Zur erfolgreichen Dimensionierung Ihrer pfSense-Firewall sind zwei Faktoren von Bedeutung:
- die benötigte Bandbreite
- die Dienste und Funktionen, die auf der Firewall laufen sollen.
Betrachtungen zur Bandbreite
Sollten Sie einen Datendurchsatz benötigen, der unterhalb 10 Mbps liegt, wird Ihnen die Minimalkonfiguration genügen. Für höhere Datendurchsätze haben wir die unten folgenden Empfehlungen für Sie abgefasst. Diese Empfehlungen beruhen auf unserer Erfahrung sowie auf eigens durchgeführte Testreihen - allerdings haben wir stets Leistungsreserven vorgehalten, da es nicht sinnvoll ist, die Hardware permanent unter Volllast zu betreiben.
- 10-20 Mbps - CPU-Takt von mindestens 266 MHz
- 20-50 Mbps - CPU-Takt von mindestens 500 MHz
- 51-200 Mbps - CPU-Takt von mindestens 1.0 GHz
- 201-500 Mbps - Konfiguration als Appliance oder Server mit PCI-X- oder PCI-e-Anbindung der Netzwerkkarten. CPU-Taktung von mind. 2 GHz erforderlich
- 501+ Mbps - Konfiguration als Appliance oder Server mit PCI-X- oder PCI-e-Anbindung der Netzwerkkarten. CPU-Taktung von mind. 3 GHz erforderlich
Auswirkungen der Firewall-Funktionen auf die Wahl der Hardware
Die meisten Funktionen haben kaum Auswirkungen auf die Auslastung der Hardware. Einige jedoch sind sehr rechenintensiv, so dass wir sie im folgenden erörtern werden:
VPN
Der regelmäßige Einsatz jeglicher VPN-Technologie auf pfSense wird die Anforderungen an die CPU erhöhen. Die Anzahl der Verbindungen ist dabei weit weniger bedeutsam als die benötigte Bandbreite.
So wird eine 266-MHz-CPU einen maximalen Datendurchsatz von 4 Mbps über IPsec ermöglichen, eine 500-MHz-CPU rund 10-15 Mbps und ein Server-System (Xeon oder dedizierte CPU) 100+ Mbps, wobei letztere Variante das System nicht auslasten würde. Die CPU-Last kann durch den Einsatz von Karten zur Hardware-Beschleunigung der Verschlüsselung deutlich verringert werde.
Captive Portals
Obwohl der Datendurchsatz weiterhin der wesentliche Faktor ist, muss beim Einsatz eines Captive-Portals mit einigen Hundert gleichzeitiger Nutzer die CPU stärker dimensioniert werden als oben angegeben.
Übergroße Tabellen
Jeder Eintrag in den Tabellen der Firewall benötigt rund 1 KB im Arbeitsspeicher. Eine Tabelle in einer typischen Konfiguration hat rund 10.000 Einträge und verbraucht somit rund 10 MB RAM. Für große Umgebungen, in denen einzelne Tabellen mehrere Hunderttausende Einträge aufweisen können, passen Sie Ihren Arbeitsspeicher entsprechend an.
Softwarepakete
Einige Softwarepakete können den benötigten Arbeitsspeicher drastisch erhöhen. So sollten snort und ntop z. B. nicht auf Systemen mit weniger als 512 MB RAM laufen.
Leave a comment.