开源防火墙(pfSense)的安装部署与配置
pfSense是一个基于FreeBSD架构的软件防火墙,通常会被安装在多网卡的主板上作为路由器或者防火墙去使用。往往这些硬件都比较廉价,高性能的配置也就1千元左右。pfSense具有商业防火墙的大部分功能,管理上非常简单,可以支持通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense部署在企业边缘网络上一般可以抵挡500Mbps的互联网流量。
pfSense防火墙具有防火墙的基本状态监测包过滤功能,同时还支持NAT模式部署、双机热备、负载均衡、VPN等重要功能。在管理维护方面支持相关性能的查看和报告生成功能,同时还可以被网络管理平台通过SNMP进行集中管理。在开源防火墙市场中,pfSense占有领先的地位。本文将详细介绍pfSense的安装部署以及简单的初始化配置。
在下面的章节中您将了解以下内容
pfSense如何被安装在虚拟机或者硬件中;
pfSense硬件选型;
pfSense部署过程详细步骤;
pfSense防火墙的初始化配置。
一、 选择部署在哪里
根据本章节的标题可以看出有两层意思,其一是部署在企业里面的网络位置,例如:部署在互联网路由器的后端、部署在办公网交换机的前端等等诸如此类。其二是将开源的pfSense装在什么样的平台上,例如:装在普通的X86架构的PC上、装在虚拟机中等。对于第一种情况在简单的王忠比较好处理,一般部署在网络的边缘,或者部署在需要做访问控制的前端,以自身为视角,越靠近威胁的源头,越能尽早的阻挡攻击。对于复杂冗余的网络部署情况后续会有单独的章节进行介绍。下面将介绍第二种情况下的注意事项。
1.1. 部署在硬件盒子中
pfSense官方支持硬盘、电子盘以及SD卡介质的部署方式,一般情况下会选择硬盘的方式进行部署,部署的整个过程与安装FreeBSD或者Linux没有任何区别,甚至还要简单,因为很多磁盘格式化类似的操作已经编写好了自动的脚本去执行。对于硬件的选择在官方的硬件支持中提供了详细的解释(https://www.pfsense.org/hardware/index.html#sizing)。主要的影响参数会是带宽吞吐量和CPU的主频的关系,下表将对应带宽需要的CPU进行列举,以便在硬件选购过程中参考。
另外,防火墙本身的功能开启多与少会直接影响防火墙的性能,商业的防火墙通过多CPU去处理VPN等服务,通过芯片去转发防火墙的流量,而软件的防火墙则只能通过CPU进行处理。在pfSense上对于VPN的开启,或者说VPN用户数的多少直接会影响软件防火墙的性能,主要的资源会消耗在加解密和数据的处理上,一般10Mbps的流量需要500MHz的CPU去处理。与此同时状态表的增加会增加内存的负担,1万条记录配置10M内存足以,不过随着P2P的引进,状态表会直接增加,百兆带宽甚至可能会达到百万记录,因此需要为状态表提供至少1G的内存。
1.2. 部署在虚拟化平台
软件防火墙的好处除了可以自己流量的需求去配置定制硬件的配置之外,还可以随意的部署在台式机、服务器上。安装的道理和装在盒子里完全一样。同时随着虚拟化平台的发展,软件的防火墙也可以通过虚拟机的方式进行部署(比如Vmware ESXi、OpenStack、Cloudstack环境),抛开各类的云平台都有自身的虚拟防火墙功能不讲。将软件防火墙部署在云资源池中也会起到中流砥柱的做种。和硬件相比最大的优势可以按需调整配置。
由于篇幅的限定,具体部署操作内容请下载附件
开源防火墙(pfSense)的安装部署与配置的更多相关文章
- Hive安装部署与配置
Hive安装部署与配置 1.1 Hive安装地址 1)Hive官网地址: http://hive.apache.org/ 2)文档查看地址: https://cwiki.apache.org/conf ...
- 开源社群系统ThinkSNS+安装部署演示视频!
社群系统TS+一期版本发布之后,很多小伙伴们反馈安装部署有些困难,那么今天由我们的颜值与技术实力担当乔斌大佬通过录制视频的形式,给大家演示一下部署的整个过程,录制过程中有些杂音,请各位尽情谅解,后续我 ...
