Langues

Bien dimensionner son firewall pfSense

Afin de bien dimensionner votre firewall pfSense il faudra prendre en compte deux facteurs :

  1. le débit requis 
  2. les fonctionnalités que vous allez mettre en œuvre sur le firewall

 

Considérations sur le débit 

Si vous avez des besoins de débit inférieurs à 10 Mbps, la configuration minimum devrait vous suffir. Pour des débits supérieurs, nous vous recommandons de suivre les propositions exposées ci-dessous. Ces propositions ont été élaboré sur la base de notre expérience et des différents tests que nous avons pu conduire - nous avons cependant pris quelques marges car il n'est jamais recommandé de faire fonctionner un équipement à plein régime. 

  • 10-20 Mbps - pas de processeur inférieur à 266 MHz
  • 21-50 Mbps - pas de processeur inférieur à 500 MHz
  • 51-200 Mbps - pas de processeur inférieur à 1.0 GHz
  • 201-500 Mbps - configuration type appliance ou serveur avec une architecture type PCI-X ou PCI-e pour les cartes réseau. Processeur de 2.0 GHz. 
  • 501+ Mbps - configuration type appliance ou serveur avec une architecture type PCI-X ou PCI-e pour les cartes réseau. Processeur de 3.0 GHz.
 

Impact des fonctionnalités sur le choix hardware 

La plupart des fonctionnalités n'ont pas d'impact sur le dimensionnement de votre hardware, cependant quelques unes vont avoir un impact significatif. Nous nous proposons de les passer en revue ci-après :

Les VPN

Une utilisation importante de quelque type de VPN que ce soit inclut avec la distribution pfSense augmentera les besoins processeur (CPU). Le nombre de connexion est nettement moins impactant que le débit requis. Ainsi un processeur de 266 MHz offrira un débit max de 4 Mbps en sortie avec IPsec, un processeur de 500 MHz pourra tenir jusqu'à 10 à 15 Mbps en IPsec, et des serveurs ou appliance aux architectures modernes (type Xeon ou processeur dédié) pourront tenir un débit de 100 Mbps avec pas mal de ressources non utilisées. Certaines cartes dédiées à l'encryption peuvent permettere de réduire de façon significative la charge CPU. 

 

Les portails captifs

Bien que la principale considération à prendre en compte soit le débit, des environnements avec des centaines d'utilisateurs simultanés connectés sur le portail captif requerra un peu plus de puissance CPU que ce qui est indiqué ci-dessus. 

 

Table d'état très grandes

Chaque entrée dans la table d'état occupe à peu près 1KB en RAM. La table d'entrée par défaut, lorsqu'elle est complète (environ à 10.000 entrées) occupera donc un peu plus de 10 MB de RAM. Pour des environnements assez large qui requièrent des tables d'entrées plus étendues (pouvant aller jusqu'à des tables pouvant aller jusqu'à des centaines de milliers d'entrées) assurez-vous de dimensionner en conséquence votre hardware. 

 

Paquetages

Certains paquetages BSD augmenteront l'espace RAM requis de façon significative. Snort et ntop par exemple sont deux paquets qui ne devront pas être déployés sur des FW avec moins de 512 MB de RAM.