Комментарии 29
Спасибо, что заботитесь о нас! Поэтому и пользуюсь вашими услугами :-)
А как вы собираетесь монетезировать железо и какой заложили срок амортизации?
Результат ожидаемый. Вы пытались сравнивать оборудование класса Enterprise (Arbor Pravail, Radware DefensePro) и Service Provider(МФИ Софт «Периметр», NSFOCUS). Например, настройки того же Arbor Peakflow SP ничем не отличаются от МФИ Софт «Периметр» и что же взглянув на интерфейс вы бы сделали такие же выводы? После инсталляции железа, в дальнейшем Вам бы пришлось крутить только контрмеры во время DDoS, а о других настройках можно было бы забыть. По удобству интерфейса Radware полностью согласен. Ну а Pravail подкупает конечно же красотой интерфейса, на что многие заказчики и ведутся, не особо вдаваясь в функционал и возможности, тестирую железо на сетевом флуде или на тупых High Rate http флудах.
Прежде всего мы сравниваем качество фильтрации и удобство работы. Из всего, о чем мы говорим — только Pravail относится к Enterprise, остальные продукты разработчики позиционируют, как для провайдеров.
Тестовый образец Периметра, который к нам приезжал был рассчитан на очистку до 2Гбит. Устройства до 10Гбит тоже на базе серверов HP, на таком сервере даже netflow сложно правильно анализировать на наших объемах. Старшие же версии Peakflow имеют спец. контроллеры. Мы видели интерфейс Периметра (на русском) и Peakflow, последний гораздо легче «осилить», может быть дело в терминах, которые используются в русском варианте, не знаю =)
Отдельно предлагались пуско-наладочные работы и обучение. Почему не сделать понятный и красивый интерфейс сразу?
Мы тестировали все в боевых условиях, иначе, в чем смысл-то.
Тестовый образец Периметра, который к нам приезжал был рассчитан на очистку до 2Гбит. Устройства до 10Гбит тоже на базе серверов HP, на таком сервере даже netflow сложно правильно анализировать на наших объемах. Старшие же версии Peakflow имеют спец. контроллеры. Мы видели интерфейс Периметра (на русском) и Peakflow, последний гораздо легче «осилить», может быть дело в терминах, которые используются в русском варианте, не знаю =)
Отдельно предлагались пуско-наладочные работы и обучение. Почему не сделать понятный и красивый интерфейс сразу?
Мы тестировали все в боевых условиях, иначе, в чем смысл-то.
Radware — это все же Enterprise и DC решение, несмотря на то, что и SP его можно назвать, но с ОЧЕНЬ большой натяжкой, т.к. inline решения уж слишком ограничены при внедрении в топологию сети оператора, а заявленый Out-of-Path лишает части функционала и требует опять же извращений с маршрутизацией, либо редиректом трафика. Все потому что изначально архитектура решения была заточена под корпоратов, отсюда и ограниченное число серверных и сетевых политик.
Замечание по поводу сервера HP вообще не имеют место, похоже вы не разобрались в сути. Если говорить об «Анализаторе», то это вполне нормально, что он является обычным промышленным сервером и то что там стоят оптероны тоже вполне нормально, т.к. он решается задачи по сбору информации по Flow,SNMP, BGP и для этого не требуются специализированные процессоры. Собственно CP/FS/BI/PI у арбора это такие же обычные сервера, но покрашенные дорогой краской и стоит там либо Linux, либо в версиях постарее OpenBSD, на Intel CPU. Если говорить о топовых устройства фильтрации, то и Arbor и у МФИ это специализированные сетевые процессоры, у МФИ — Tilera (NSFOCUS тоже их использует), а сервер HP служит лишь базой для его установки. Про ваши объемы flow преувеличиваете, либо озвучьте цифру.
Вообще, мне ваш выбор импонирует, просто суть статьи совсем не понятна, т.к. ожидал увидеть сравнение в разрезе основного функционала, а пишите о том, что не смогли устройство настроить, либо как в случае с Radware — не понравился интерфейс, но ни слова о том, как же он фильтровал вредоносный трафик, тем более интересно, что трафик не синтетический.
Кстати, CloudSignaling собираетесь задействовать?
P.S. Не пытаюсь принизить или возвысить кого-либо из вендоров, каждый из них в чем-то хорош и имеет сви killer фичи, но в тоже время каждый из них не является серебряной пулей. Желаю успехов при дальнейшей эксплуатации. И будет очень интересно почитать, какие у вас ощущения от работы с железом спустя несколько месяцев.
Замечание по поводу сервера HP вообще не имеют место, похоже вы не разобрались в сути. Если говорить об «Анализаторе», то это вполне нормально, что он является обычным промышленным сервером и то что там стоят оптероны тоже вполне нормально, т.к. он решается задачи по сбору информации по Flow,SNMP, BGP и для этого не требуются специализированные процессоры. Собственно CP/FS/BI/PI у арбора это такие же обычные сервера, но покрашенные дорогой краской и стоит там либо Linux, либо в версиях постарее OpenBSD, на Intel CPU. Если говорить о топовых устройства фильтрации, то и Arbor и у МФИ это специализированные сетевые процессоры, у МФИ — Tilera (NSFOCUS тоже их использует), а сервер HP служит лишь базой для его установки. Про ваши объемы flow преувеличиваете, либо озвучьте цифру.
Вообще, мне ваш выбор импонирует, просто суть статьи совсем не понятна, т.к. ожидал увидеть сравнение в разрезе основного функционала, а пишите о том, что не смогли устройство настроить, либо как в случае с Radware — не понравился интерфейс, но ни слова о том, как же он фильтровал вредоносный трафик, тем более интересно, что трафик не синтетический.
