RadwarevsF5V5.docx
- 文档编号:2794937
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:21
- 大小:1.69MB
RadwarevsF5V5.docx
《RadwarevsF5V5.docx》由会员分享,可在线阅读,更多相关《RadwarevsF5V5.docx(21页珍藏版)》请在冰点文库上搜索。
RadwarevsF5V5
RadwareVSF5
LinkProof
RadwareChina
Version
一、对照关键点:
RADWAR
F5
Radware优势
硬件架构
Switch
PC
真正的Switch架构,性能更出众。
所有产品都支持端口级ASIC芯片
部分产品支持
Bigip2400/3400/6400/6800
Radware的全线产品均具备ASIC芯片,加速处理速度。
内置NetworkProcessor
不支持
NP处理器可以加快会话信息的处理,缓解CPU的压力。
最多可支持7个光纤接口,且光纤接口可支持LX,SX
最多只支持4个光纤接口,且接口类型只支持SX
支持万兆接口
不支持万兆接口
采用非旋转介质
Flash
采用旋转介质
硬盘
对处于关键位置的4-7层应用交换机来说,每一个关健部件的设计都应该避免出现故障给整个业务系统带来的严重后果。
CF卡由于它不带驱动器,也没有其它的移动部件,因此,极少出现机械,所以比硬盘更加稳定。
MTBF平均无故障运行时间长
MTBF平均无故障运行时间短
经过第三方测试的真实数据,提供更稳定的硬件的设备
高性能
性能低
(受硬件架构限制)
软件
专有的操作系统
开放式UNIX系统
版本是BSD系统
V9版本是Linux系统
专有的操作系统,不存在安全漏洞。
F5的产品基于unix系统,存在很多已知及未知的安全漏洞。
高安全性
存在不安全漏洞
自身具备免受攻击的能力。
更合理的使用内存资源
内存手工分配,对不同功能所占用的内存进行合理分配,各功能间不会互相强占资源。
共享内存资源,内存动态分配,无法对内存的使用进行人工分配。
且内存使用率达到95%时,设备会自己重启。
内存分配方式更合理,不存在资源抢占问题。
功能
冗余功能
采用网络设备通用的标准VRRP协议(RFC2338)
冗余功能采用主机级切换机制
Radware的双机使用的是业界最流行的双机冗余技术,运行更稳定。
而F5使用的只是主机级的冗作切换,其声称的毫秒级切换只是在断电的情况下才能实现,在基于网络的故障的切换中,时间还要长于radware。
免费支持RIP1,RIP2,OSPF等路由协议
需要额外收费
内置的SynApps安全模块,可以提供高性能的IPS及防DOS等攻击能力
只有简单的防DOS攻击能力
除自身具备抗攻击能力外,还可为后台应用提供更安全的保障。
全局负载均衡
LinkProof
1.已申请专利的“就近性”访问技术。
技术专利号:
6718359
2.内置的IPS及防dos攻击安全模块更可以为服务器提供更安全的保障
3DNS
1.简单的负载均衡算法
2.无防攻击能力
3.内置bind,存在不安全漏洞
1.“就近性”在全局负载均衡技术中启到了最核心的作用,该技术可以使用户以最快的速度访问到相应资源。
2.自身及后台服务器不会受到攻击。
链路负载均衡
LinkProof
1.已申请专利入站及出站的“就近性”访问技术
2.可根据用户的目标IP或源IP地址进行路由选择
3.内置的IPS及防dos攻击安全模块更可以为服务器提供更安全的保障
LinkControl
简单的负载均衡算法
只能基于目标IP地址进行路由选择
3.没有IPS
4.只有简单的防dos攻击方法,单纯靠自身的
1.“就近性”在多链路负载均衡技术中启到了最核心的作用,该技术可以使用户通过最佳链路,以最快的速度访问到资源。
2.灵活的基于来源IP、目的IP或应用的路由选择功能,可以最大化的实现对多条链路的有效控制。
3.内置的IPS及防dos攻击安全模块更可以为服务器提供更安全的保障
安全及带宽管理解决方案
LinkProofSynApps
没有类似产品
BIGIP中所带有的QOS管理模块只是一个市场行为,非专业的带宽管理设备。
1.支持应用安全的防护和DOS/DDOS攻击的防护,2.针对P2P进行流量管理,实测可达到的流量
及防dos攻击功能,所面临的竞争对手是Netscreen,ISS等专业的安全厂商
功能所面临的竞争对手是Packeteer,Cisco等专业的带宽管理厂商
二、选择Radware负载均衡产品的缘故:
