Radware_与_F5产品竞争比较_V3.pptVIP

大纲 一、总体技术对比 1、硬件对比 2、软件架构 3、性能对比 4、功能对比 5、安全性对比 硬件对比－－架构分析 F5是基于PC架构的解决方案，也就是在一台PC机上，安装了相应的软件系统，而不是真正意义上的交换机。 由于F5基于PC架构，相对交换机架构性能差很多 硬件对比－－架构分析 硬件对比－－CPU分析 F5使用的INTEL 的Pentium CPU长于多媒体数据的处理，但是对于网络数据的处理性能远远差于RISC CPU ，RISC因为采用数量较少、相对简单的定长指令，使得它执行命令灵活，速度很快，以灵活和快速而闻名，而CISC处理器（例如Intel PIII）对变长指令和长指令处理的较为复杂，性能极差。 并且主流的网络产品厂商都使用RISC芯片，例如CISCO,NORTEL,RADWARE等等。 硬件对比－－背板带宽分析 F5的PC部分与交换部分的连接是通过PCI总线进行的，由于PCI总线的物理限制，F5设备的最大吞吐量理论值小于2G，这是F5设备最大的一个瓶颈。F5的新产品也是采用同样的PCI结构，但是他们称之为“back plane”。 Radware 最大可以支持到44G。 大纲 1、硬件对比 2、软件架构 3、性能对比 4、功能对比 5、安全性对比 软件架构－－操作系统 F5的操作系统是freeBSD(开放式UNIX系统), 开放的系统本身有很多的已知漏洞, 存在非常严重的安全隐患, 非常容易受到骇客攻击，F5的设备曾经被骇客攻击过，详细描述请参考第三方专业网络安全网站/exploits/3F5Q3PPQ0Y.html 而Radware的系统内核是自己编译，本身不会存在漏洞，SynApps中的Application Security(应用安全)模块可以防止1300多种常见的黑客和病毒的攻击，DoS Shield模块可以在千兆流量的情况下防止DoS,DdoS攻击. 著名的网上交易商Ebay采用Radware交换机来防止网络攻击 。 软件架构－－操作系统－漏洞 软件架构－－操作系统－漏洞 最近一年以来FreeBSD被发现的部分安全漏洞 F5 BIG-IP Syncookie 评估代码 远程拒绝服务漏洞 FreeBSD Msync(2) 系统调用缓冲区　缓存实现漏洞 FreeBSD Out Of Sequence包远程拒绝服务攻击漏洞 FreeBSD sendmail(8)存在报头分析缓冲区溢出漏洞 FreeBSD安全公告：XDR编码器-解码器存在DoS缺陷 FreeBSD内核缓冲区溢出漏洞 BIND存在negative cache漏洞 可导致拒绝服务攻击 BSD IBCS2系统调用转化内核内存信息泄露漏洞 BSD Kernel ARP缓冲淹没远程拒绝服务漏洞 …… 软件架构－－F5软件的不稳定性 F5声称自己以软件见长，软件开发团队也很庞大，但是至今仍然存在很多BUG，在半年以来，F5推出了7个版本，功能没有任何增加，其推出的目的只是修复上一版本存在的BUG，但是，新版本的本身又增加了新的BUG，形成恶性循环，使用户轻易不敢升级。 具体情况请看每个版本附带的长达50余页的Release Notes 以4.5PTF08版本为例，在2003年12月22日推出该版本后不到一个月，F5马上宣布发现4.5PTF08版本有一个session无缘无故丢失的重大问题，不再支持下载，用4.5PTF09版本来取代，而4.5PTF09只是一个没有经过严格测试的开发版，为解决4.5PTF08版本的问题而匆匆上马。 F5软件的不稳定性的真实例子： 大纲 1、硬件对比 2、软件架构 3、性能对比 4、功能对比 5、安全性对比 性能对比－－背板架构 RADWARE 最大支持44G背板带宽 F5号称最大支持19.2G的背板带宽，但是其交换端口与CPU之间的PCI总线最大支持2G (双向)，所以其真正的背板交换速率绝不会达到19.2G。 性能对比－－SSL性能分析 F5的SSL加解密功能目前最大支持1200TPS, 而Radware的SSL解决方案单台最大支持7000，并且整体最大可支持到700，000 TPS（100台堆叠），是业界最高性能的SSL加速解决方案！ F5的SSL芯片(仅支持100TPS)已经焊死在设备的底板上，通过额外增加SSL加速卡(每块支持400TPS,价格$9,600)，1000,2400最多只能扩展到800TPS,5000系统最大可扩展到1200TPS, 而Radware存在极大的扩展空间，单台CT100指标(1400,2800,5600,7000TPS)即已经超出F5, 通过多台CertainT100的堆叠，TPS整体指标更是远远超过了F5。