- Zookeeper单机安装部署与配置(二)
在上篇博客中简单介绍了Zookeeper的特点和应用场景,详情可参考:<Zookeeper简介(一)>,那么这篇博客我们介绍一下关于Zookeeper的单机模式安装步骤与配置. 环境准备 ...
- Twitter开源的Heron快速安装部署教程
什么是Heron? Twitter使用Storm实时分析海量数据已经有好几年了,并在2011年将其开源.该项目稍后开始在Apache基金会孵化,并在2015年秋天成为顶级项目.Storm以季度为发布周 ...
- linux centos7 nginx 安装部署和配置
1/什么是NginxNginx("enginex")是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP代理服务器,在高连接并发的情况下Nginx是Apac ...
- phpcs,phpmd,phan安装部署,phpstorm配置phpunit
git参考地址:https://github.com/YunhanTech/overview/blob/master/php/learn-road.md phpcs 安装 composer globa ...
- office web apps安装部署,配置https,负载均衡(七)配置过程中遇到的问题详细解答
该篇文章,是这个系列文章的最后一篇文章,该篇文章将详细解答owa在安装过程中常见的问题. 如果您没有搭建好office web apps,您可以查看前面的一系列文章,查看具体步骤: office we ...
- 高可用Hadoop平台-Ganglia安装部署
1.概述 最近,有朋友私密我,Hadoop有什么好的监控工具,其实,Hadoop的监控工具还是蛮多的.今天给大家分享一个老牌监控工具Ganglia,这个在企业用的也算是比较多的,Hadoop对它的兼容 ...
- Kafka安装部署
1.从官网下载安装包,并通过Xftp5上传到机器集群上 下载kafka_2.11-1.1.0.tgz版本,并通过Xftp5上传到hadoop机器集群的第一个节点node1上的/opt/uploa ...
随机推荐
- fengsuo
IP地址特定端口封锁 原理: 配合上文中特定IP地址封锁里路由扩散技术封锁的方法进一步精确到端口,从而使发往特定IP地址上特定端口的数据包全部被丢弃而达到封锁目的,使该IP地址上服务器的部分功能无法在 ...
- tensorflow 训练cifar10报错
1.AttributeError: 'module' object has noattribute 'random_crop' 解决方案: 将distorted_image= tf.image.ran ...
- HTML5 data属性
在HTML5中添加了data-*的方式来自定义属性,所谓data-*实际上上就是data-前缀加上自定义的属性名,命名可以用驼峰命名方式,但取值是必需全部使用小写,否则是undefinde 使用这样的 ...
- Ubuntu下面的docker开启ssh服务
选择主流的openssh-server作为服务端: root@161f67ccad50:/# apt-get install openssh-server -y Reading package lis ...
- tomcat中的类加载机制
Tomcat中的类加载机制符合JVM推荐的双亲委派模型,关于JVM的类加载机制不多说,网上很多资料. 1. Tomcat类加载器过程. tomcat启动初始化阶段创建几个类加载器: private v ...
- EF CodeFirst学习笔记001--主键约定
Code First 的核心是约定,这些默认的规则使我们可以用我们自己的类来创建模型.EF框架要求一个类必须有一个键属性.规则约定如果一个属性名为Id或者是类名+Id的形式(如PatientId),这 ...
- Java 一维多项式计算
求解Java一维多项式的通用方法 比如ax^4+bx^3+cx^2+dx+e 可以化为(((ax+b)x+c)x+d)x+e 那么观察规律可以将系数放到一个数组里num[e,d,c,b,a] publ ...
- day24 面向对象三大特性之封装
本周内容 组合 封装 多态 面向对象高级 异常处理 网络协议 通讯原理 互联网协议 TCP/UDP 基于TCP协议的套接字 上周回顾 1.xml,os,os.path 2.ATM+购物车 三层结构 3 ...
- 直接修改java的war包
会出现 jsp特征类型不对 descriptior UTF8 与ntfs 可以用jar命令来解决. 1.将war包移动到一个干净的路径下,使用jar xvf ROOT.war命令将war进行解压 ...
- log4j最中意的配置
log4j.rootLogger=DEBUG, Console, logfile log4j.appender.Console=org.apache.log4j.ConsoleAppender log ...