1.硬件架构
(1)Radware产品采纳是真正的Switch架构
Radware平台设计更加合理,采用真正的Switch架构,ASIC芯片,NP处理器,CPU等全部集成在交换板上,性能更出众
尽管F5推出了他们新的硬件平台,但性能太差的老问题在新平台上依旧存在。
这是因为新平台仍然利用PC架构,尽管再也不利用PCI总线,但利用网线相连的方式仍然限制了设备的吞吐能力,可扩展性。
F5产品-老平台(bigip1000/2400/5100)
F5产品-新平台(bigip1500/3400/6400/6800)
(2)每端口的ASIC芯片架构支持
Radware
Radware的全线产品均具备ASIC芯片,且每个端口配备一个ASIC芯片。
Radware为了使处理性能更高,还在产品架构中添加了NP处理器,使得其实际的4-7层处理力要远远高于F5的同等型号产品。
F5
F5只有部分产品在交换板上加装了ASIC芯片(bigip2400/3400/6400/6800),且设备中只有一个ASIC芯片。
(3)具有NP处置器
Radware产品除具有每端ASIC芯片支持的架构,额外的两个网络处置器并行工作,能够同时处置多个数据包,从而提供更快的第4-7层互换速度。
它们还负责处置所有与数据包处置和流量转发有关的任务。
网络处置是最近几年来在网络和处置器领域中进展最快的分支。
它利用为网络功能量身定做的指令集在通用CPU所具有的灵活性和可编程性之外提供了ASIC硬件性能。
Radware是业内最先将网络处置添加到其核心架构中的供给商,这使得智能应用互换机ASⅢ能够提供目前最快的第4-7层互换性能。
该架构还为您取得更高的吞吐能力提供了清楚的过渡途径,而且提供了在短时刻内支持新应用和新协议的灵活性。
F5产品中不具有NP处置器
(4)利用更适合网络流量处置RISC处置器
Radware的产品利用是的RISC处置器。
该处置器是市场中最快的处置器。
它许诺在不降低任何设备性能的情形下,在短暂的距离中执行健康状况检查、实施复杂的第7层互换算法和从事治理任务。
而F5是PC架构,因此其利用的CPU是INTEL的PentiumCPU,而PentiumCPU擅长多媒体数据的处置,关于网络数据的处置性能远远差于RISCCPU,RISC因为采纳数量较少、相对简单的定长指令,使得它执行命令灵活,速度专门快,以灵活和快速而闻名,而CISC处置器(例如IntelPIII)对变长指令和长指令处置的较为复杂,性能极差。
主流的网络产品厂商都利用RISC芯片,例如CISCO,NORTEL,等等。
(5)加倍合理的数据流量处置流程
Radware的产品设计架构,决定了其性能加倍超群:
Radware的内部处理机制
如上图所示,当数据包到达Radware时,如果是二、三层流量,经由Broadcom芯片快速处理,
如果是四层数据,将由基于每端口的ASIC芯片进行快速处理。
如果是四层以上的数据,将由两颗并行的NP处理器进行预处理,其中包括(健康检查,流量重定向,防DOS攻击,带宽管理等)。
RISCCPU则只实施复杂的第7层交换算法以及从事管理任务。
以下例如比较了利用网络处置器和常规处置器处置相同的数据包处置任务时各自所需要的典型的时钟周期数(其中,每一个指令占用一个时钟周期)。
借此能够清楚地看到,网络处置器提供了更高的速度和性能。
示例
数据包处理任务
时钟周期
网络处理器
标准CPU
1
在HTTP/RTSP数据包中解析URL
60
400
2
搜索URL表
6
200
3
解析多播路由决定
8
80
F5的内部处理机制
如上图所示,当数据包到达F5时,如果是二、三层流量,经由Broadcom芯片快速处理,
如果是四层数据,将由基于统一的ASIC芯片进行快速处理。
如果是四层以上的数据,就只能通过交换板与主板互连的两条千兆网线传到CPU,进行健康检查,irules,流量重定向,防DOS攻击,带宽管理等实施复杂的第7层交换算法以及从事管理任务。
(6)稳固性
●存储介质
Radware
CF
F5
Bigip1000/2400/5100使用CF卡
Bigip1500只有硬盘
Bigip3400/6400/6800硬盘与CF卡共用
3dns只有硬盘
讨论
对处于关键位置的4-7层应用交换机来说,每一个关健部件的设计都应该避免出现故障给整个业务系统带来的严重后果。
而产品本身的操作系统及关键数据都会保存在其自身的存储介质中,一旦存储介质出现故障,设备本身也将不能工作。
CF卡由于它不带驱动器,也没有其它的移动部件,因此,极少出现机械,所以比硬盘更加稳定。
