Wymagania sprzętowe pfSense
Do korzystania z firewalla pfSense w wielu przypadkach wystarczy serwer o niezłożonej konfiguracji. Twórcy pfSense zalecają system o przynajmniej 1 GB pamięci RAM i procesorze 1 GHz.[1] Ponadto udzielają paru wskazówek odnośnie doboru sprzętu, które są tutaj podsumowane.
Wybór komponentów
Następujące wskazówki, odnośnie wyboru komponentów, opierają się o informacje z Hardware Requirements and Guidance na stronie pfsense.org.[1]
Karta sieciowa
Kary sieciowe oparte na chipach firmy Intel wykazują z pfSense wysoką wydajność i niezawodność. Dlatego twórcy pfSense zalecają korzystanie z tych kart sieciowych, jak i systemów wyposażonych w karty firmy Intel (do 1 Gbps).
Powyżej 1 Gbps istnieją dodatkowe faktory, które mają wpływ na wybór odpowiedniej karty.
CPU
Następujące wskazówki odnoszą się do prostej konfiguracji sieciowej z jednym interfejsem LAN i jednym WAN. W przypadku dodatkowych interfejsów (np. WLAN albo dalszych tak zwanych interfejsów LAN) konieczne jest uwzględnienie tego w przepustowości i co za tym idzie w doborze procesora:
Przepustowość | Częstotliwość taktowania CPU |
---|---|
10-20 Mbps | min. 500 MHz |
21-100 Mbps | 1 GHz |
101-500 Mbps | 2 GHz |
501+ Mbps | >2 GHz, więcej rdzeni CPU |
Inne kryteria
- VPN: Intensywne korzystanie z usługi VPN zwiększa wymagania odnośnie CPU. Szyfrowanie i deszyfrowanie wymaga dużej mocy obliczeniowej. Liczba połączeń nie gra przy tym zbyt istotnej roli. Sprzętowa akceleracja AES-NI zmniejsza wymagania względem CPU.[2][3]
- Captive Portal:[4] Podczas gdy głównym kryterium jest przepustowość, to środowisko z setką jednoczesnych użytkowników wymaga wydajniejszego procesora, niż ten powyżej wymieniony.
- RAM dla wpisów w State Table: Każdy wpis w tabeli wymaga około 1 KB pamięci RAM. Standardowa wielkość tabeli wynosi 10% dostępnej firewallowi pamięci RAM. W ten sposób firewall z 1 GB pamięci RAM ma 100.000 wpisów, które w sumie zajmują około 100 MB RAMu. W większych środowiskach, które wymagają setki tysięcy lub miliony wpisów, jest wymagana odpowiednio większa ilość pamięci RAM.
- Dodatkowe pakiety: niektóre pakiety oprogramowania zwiększają wymagania względem pamięci RAM (np. snort lub ntop).
Hardware Compatibility List
pfSense jest oparty na FreeBSD, dlatego obsługuje ten sam sprzęt jak odpowiednia wersja FreeBSD (jądro pfSense zawiera wszystkie sterowniki FreeBSD):
- pfSense 2.3 (FreeBSD 10.3): FreeBSD 10.3-RELEASE Hardware Notes (www.freebsd.org)
- pfSense 2.2 (FreeBSD 10.1): FreeBSD 10.1-RELEASE Hardware Notes (www.freebsd.org)
Odnośniki
- ↑ 1,0 1,1 Hardware Requirements and Guidance (www.pfsense.org)
- ↑ Further (a roadmap for pfSense) (blog.pfsense.org, 25.02.2015): On a pair of fast quad core Xeon systems we can run IPsec at over 2Gbps now.
- ↑ pfSense around the world, better IPsec, tryforward and netmap-fwd (blog.pfsense.org, 19.10.2015): The most recent developments here are the big improvement in IPsec performance with AES-NI support (1270 Mbps throughput, single stream, for AES-GCM with a 128-bit key on a pair of ~3GHz E5 Xeon CPUs)
- ↑ Captive Portal (de.wikipedia.org)
Autor: Werner Fischer