Guida al dimensionamento hardware di firewall basati su pfSense
Per dimensionare un firewall hardware basato su pfSense dalla 2.0 in poi è necessario tenere presente 2 fattori principali:
- Throughput richiesto
- Features o pacchetti aggiuntivi di pfSense utilizzate
Questi 2 fattori influenzano principalmente RAM, CPU, Memoria di massa e quantità di NIC. Nella parte sottostante metteremo a disposizione la nostra esperienza nel dimensionamento dell’hardware.
1. Considerazioni sul Throughput richiesto
Per definizione si intende per throughput di un canale di comunicazione la sua capacità di trasmissione effettivamente utilizzata.
Il throughput non è da confondersi con la capacità del link. Sia la capacità che il throughput si esprimono in bit/s, ma mentre la prima esprime la frequenza trasmissiva massima alla quale i dati possono viaggiare, il throughput è un indice dell'effettivo utilizzo della capacità del link. Il throughput è la quantità di dati trasmessi in una unità di tempo ed è dipende esclusivamente da quanta informazione è immessa sul canale nella trasmissione.
È importante determinare il throughput di una rete prima dell'installazione di un firewall pfSense in quanto esso determina il tipo di CPU da utilizzare ed in certi casi il tipo di NIC.
Se sono richiesti meno di 10 Mbps allora è possibile utilizzare i requisiti minimi hardware. Per throughput superiori consigliamo caldamente di seguire il dimensionamento suggerito dalla tabella che segue, basata su test effettivamente eseguiti sul campo. La tabella qui sotto è pensata per evitare di raggiungere il massimo livello di carico dell’hardware, così da non incorrere in problemi.
Requisiti minimi di sistema per pfSense dalla 2.0 in poi:
| CPU | Non meno di 100 MHz |
| RAM | 128 MB |
| Installazione su Hard Disk | 1 GB |
| Embedded | Compact Flash da 512 MB |
Dimensionamento pfSense - Throughput
| Throughput: Mbps | Requisiti hardware consigliati | Prodotto consigliato |
| 10-20 Mbps | Non meno di 266 MHz CPU Single Core | Linea Entry level |
| 21-50 Mbps | Non meno di 500 MHz CPU Single Core | Linea Entry level |
| 51-200 Mbps | Non meno di 1.0 GHz CPU Single Core | Linea Appliance UTM |
| 201-500 Mbps | Non meno di 1.0 GHz CPU Dual Core | Linea Appliance UTM |
| 501 + Mbps | Soluzione hardware Server – non meno di 1,8 GHz Dual Core. PCI-e NIC Intel - classe server |
Linea Appliance UTM Linea Appliance UTM2 |
2. Features o pacchetti aggiuntivi di pfSense utilizzate
Molte features di pfSense influenzano notevolmente il dimensionamento dell’hardware.
VPN: l’utilizzo pesante del servizio VPN fa crescere molto i requisiti della CPU. La cifratura e decifratura dei pacchetti accresce il carico sulla CPU. Il numero di connessioni è un fattore meno preoccupante del throughput.
- CPU di 266 MHz supporta circa 4 Mbps di traffico IPsec
- CPU di 500 MHz supporta circa 10-15 Mbps di traffico IPsec
- CPU Xeon di nuova generazione supportano 100 Mbps di traffico IPsec
Captive Portal: Ambienti con centinaia di connessioni richiedono molta CPU. Con riferimento alla tabella del throughput sarà necessario aumentare gli utenti di un 15-20 % per ottenere la piattaforma raccomandata.
Grandi tabelle di Stato: Ogni voce della tabella di stato richiede 1 KB. La tabella di stato, quando è piena ha 10.000 voci, quindi circa 10 MB di RAM. Per tabelle di stato più grandi, con centinaia di migliaia di connessioni sarà necessario dimensionare adeguatamente la RAM.
Packages: molti pacchetti aumentano significativamente la quantità di RAM utilizzata. Per esempio snort e ntop non dovrebbero essere installati su piattaforme hardware con meno di 512 MB di ram.
Versione di pfSense da installare
È da sottolineare la differenza tra i due tipi di installazioni che è possibile effettuare con pfSense sui diversi dispositivi:
- La soluzione Embedded (firewall Entry Level) NON permette la scrittura dei file di log sulla memoria (C.F. o DOM) ed in ogni caso è fortemente sconsigliato farlo. Su questa versione non è possibile installare alcuni dei pacchetti aggiuntivi di pfSense.
- La soluzione che si installa su hard disk (normalmente sulle soluzioni Appliance UTM o superiori) ha la possibilità di salvare i log al suo interno. Su questa versione è possibile installare tutti i pacchetti aggiuntivi forniti per pfSense.