Кстати, CloudSignaling собираетесь задействовать?
P.S. Не пытаюсь принизить или возвысить кого-либо из вендоров, каждый из них в чем-то хорош и имеет сви killer фичи, но в тоже время каждый из них не является серебряной пулей. Желаю успехов при дальнейшей эксплуатации. И будет очень интересно почитать, какие у вас ощущения от работы с железом спустя несколько месяцев.
Radware так позиционирует сам разработчик, начиная еще с x016 серии. Насколько он хорош в этом — надо проверять.
Я не говорю о том, что Периметр плохо или хорошо фильтрует, я говорю о том, что он нам не подходит по определенным причинам. И те спецификации, что были нам предоставлены говорят о том, что фильтрация до 10Гбит включительно происходит на сервере HP, такое возможно? =)
В нашей статье мы рассказали о доступных устройствах для работы с ddos и выразили свое мнение по каждому из них.
Детальный обзор устройства, которое мы выбрали для работы будет, но позже. Действительно должно пройти время (хотя бы на сбор информации).
Конечно.
Очевидно, что 100% решения защиты от ddos (как и от спама) атак нет, но есть средства, которые действительно помогают а есть «плацебо».
Спасибо!
Замечание по поводу сервера HP вообще не имеют место
Я не говорю о том, что Периметр плохо или хорошо фильтрует, я говорю о том, что он нам не подходит по определенным причинам. И те спецификации, что были нам предоставлены говорят о том, что фильтрация до 10Гбит включительно происходит на сервере HP, такое возможно? =)
В нашей статье мы рассказали о доступных устройствах для работы с ddos и выразили свое мнение по каждому из них.
Детальный обзор устройства, которое мы выбрали для работы будет, но позже. Действительно должно пройти время (хотя бы на сбор информации).
Кстати, CloudSignaling собираетесь задействовать?
Конечно.
P.S.
Очевидно, что 100% решения защиты от ddos (как и от спама) атак нет, но есть средства, которые действительно помогают а есть «плацебо».
Спасибо!
Интерфейс на русском — зло, с этим пунктом я всегда согласен…
Пожалуй самый главный минус — это цена. Pravail дорогой, Peakflow — космически дорогой
Pravail и PeakFlow отличаются по функционалу. Для работы Pravail весь входящий трафик должен идти через него. Если у вас 1 uplink, 1 точка присутствия, или же нет желания защищать свою инфраструктуру, то он может подойти. Ваша AS9123 подключена к нескольким аплинкам, т.о. вряд ли вы будете использовать Pravail для защиты своей инфраструктуры. Но, из поста я сделал вывод, что вы выбрали именно его.
мы даже не смогли разобраться в его интерфейсе, поэтому более-менее развернутого рассказа не получится. По слухам — переписанный «нашими» программистами Peakflow, еще его используют в РТ.
Интерфейс у «Периметр» тоже скопированный с Arbor PeakFlow. Видимо, последний вы не тестировали.
Pravail и PeakFlow отличаются по функционалу.
Мы прекрасно понимаем в чем разница между Pravail и Peakflow. Мы не будем постоянно пропускать весь трафик через это устройство, так как считаем это не правильным (с точки зрения отказоустойчивости, даже несмотря на байпас).
Видимо, последний вы не тестировали.
Видели его, он красивый =) А Периметр — ужасен. И они различаются аппаратно, сравнивать их некорректно.
Коллеги, спасибо за интересный сравнительный обзор. Можно было. конечно, и подробнее, и насыщеннее технически. Однако, учитывая что в публичном доступе подобных материалов практически нет — статья бесценна ;)
Информации, подобной той, что в статье, в публичном доступе достаточно. Особенно «не понравился интерфейс», или «стоят как космолёт». Китайцы, так вообще везде одинаковые. Те, что из Huawei, ведут себя точно так же.
Комментарии же 0din бесценны.
Комментарии же 0din бесценны.
Возможно, для специалистов, которые посвятили всю свою сознательную жизнь работе с ddos'ом наша статься кажется не очень интересной, в этом нет ничего страшного.
Зато тем, перед кем стоит вопрос о выборе средств для защиты своих «предприятий» будет понятно хотя бы — куда смотреть.
Да и «бесценных» комментариев 0din'a не было бы без нашего поста. Наслаждайтесь =)
Зато тем, перед кем стоит вопрос о выборе средств для защиты своих «предприятий» будет понятно хотя бы — куда смотреть.
Да и «бесценных» комментариев 0din'a не было бы без нашего поста. Наслаждайтесь =)
статьи 0dina еще более бесценны, но к сожалению есть ряд причин по которым они никогда не будут публичны.
От лица МФИ Софт благодарю за поднятую тему, очень интересно услышать мнения пользователей и профессионалов о нашем и других продуктах для защиты от DDoS. Это очень ценно для развития продукта.
P.S. и наши маркетологи сегодня порадовались повышенному вниманию со стороны хабровчан )
P.S. и наши маркетологи сегодня порадовались повышенному вниманию со стороны хабровчан )
Прошло 1.5 года, вас похоже ДДоСят не по-детски, как в этот раз поступите?
У меня лично 6 сайтов под удар попали.
У меня лично 6 сайтов под удар попали.
У меня, похоже, тоже. Сапорт предъявляет повышенную нагрузку. Прощай, Таймвеб!
Отличная защита у вас от ддоса. Сервер с моим сайтом еле работает с 14 августа, потому что кого-то ддосят на этом сервере.
Тех. поддержка просто просит подождать и убеждает, что жизнь боль.
Тех. поддержка просто просит подождать и убеждает, что жизнь боль.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Больше, чем защита от DDOS