Firewalls de Hardware (Guia de Dimensionamento)


Introdução


O guia a seguir para o dimensionamento de hardware foi escrito inicialmente e principalmente para o produto pfSense®.
No entanto, é possível estender esses conceitos para Zeroshell, IPCop, IPFire, e em parte também para Monowall.
A seguir, temos os conceitos técnicos para explicar e justificar as nossas conclusões dada na tabela Dimensionamento instantâneo.
Se o usuàrio não queira ler toda a parte técnica pode pular imediatamente para: Dimensionamento instantâneo.

Para dimensionar o firewall hardware com base em pfSense® a partir de 2.0 em diante deve ter em mente dois fatores principais:

  1. O throughput necessário
  2. Características ou pacotes adicionais de pfSense® usado

Esses dois fatores afetam principalmente RAM, CPU, memória e quantidades de NIC. Na parte inferior iremos fornecer nossa experiência em dimensionamento de hardware.

1. Considerações de transferência necessária


Por definição é baseada em taxa de transferência de um canal de comunicação sua capacidade de transmissão realmente utilizados.

O rendimento não deve ser confundida com a capacidade da ligação. Tanto a capacidade e a taxa de transferência são expressos em bit / s, mas enquanto o primeiro expressa a taxa máxima de transmissão na qual os dato podem viajar, rendimento è um índice da utilização efectiva da capacidade da ligação. Throughput è a quantidade de dato transmitidos em uma unidade de tempo e è depende exclusivamente da quantidade de informação è colocado no canal na transmissão.

È importante para determinar o rendimento de uma rede antes da instalação de um firewall pfSense® , pois determina o tipo de CPU para ser usado e, em alguns casos, o tipo de NIC.
Se você precisar de menos de 10 Mbps, em seguida, pode usar os requisitos mínimos de hardware. Para rendimento acima è recomendo fortemente que você siga o tamanho sugerido pela tabela a seguir, com base em testes, na verdade, realizados em campo. A tabela abaixo è projetado para evitar atingir o máximo nível de carga de hardware, assim para não ter problemas.

Requisitos mínimos do sistema para pfSense® a partir de 2.0 em diante:


CPU Pelo menos 100 MHz
RAM 128 MB
A instalação no disco rígido 1 GB
Incorporado Compact Flash de 512 MB

Dimensionamento pfSense® - Taxa de transferência

Taxa de transferência:Mbps Requisitos de hardware Produto recomendado Ruído
1-10 Mbps Pelo menos 500 MHz CPU Single Core Entry level Nenhum
1-40 Mbps Pelo menos 1000 MHz CPU Single Core APU Entry Level Nenhum
1-100 Mbps Pelo menos 1000 MHz CPU Single Core ASUTM - Microcluster Quase Nenhum
1-350 Mbps Pelo menos 2.4 GHz CPU Dual/Quad Core AUTM5 - Microcluster Quase Nenhum
50-650 Mbps Pelo menos 2.4 GHz CPU Dual/Octa Core A1-Server - Microcluster Quase Nenhum
750 + Mbps Pelo menos 3,5 GHz Quad/Octa Core. APUTM - Microcluster Quase Nenhum
Until 10 Gbps Pelo menos 3,5 GHz Quad/Octa Core. A1-Server - APUTM Quase Nenhum

2. Características ou add-on pacotes pfSense® usado


Muitos recursos do pfSense® influencia no tamanho do hardware.

VPN : o uso pesado do serviço da VPN, faz com que consuma muito da CPU. A criptografia e descriptografia de pacotes aumenta a carga sobre a CPU. O número de conexões è um fator de transferência menos preocupante.
  • CPU de 266 MHz suporta cerca de 4 Mbps de tráfego IPsec.
  • CPU de 500 MHz suporta cerca de 10-15 Mbps de tráfego IPsec.
  • CPU I7 ou Xeon suporta nova geração 100 Mbps de tráfego IPsec.
As placas que suportam criptografia reduz extremamente a carga da CPU.

Squid - SquidGuard - controle de tráfego de saída através de proxy : ambos os pacotes usam bastante a CPU e gravações de disco. Portanto, è fortemente recomendável o uso com a banda de Entry level e Entry level APU.
Para este tipo de trabalho è fortemente recomendado o uso com ASUTM , AUTM5 , A1-Server ou APUTM com discos SSD ou classicos.
No entanto, tambèm pode usar um pacote no nível de entrada melhor e único do squid, desde que você desligue qualquer tipo de escrita na mídia de disco.

