏洞SSLSSL存在一个安全漏洞：当病毒或者入侵潜藏再存在一个安全漏洞：当病毒或者入侵潜藏再HTTPSHTTPS包中时，由于是加密了的数据，包中时，由于是加密了的数据，IDSIDS，防病毒等，防病毒等设备都不能发现或过滤。从此使攻击直接到达服务器设备都不能发

12、现或过滤。从此使攻击直接到达服务器F5F5对此无能为力对此无能为力RadwareRadware通过在通过在WSDWSD上部署应用安全模块，配合上部署应用安全模块，配合CT100CT100可实现实时的过滤，拦截包含在可实现实时的过滤，拦截包含在HTTPSHTTPS加密数据加密数据包中的所有可疑代码。包中的所有可疑代码。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比一、总体技术对比一、总体技术对比安全许可证明针对用户如此重要的系统，必须部署具备通过安针对用户如此重要的系统，必须部署具备通过安全等级评估的设备。全等级评估的设备。但是，但是，F5F5没有拿到公安部的安全产品销售许可

13、证没有拿到公安部的安全产品销售许可证RadwareRadware已经拿到。已经拿到。CT100 Http 压缩HTML file size(Kbytes)Total objects sizeTotal page sizePage size(after compression)Ratio63K98.1K161.1K107.1K34%36K55K91K60K33%49K28.8K77.8K35.8K54%50K40K90K47.1K48%Compression reduces the average page size by 40%SecurityRadware Synapps提供了应用安全模块可以提供对于互联网上1300种蠕虫、后面、木马等攻击的防护，结合强大的带宽管理功能保证关键业务的安全。Dos Shied提供了兆比特大流量下对于Dos/Ddos攻击的防护，特有的Syn signatures可以防范绝大多数的Dos攻击而不仅仅是Syn flood。Configware Insite-强大的网管Radware devices may be managed via:SNMP V2,SNMP V3,Telnet,SSH,Web,SSL managementSecure access by physical port&RADIUS authentication