pfSense是一個基於FreeBSD架構的軟件防火牆,通常會被安裝在多網卡的主板上作為路由器或者防火牆去使用。往往這些硬件都比較廉價,高性能的配置也就1千元左右。pfSense具有商業防火牆的大部分功能,管理上非常簡單,可以支持通過WEB頁面進行配置,升級和管理而不需要使用者具備FreeBSD底層知識。pfSense部署在企業邊緣網絡上一般可以抵擋500Mbps的互聯網流量。
pfSense防火牆具有防火牆的基本狀態監測包過濾功能,同時還支持NAT模式部署、雙機熱備、負載均衡、VPN等重要功能。在管理維護方面支持相關性能的查看和報告生成功能,同時還可以被網絡管理平台通過SNMP進行集中管理。在開源防火牆市場中,pfSense占有領先的地位。本文將詳細介紹pfSense的安裝部署以及簡單的初始化配置。
在下面的章節中您將了解以下內容
pfSense如何被安裝在虛擬機或者硬件中;
pfSense硬件選型;
pfSense部署過程詳細步驟;
pfSense防火牆的初始化配置。
一、 選擇部署在哪里
根據本章節的標題可以看出有兩層意思,其一是部署在企業里面的網絡位置,例如:部署在互聯網路由器的后端、部署在辦公網交換機的前端等等諸如此類。其二是將開源的pfSense裝在什么樣的平台上,例如:裝在普通的X86架構的PC上、裝在虛擬機中等。對於第一種情況在簡單的王忠比較好處理,一般部署在網絡的邊緣,或者部署在需要做訪問控制的前端,以自身為視角,越靠近威脅的源頭,越能盡早的阻擋攻擊。對於復雜冗余的網絡部署情況后續會有單獨的章節進行介紹。下面將介紹第二種情況下的注意事項。
1.1. 部署在硬件盒子中
pfSense官方支持硬盤、電子盤以及SD卡介質的部署方式,一般情況下會選擇硬盤的方式進行部署,部署的整個過程與安裝FreeBSD或者Linux沒有任何區別,甚至還要簡單,因為很多磁盤格式化類似的操作已經編寫好了自動的腳本去執行。對於硬件的選擇在官方的硬件支持中提供了詳細的解釋(https://www.pfsense.org/hardware/index.html#sizing)。主要的影響參數會是帶寬吞吐量和CPU的主頻的關系,下表將對應帶寬需要的CPU進行列舉,以便在硬件選購過程中參考。
另外,防火牆本身的功能開啟多與少會直接影響防火牆的性能,商業的防火牆通過多CPU去處理VPN等服務,通過芯片去轉發防火牆的流量,而軟件的防火牆則只能通過CPU進行處理。在pfSense上對於VPN的開啟,或者說VPN用戶數的多少直接會影響軟件防火牆的性能,主要的資源會消耗在加解密和數據的處理上,一般10Mbps的流量需要500MHz的CPU去處理。與此同時狀態表的增加會增加內存的負擔,1萬條記錄配置10M內存足以,不過隨着P2P的引進,狀態表會直接增加,百兆帶寬甚至可能會達到百萬記錄,因此需要為狀態表提供至少1G的內存。
1.2. 部署在虛擬化平台
軟件防火牆的好處除了可以自己流量的需求去配置定制硬件的配置之外,還可以隨意的部署在台式機、服務器上。安裝的道理和裝在盒子里完全一樣。同時隨着虛擬化平台的發展,軟件的防火牆也可以通過虛擬機的方式進行部署(比如Vmware ESXi、OpenStack、Cloudstack環境),拋開各類的雲平台都有自身的虛擬防火牆功能不講。將軟件防火牆部署在雲資源池中也會起到中流砥柱的做種。和硬件相比最大的優勢可以按需調整配置。
由於篇幅的限定,具體部署操作內容請下載附件