Captive Portal : Ambientes com centenas de conexões exigir muita CPU. Com referência ao quadro da transferência terá de aumentar os usuários de um 15-20% para chegar a plataforma recomendada.

Departamento de tabelas de estado : Cada estado de entrada da tabela requer uma KB. A tabela de estado, quando completa 10.000 entradas, por isso cerca de 10 MB de RAM. Para tabelas foi maior, com centenas de milhares de conexões que você vai precisar para determinar a RAM apropriada.

Pacotes : a quantidade de pacotes deve aumentar significativamente a quantidade de RAM usada. Por exemplo bufo e ntop não deve ser instalado em plataformas de hardware, com menos de 512 MB de RAM.

versão do pfSense® para instalar


È para realçar a diferença entre os dois tipos de instalações que pode fazer com pfSense® sobre os diferentes dispositivos:

  • A solução incorporado ( firewall Entry Level ) NÃO permite escrita do arquivo de log em memória ( CF ou DOM) e em cada caso è não recomendado a fazê-lo . Nesta versão não pode instalar alguns pacotes adicional pfSense® .
  • A solução que está instalado no disco rígido (geralmente cerca de soluções UTM Appliance ou acima) tem o capacidade de conservar o registro para dentro. Nesta versão pode instalar todos os pacotes adicionais para pfSense® .


3. Aprofundamento sobre chipsets de rede


A escolha de uma placa de rede é essencial para quem está planejando um sistema de médio / grande.
Como você pode ver a partir das descrições dos produtos, especificamos sempre muito bem se os dispositivos incorporam um chipset Intel interno ou Realtek.

O Realtek chipset é Chipset Intel menos poderoso e é adequado principalmente para cargas de trabalho menos intensos. No entanto, para uma empresa que não necessita de alto rendimento (como 85% das empresas italianas) é sempre a escolha ideal.

A Intel em vez de oferecer melhor desempenho no tráfego pesado: ela oferece vários recursos avançados, como gerenciamento de filas e a versão 2.2 do pfSense® on também melhorou o suporte para multi-core. Isso se traduz em um maior rendimento e carga reduzida sobre a CPU.
Neste sentido, publicou um estudo sobre a otimização da Intel NIC através do tuning de driver e a configuração . Nós especificamos, no entanto, que, até agora, os nossos aparelhos não preciso dessa otimização. Nós incluímos de qualquer maneira.

Se você acha que seus aparelhos têm problemas de desempenho decorrentes da NIC você pode usar este guia para diagnosticar o problema.

4. Dimensionamento de acordo com o ruído dos equipamentos


Para oferecer o produto adequado, você precisa pensar onde será colocado firewall .
Se o equipamento será colocado nas imediações de pessoas trabalhando, você terá que escolher uma máquina com um baixo nível de ruído, ou você terá de comprar um kit especial silencioso.

Ultimamente, como um resultado da nova tecnologia de 25 nanometros da Intel, a potência absorvida foram grandemente reduzidas, e, consequentemente, também o calor dissipado é reduzido.

Do ponto de vista do design, optamos em manter em alguns modelos, o ventilador de modo que, se o board ou a CPU detecta altas temperaturas, estas poderiam ser dissipada por um ventilador instalado no interior do qual, em condições normais é desligado.

Segue-se uma tabela em que os dato foram fornecidos sobre o ruído indicativo do equipamento:
Dispositivo Nível de Ruido
Entry Level / APU Entry Level Nível 0 (completamente sem ventilador)
ASUTM / AUTM5 / A1-Server Nível 1 (ruído quase imperceptível)
Microcluster/APUTM Nível 5 (ruído audível de 4/5 metros)
Notas dos designers sobre o ruído :
Se o dispositivo dissipa o calor bem corretamente vai durar mais tempo, será mais estável e mais confiável!
É por isso que os nossos dispositivos são projetados para a saida correta do fluxo de ar e resfriamento dos componentes internos.