●MTBF--平均故障距离时刻
Radware
ASI132,395hours
ASII83,549hoursyears
ASIII104,253hoursyears
F5
Bigip100073,000hours
Bigip240075,000hours
Bigip510060,433hours
Bigip150029,907hours
Bigip340028,579hours
Bigip640029,604hours
Bigip680029,121hours
3dns50,000hours
讨论
MTBF,即平均无故障时间,英文全称是“MeanTimeBetweenFailure”。
是衡量一个产品(尤其是电信级产品)的可靠性指标。
单位为“小时”。
它反映了产品的时间质量,是体现产品在规定时间内保持功能的一种能力。
具体来说,是指相邻两次故障之间的平均工作时间,也称为平均故障间隔。
F5的硬件平台1500,3400,6400,6800的平均无故障时间MTBF远远低于其老硬件平台,从而不能保证新平台的稳定可靠性。
Radware硬件平台的可靠性是F5新硬件平台的倍!
2.平安性
Radware设备自身的平安防护,和基于平安防范的高性能产品,为用户提供了一个超级平安的网络运行环境。
(1)没有平安漏洞的操作系统
●Radware采纳的是专有的操作系统,不存在不平安的漏洞
●F5的操作系统存在严峻不平安漏洞
F5的操作系统是freeBSD,而在最新的软件中利用的那么是Linux操作系统,全都是属于开放式UNIX系统,开放的系统本身有很多的已知漏洞,存在超级严峻的平安隐患,超级容易受到骇客解决,F5的设备曾经被骇客解决过,(如以下图所示)。
详细描述请参考第三方专业网络平安网站:
(见图一)
(图一)
F53-DNSMayDiscloseUDPPortStatustoRemoteUsersSecurityTrackerAlertID:
1010927SecurityTrackerURL:
id?
1010927
CVEReference:
GENERIC-MAP-NOMATCH(LinkstoExternalSite)
Date:
Aug112004
Impact:
Disclosureofsysteminformation
(图二)
下表那么是最近一年以来FreeBSD被发觉的部份平安漏洞
•FreeBSDMsync
(2)系统调用缓冲区 缓存实现漏洞
•FreeBSDOutOfSequence包远程拒绝服务攻击漏洞
•FreeBSDsendmail(8)存在报头分析缓冲区溢出漏洞
•FreeBSD安全公告:
XDR编码器-解码器存在DoS缺陷
•FreeBSD内核缓冲区溢出漏洞
•BIND存在negativecache漏洞可导致拒绝服务攻击
•BSDIBCS2系统调用转化内核内存信息泄露漏洞
•BSDKernelARP缓冲淹没远程拒绝服务漏洞
•……
(2)高性能、多类型防DOS/DDOS/SYN解决能力
●Radware产品中内置的SynApps应用平安模块,为咱们产品治理的资源提供了更进一步的防线,不管这些资源是效劳器、防火墙或路由器,此模块都能够爱惜这些资源,幸免受到1500多种类型的解决,如DOS、DDOS、BUF等等。
在实际用户的测试中,Radware产品能够在不阻碍正经常使用户访问的情形下,阻截800Mbps的DOS/DDOS/SYN解决。
Radware采纳的防御方式如下:
•解决特点匹配
•Syncookie
Radware的syncookie计算采纳NP处置器,因此在进行大量cookie运算时并非会占用CPU的资源。
•Delaybinding
•海量防御
●F5产品那么只有很简单的DOS/DDOS/SYN解决防范能力
•Delaybinding
•海量防御
•Syncookie
F5的SynCookie运算采纳的CPU,因此面对大量的访问时,其CPU将面临具大的压力。
而其syncookie存在的不平安漏洞,又使得该功能形同虚设。
请参考第三方专业的平安网站:
OnMay24th2004,ISSreported:
”BigIPversionsthrougharevulnerabletoadenialofserviceattack,causedbyimproperhandlingofTCPSYN
cookies.BylaunchingaSYNfloodattack,aremoteattackercouldcausethekerneltopanic.”
