pfSense是一个基于FreeBSD架构的软件防火墙,通常会被安装在多网卡的主板上作为路由器或者防火墙去使用。往往这些硬件都比较廉价,高性能的配置也就1千元左右。pfSense具有商业防火墙的大部分功能,管理上非常简单,可以支持通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense部署在企业边缘网络上一般可以抵挡500Mbps的互联网流量。
pfSense防火墙具有防火墙的基本状态监测包过滤功能,同时还支持NAT模式部署、双机热备、负载均衡、VPN等重要功能。在管理维护方面支持相关性能的查看和报告生成功能,同时还可以被网络管理平台通过SNMP进行集中管理。在开源防火墙市场中,pfSense占有领先的地位。本文将详细介绍pfSense的安装部署以及简单的初始化配置。
在下面的章节中您将了解以下内容
pfSense如何被安装在虚拟机或者硬件中;
pfSense硬件选型;
pfSense部署过程详细步骤;
pfSense防火墙的初始化配置。
一、 选择部署在哪里
根据本章节的标题可以看出有两层意思,其一是部署在企业里面的网络位置,例如:部署在互联网路由器的后端、部署在办公网交换机的前端等等诸如此类。其二是将开源的pfSense装在什么样的平台上,例如:装在普通的X86架构的PC上、装在虚拟机中等。对于第一种情况在简单的王忠比较好处理,一般部署在网络的边缘,或者部署在需要做访问控制的前端,以自身为视角,越靠近威胁的源头,越能尽早的阻挡攻击。对于复杂冗余的网络部署情况后续会有单独的章节进行介绍。下面将介绍第二种情况下的注意事项。
1.1. 部署在硬件盒子中
pfSense官方支持硬盘、电子盘以及SD卡介质的部署方式,一般情况下会选择硬盘的方式进行部署,部署的整个过程与安装FreeBSD或者Linux没有任何区别,甚至还要简单,因为很多磁盘格式化类似的操作已经编写好了自动的脚本去执行。对于硬件的选择在官方的硬件支持中提供了详细的解释(https://www.pfsense.org/hardware/index.html#sizing)。主要的影响参数会是带宽吞吐量和CPU的主频的关系,下表将对应带宽需要的CPU进行列举,以便在硬件选购过程中参考。
另外,防火墙本身的功能开启多与少会直接影响防火墙的性能,商业的防火墙通过多CPU去处理VPN等服务,通过芯片去转发防火墙的流量,而软件的防火墙则只能通过CPU进行处理。在pfSense上对于VPN的开启,或者说VPN用户数的多少直接会影响软件防火墙的性能,主要的资源会消耗在加解密和数据的处理上,一般10Mbps的流量需要500MHz的CPU去处理。与此同时状态表的增加会增加内存的负担,1万条记录配置10M内存足以,不过随着P2P的引进,状态表会直接增加,百兆带宽甚至可能会达到百万记录,因此需要为状态表提供至少1G的内存。
1.2. 部署在虚拟化平台
软件防火墙的好处除了可以自己流量的需求去配置定制硬件的配置之外,还可以随意的部署在台式机、服务器上。安装的道理和装在盒子里完全一样。同时随着虚拟化平台的发展,软件的防火墙也可以通过虚拟机的方式进行部署(比如Vmware ESXi、OpenStack、Cloudstack环境),抛开各类的云平台都有自身的虚拟防火墙功能不讲。将软件防火墙部署在云资源池中也会起到中流砥柱的做种。和硬件相比最大的优势可以按需调整配置。
由于篇幅的限定,具体部署操作内容请下载附件