Hardwareanforderungen pfSense

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Für den Betrieb einer pfSense Firewall reichen in vielen Anwendungsfällen bereits kleinere Serverkonfigurationen. Die pfSense Macher empfehlen für den Betrieb ein System mit einer mindestens 1 GHz schnellen CPU sowie 1 GB RAM.[1] Außerdem geben sie auch ein paar weitere Tipps zur Serverauswahl, die wir hier zusammenfassen.

Komponentenauswahl

Die folgenden Hinweise zur Auswahl der Komponenten basieren auf den Informationen der Hardware Requirements and Guidance auf pfsense.org.[1]

Netzwerkkarte

Netzwerkkarten basierend auf Intel Chips zeigen mit pfSense hohe Performance und Zuverlässigkeit. Die pfSense Macher empfehlen daher sehr, Intel Netzwerkkarten zu verwenden, sowie Systeme mit eingebauten Intel Netzwerkkarten (bis 1 Gbps).

Über 1 Gbps gibt es weitere Faktoren, welche die Auswahl der geeigneten Netzwerkkarte beeinflussen.

CPU

Die folgenden Hinweise beziehen sich auf eine einfache Netzwerkkonfiguration mit einem LAN und einem WAN Interface. Bei zusätzlichen Schnittstellen (z.B. WLAN oder weiteren segmentierten LAN Interfaces) müssen diese bei der Durchsatzrate und damit bei der CPU Auswahl berücksichtigt werden:

Durchsatzrate CPU Taktfrequenz
10-20 Mbps mind. 500 MHz
21-100 Mbps 1 GHz
101-500 Mbps 2 GHz
501+ Mbps >2 GHz, mehrere CPU-Cores

Weitere Kritierien

  • VPN: Eine intensive Nutzung der VPN Dienste erhöht die Anforderungen an die CPU. Verschlüsselung und Entschlüsselung sind CPU-intensiv. Die Anzahl an Verbindungen spielt dabei im Vergleich zum gewünschten Durchsatz eine geringere Rolle. Eine vorhandene AES-NI CPU Hardware-Beschleunigung von IPsec reduziert dabei die CPU Anforderungen deutlich.[2][3]
  • Captive Portal:[4] Während das Hauptkriterium der gewünschte Durchsatz ist, erfordern Umgebungen mit Hunderten gleichzeitigen Benutzern etwas performantere CPUs als oben angeführt.
  • RAM für State Table Einträge: Einträge in der State Table erfordern je rund 1 KB RAM. Die Standardgröße der State Table beträgt 10% des verfügbaren RAMs der Firewall. Eine Firewall mit 1 GB RAM hat damit standardmäßig 100.000 Einträge, die in Summe rund 100 MB RAM belegen. In großen Umgebungen, die mehrere Hunderttausend oder Millionen Einträge erfordern, ist entsprechend mehr RAM erforderlich.
  • Zusätzliche Pakete: Einige Software-Pakete erhöhen die RAM Anforderungen (z.B. snort oder ntop).

Hardware Compatibility List

Da pfSense auf FreeBSD basiert, unterstützt es die gleiche Hardware wie die jeweilige FreeBSD Version (der pfSense Kernel beinhaltet alle FreeBSD Treiber):

Einzelnachweise

  1. 1,0 1,1 Hardware Requirements and Guidance (www.pfsense.org)
  2. Further (a roadmap for pfSense) (blog.pfsense.org, 25.02.2015): On a pair of fast quad core Xeon systems we can run IPsec at over 2Gbps now.
  3. pfSense around the world, better IPsec, tryforward and netmap-fwd (blog.pfsense.org, 19.10.2015): The most recent developments here are the big improvement in IPsec performance with AES-NI support (1270 Mbps throughput, single stream, for AES-GCM with a 128-bit key on a pair of ~3GHz E5 Xeon CPUs)
  4. Captive Portal (de.wikipedia.org)


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

Intel Netzwerkkarten Übersicht
Synology JBOD Überblick
VirtualBox