(3)能够避免1500多种的应用解决
●Radware的Synapps平安模块,能够实时过滤很多于1500种目前最流行的病毒,蠕虫,木马,后门等入侵解决。
●F5没有该功能
(4)专用的平安防范产品
●Radware公司针对网络平安现状,市场和客户对平安产品提出的新的需求,要求应用平安产品具有防范一系列解决的智能和性能:
•需要集成的实时平安性,发觉解决和入侵当即拦截
•能够深切检查数据包,防范各类应用层解决,例如蠕虫、病毒、木马和Dos解决
•能够即便拦截大流量,暴发性的DoS/DDos解决,与此同时,要求网络访问正常进行,网络的性能不能有太大降低
•要求平安产品具有数千兆位速度双向扫描的平安检测性能
因此,在这种需求背景下,RadwareDefensePro解决方案应运而生。
DefensePro能够提供3G的实时吞吐流量,深切检查数据包。
DefensePro可隔离、拦截和预防解决,从而实现即时、高性能的应用平安。
●F5没有该种类型的产品
3.高可用性-冗余功能
功能
F5
radware
冗余协议
主机级冗余功能
标准的VRRP冗余协议,遵循RCF2338标准
冗余模式
A/SA/A
(双A模式配置复杂)
Active/Standby
Active/Active
NxN(可以实现最多254台同时工作)
测电频的心跳线
DB-9心跳线
无
使用电频心跳线的切换时间
毫秒
F5声称的毫秒级切换,只是指在设备断电的情况下才实现的。
而实际运行中,设备断电的概率较之网络环节出现故障的概率要低得多。
无
网络模式监测
支持
支持
网络模式切换时间
3-30秒
3-4秒,可调整为1秒
网络监测方式
Ping对端设备的IP地址
Ping一个指定的地址
基于每个vlan的流量信息进行判断。
(时间不得小于30秒,否则设备会不停重启)
冗余设备之间发送hello包,通告设备状态信息。
Interfacegrouping模式,可以探测设备划分的每个vlan的流量信息,任一vlan出现问题,都可以进行主备的切换(时间最小可为1秒)。
主/备工作状态
可自动选择主/备状态
也可强制主/备状态
可自动选择主/备状态
也可强制主/备状态
客户端镜像信息
支持.时间不详
支持,10秒的信息(可调整,最少1秒)
可设置频率最少为1秒一次
也可设置会话表的百分比,当数据量大时,可调整百分比来减少对设备性能影响。
双机全冗余连接
支持,由交换机开启STP
支持,由交换机开启STP
全冗余连接方法
口字型
全冗余
外挂
口字型
全冗余
外挂
三、LinkProofvs3DNS的优势:
1.LinkProof可同时完本钱地及全局负载均衡。
而F5BIGIP需要再支付$64512购买3DNS的软件模块才同时完本钱地及全局负载均衡。
2.Radware提供了性能极高的基于互换的千兆的硬件架构、强壮的互换平台和较高容量的背板带宽,而F5BIGIP基于PC的硬件架构性能极低而且很不靠得住。
3.稳固的产品运行平台,通过第三方评测的MTBF值和采纳非旋转存储介质的合理设计,达到电信级产品的高稳固性要求。
4.内置的SynApps模块中包括的IPS及防DOS防护提供了一个高性能的实时的入侵防护和DOS解决防护。
F53dns不提供任何平安防护功能
5.Radware系统由于采纳专有的操作系统,不存在不平安的漏洞。
F53DNS设备由于利用unix开放式操作系统,其自身都存在严峻的平安问题
6.LinkProof只付责A记录的解析,不存在蒙受DNS解决的风险。
而F53DNS运行bind系统,存在不平安漏洞。
7.Radware申请了在全局负载均衡技术中最关键的“就近性’算法,其中包括:
延迟(roundtriptime)及经由的路由跳数(hops)。
技术专利号:
6718359。
F5只能执行基于除此之外的其他方式进行全局的就近性判定,其结果是QOS最正确的站点可能可不能命中。
8.Radware“就近性”探测能够基于用户利用的LDNS(适用于用户分散的环境),又能够基于Client的真实IP地址(适于城域网用户)。
F53DNS只能基于用户利用的LDNS。
9.Radware就近性探测的结果,能够基于C类地址的形式保留,关于在此C类地址之内的用户访问,Radware将再也不进行探测,提高响应速度。
F53DNS只能依照单一的IP地址进行记录。
四、链路负载均衡解决方案-LinkProof的优势:
1.Radware提供了性能极高的基于互换的千兆的硬件架构、强壮的互换平台和较高容量的背板带宽,而F5BIGIP基于PC的硬件架构性能极低而且很不靠得住。
