Radware与F5竞争比较第三稿

大纲一、总体技术对比1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比硬件对比－－架构分析 F5是基于PC架构的解决方案，也就是在一台PC机上，安装了相应的软件系统，而不是真正意义上的交换机。 由于F5基于PC架构，相对交换机架构性能差很多硬件对比－－架构分析硬件对比－－CPU分析

F5使用的INTEL的PentiumCPU长于多媒体数据的处理，但是对于网络数据的处理性能远远差于RISCCPU，RISC因为采用数量较少、相对简单的定长指令，使得它执行命令灵活，速度很快，以灵活和快速而闻名，而CISC处理器（例如IntelPIII）对变长指令和长指令处理的较为复杂，性能极差。 并且主流的网络产品厂商都使用RISC芯片，例如CISCO,NORTEL,RADWARE等等。硬件对比－－背板带宽分析 F5的PC部分与交换部分的连接是通过PCI总线进行的，由于PCI总线的物理限制，F5设备的最大吞吐量理论值小于2G，这是F5设备最大的一个瓶颈。F5的新产品也是采用同样的PCI结构，但是他们称之为“backplane”。

Radware最大可以支持到44G。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比软件架构－－操作系统 F5的操作系统是freeBSD(开放式UNIX系统),开放的系统本身有很多的已知漏洞,存在非常严重的安全隐患,非常容易受到骇客攻击，F5的设备曾经被骇客攻击过，详细描述请参考第三方专业网络安全网站/exploits/3F5Q3PPQ0Y.html

而Radware的系统内核是自己编译，本身不会存在漏洞，SynApps中的ApplicationSecurity(应用安全)模块可以防止1300多种常见的黑客和病毒的攻击，DoSShield模块可以在千兆流量的情况下防止DoS,DdoS攻击.著名的网上交易商Ebay采用Radware交换机来防止网络攻击。软件架构－－操作系统－漏洞软件架构－－操作系统－漏洞最近一年以来FreeBSD被发现的部分安全漏洞F5BIG-IPSyncookie评估代码远程拒绝服务漏洞FreeBSDMsync(2)系统调用缓冲区缓存实现漏洞FreeBSDOutOfSequence包远程拒绝服务攻击漏洞FreeBSDsendmail(8)存在报头分析缓冲区溢出漏洞FreeBSD安全公告：XDR编码器-解码器存在DoS缺陷FreeBSD内核缓冲区溢出漏洞BIND存在negativecache漏洞可导致拒绝服务攻击BSDIBCS2系统调用转化内核内存信息泄露漏洞BSDKernelARP缓冲淹没远程拒绝服务漏洞……软件架构－－F5软件的不稳定性 F5声称自己以软件见长，软件开发团队也很庞大，但是至今仍然存在很多BUG，在半年以来，F5推出了7个版本，功能没有任何增加，其推出的目的只是修复上一版本存在的BUG，但是，新版本的本身又增加了新的BUG，形成恶性循环，使用户轻易不敢升级。 具体情况请看每个版本附带的长达50余页的ReleaseNotes 以4.5PTF08版本为例，在2003年12月22日推出该版本后不到一个月，F5马上宣布发现4.5PTF08版本有一个session无缘无故丢失的重大问题，不再支持下载，用4.5PTF09版本来取代，而4.5PTF09只是一个没有经过严格测试的开发版，为解决4.5PTF08版本的问题而匆匆上马。F5软件的不稳定性的真实例子：大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比性能对比－－背板架构 RADWARE最大支持44G背板带宽 F5号称最大支持19.2G的背板带宽，但是其交换端口与CPU之间的PCI总线最大支持2G(双向)，所以其真正的背板交换速率绝不会达到19.2G。性能对比－－SSL性能分析 F5的SSL加解密功能目前最大支持1200TPS,而Radware的SSL解决方案单台最大支持7000，并且整体最大可支持到700，000TPS（100台堆叠），是业界最高性能的SSL加速解决方案！ F5的SSL芯片(仅支持100TPS)已经焊死在设备的底板上，通过额外增加SSL加速卡(每块支持400TPS,价格$9,600)，1000,2400最多只能扩展到800TPS,5000系统最大可扩展到1200TPS,而Radware存在极大的扩展空间，单台CT100指标(1400,2800,5600,7000TPS)即已经超出F5,通过多台CertainT100的堆叠，TPS整体指标更是远远超过了F5。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比功能对比－－对比传统负载均衡产品功能对比－－全局负载均衡F5针对全局负载均衡，只支持DNS重定向方式Radware可支持以下4种方式：

DNS重定向

HTTP重定向

RSTP重定向 全局三角

功能对比－－网络就近性 F5不支持网络就近性功能（Proximity） Radware支持动态就近性和静态就近性两种方式： 通过动态判断发起访问的客户端的“距离”远近，以C类地址为单位建立动态就近性表，对后续访问直接响应，大大提供系统的整体性能。大纲一、总体技术对比1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比安全性－－操作系统的安全性 F5的FreeBSD系统存在着若干个漏洞是我们应用系统的安全隐患。

Radware的自己编写的内核不会有这些问题。安全性－－设备本身的安全性 F5号称可以抵挡十多种DOS攻击，其实只是一些syn攻击的预防而已。 Radware的DOSShield模块可以过滤抵挡DOS，DDOS，SYN攻击

Radware的应用安全模块可以过滤1300多种病毒，蠕虫，木马等攻击方式。

安全性－－SSL安全漏洞 SSL存在一个安全漏洞：当病毒或者入侵潜藏再HTTPS包中时，由于是加密了的数据，IDS，防病毒等设备都不能发现或过滤。从此使攻击直接到达服务器 F5对此无能为力

Radware通过在WSD上部署应用安全模块，配合CT100可实现实时的过滤，拦截包含在HTTPS加密数据包中的所有可疑代码。大纲1、硬件对比2、软件架构3、性能对比4、功能对比5、安全性对比一、总体技术对比安全许可证明 针对用户如此重要的系统，必须部署具备通过安全等级评估的设备。 但是，F5没有拿到公安部的安全产品销售许可证 Radware已经拿到。CT100Http压缩HTMLfilesize(Kbytes)TotalobjectssizeTotalpagesizePagesize(aftercompression)Ratio63K98.1K161.1K107.1K34%36K55K91K60K33%49K28.8K77.8K35.8K54%50K40K90K47.1K48%Compressionreducestheaveragepagesizeby40%SecurityRadwareSynapps提供了应用安全模块可以提供对于互联网上1300＋种蠕虫、后面、木马等攻击的防护，结合强大的带宽管理功能保证关键业务的安全。DosShied提供了兆比特大流量下对于Dos/Ddos攻击的防护，特有的Synsignatures可以防范绝大多数的Dos