2.稳固的产品运行平台,通过第三方评测的MTBF值和采纳非旋转存储介质的合理设计,达到电信级产品的高稳固性要求。
3.Radware系统由于采纳专有的操作系统,不存在不平安的漏洞。
F5设备由于利用unix开放式操作系统,其自身都存在严峻的平安问题
4.内存的利用加倍合理。
Radware的内存分派不是动态的,而是静态的。
每一个表占用内存的大小是能够概念的,比如session表;带宽治理的策略表;动态就近性的记录表等,治理员能够依如实际情形对内存的利用进行人工操纵。
F5BIGIP那么是共享内存,存在资源占用的问题,且当内存达到95%时,系统会自动重启。
5.Radware采纳业界标准的RFC2338VRRP冗余协议,而F5BIGIP那么采纳的非标准的冗余机制。
其号称的毫秒级切换,只是在设备断电的情形下才会达到这种水平。
F5BIGIP的冗余机制中,基于每一个vlan进行冗余设备探测的机制存在严峻不足,必需在30秒以后才能发觉某个vlan的流量有问题,两台设备之间的状态才能进行切换。
6.1999年10月,Radware推出全世界首个ISP负载均衡解决方案-LinkProof,到目前LinkProof已经有近6年的现场实施体会,全世界安装超过5000台,安装数量远远高于其他任何一个多链路解决方案厂商。
F5在2002年才推出相应的解决产品-LinkControl。
7.Radware申请了在链路负载均衡技术中最关键的“就近性’算法,其中包括最关键的两个算法:
即基于延迟(roundtriptime)及经由的路由跳数(hops)。
在美国申请的技术专利号:
6718359。
F5只能执行基于除此之外的其他方式进行“就近性”判定,其结果是QOS最正确的链路可能可不能命中。
8.RadwareLinkProof在进行Inbound(从外向内的访问)流量负载均衡时,除能够跟据“就近性”算法进行流量导向,还能够同时依照IP地址划分,依照静态的方式进行流量导向,加速流量导向的处置进程,提高准确度。
F5LinkControl只支持Inbound时的简单负载均衡处置,且不能依照静态的方式进行流量导向。
9.RadwareLinkProof能够对内部网用户访问Internet时(Outbound流量)衡量从每一个ISP链路前去目的地时可能经由的延迟时刻和路由器中继段数量,从而选取最正确的ISP链路。
F5Linkcontrol不支持该方案
10.RadwareLinkProof能够依照内部网用户访问Internet时(Outbound流量)的源地址进行路由策略的设置,能够规定某段来源IP的用户从指定的某条ISP访问Internet,保证对特殊用户访问Internet时的精准性操纵。
F5Linkcontrol不支持该方案
11.LinkProof内置的SynApps模块中包括的IPS及防DOS防护提供了一个高性能的实时的入侵防护和DOS解决防护。
F5不支持该方案,DOS解决防护超级脆弱。
12.LinkProof同时提供集成的带宽治理功能,能够对进出流量进行详细的操纵。
F5不支持该功能。
13.Radware提供了办公室/分支机构级别的LinkProofBranch,是一个可提供端到端连接,集成VPN解决方案,可保证链路可用性和QOS和知足业务平安需求的解决方案,F5不支持该解决方案。
14.关于QQ,MSN等即时通信类的访问,Linkproof能够单独设置Agenttime,保证用户的正常访问。
LinkControl无法解决。
五、平安及带宽管明白得决方案-DefensePRO的优势
1.Radware基于平安及带宽治理的解决方案产品-DefensePro,能够实时防护1500多种常见的对网络要挟最严峻的蠕虫,病毒,木马,后门,和所有已知的DOS/DDOS解决,提供3G的处置速度。
2.Radware该类平安产品比较成熟,现场实施已超过4年。
3.DefensePro集成了带宽治理,应用平安防护,DOS/DDOS解决防护,是市场上同类产品的领导者
4.F5至今没有同类的解决方案和产品。
其平安的解决方案思路是购买其他小公司的产品来充实产品线,全然没有平安产品的自主开发能力。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RadwarevsF5V5
![提示](https://static.bingdoc.com/images/bang_tan.gif)