5. Quando devo usar os microclusters?


O microcluster é um dispositivo de 2U, que consiste em 2 gavetas internas, cada , um sistema de hardware completamente independente .
Em particular, por pfSense® você pode obter uma verdadeira Cluster ativo/passivo configurado para obter alta confiabilidade entre as duas gavetas que se transformam em vigor dos nós do cluster.
Outros S.O. não têm (Atè este momento) como uma função do CARP pfSense® mas pode ser configurado de outro modo, de tal maneira que o utilizador pode desligar manualmente um dos dois sistemas e ligar o outro. Podemos, portanto, dizer que se trata de um sistema que, em caso de Cluster pfSense® é automática e, no caso de outro S.O. é manual. Este sistema deve ser usado em ambientes onde a alta confiabilidade é necessário .

6. Dimensionamento instantâneo


Com base em nossas experiências que nós compilamos uma classificação das instalações que se seguiram ao longo dos anos. Esta classificação não é apenas o resultado da experiência quando você instala o firewall, mas também a evolução tecnológica que exige que o usuário do dispositivo durante os anos de uso.

Os resultados estão relacionados com a evolução tecnológica de tal forma que cada empresa/organização sofre ou são afetadas ao longo dos anos pelas diferentes necessidades. Por exemplo, as pequenas empresas, inicialmente, requerem a instalação de um firewall simples. Normalmente, depois exige instalação de aplicações, tais como VPN, filtragem de conteúdo e regras de navegação.

Com base no número de "dispositivos ativos" (ou seja, aparelhos conectados à Internet) desenvolvemos a tabela a seguir, que também leva em conta os conceitos acima:
Modelo firewallNúmero de dispositivos ativos
Entry Levelde 1 a 8 usuários
Entry level APUde 1 a 10 usuários
ASUTM o Microclusterde 8 a 35 usuários
AUTM5 o Microclusterde 20 a 60 usuários
A1-SERVER o Microclusterde 50 a 350 usuários
APUTM o Microclusterde 100 a 2500 usuários


7. Análise de desempenho aparelhos


NO VPN
BRIDGE NAT
TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter
ALIX 86,60 Mbps 87,10 Mbps 0,123 ms 86,57 Mbps 88,40 Mbps 0,122 ms
APU 474,00 Mbps 735,00 Mbps 0,028 ms 474,00 Mbps 535,00 Mbps 0,037 ms
ASUTM 595,00 Mbps 653,00 Mbps 0,033 ms 595,00 Mbps 535,00 Mbps 0,037 ms
AUTM3 602,00 Mbps 619,00 Mbps 0,030 ms 472,50 Mbps 653,00 Mbps 0,031 ms
AUTM4 754,50 Mbps 735,00 Mbps 0,024 ms 551,20 Mbps 560,00 Mbps 0,035 ms
microclusters 754,50 Mbps 735,00 Mbps 0,024 ms 551,20 Mbps 560,00 Mbps 0,035 ms
APUTM 939,00 Mbps 784,00 Mbps 0,029 ms 942,00 Mbps 784,00 Mbps 0,025 ms


Open VPN
AES128 AES256 Blowfish
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 13,43 Mbps 18.00 Mbps 0,052 ms 12.30 Mbps 16.00 Mbps 0,048 ms 14,67 Mbps 20.00 Mbps 0,095 ms
APU 68,20 Mbps 60.00 Mbps 0,055 ms 58,63 Mbps 55.00 Mbps 0.073 ms 79,33 Mbps 68,40 Mbps 0,057 ms
ASUTM 62,77 Mbps 75,50 Mbps 0,038 ms 56,10 Mbps 65,30 Mbps 0,064 ms 71,93 Mbps 87,10 Mbps 0,040 ms
AUTM3 79,30 Mbps 98,90 Mbps 0,033 ms 61,70 Mbps 86,50 Mbps 0,026 ms 86,20 Mbps 105,00 Mbps 0,037 ms
AUTM4 80,20 Mbps 94,10 Mbps 0,026 ms 69,40 Mbps 80,25 Mbps 0,042 ms 97,10 Mbps 114,80 Mbps 0,040 ms
microclusters 80,20 Mbps 94,10 Mbps 0,026 ms 69,40 Mbps 80,25 Mbps 0,042 ms 97,10 Mbps 114,80 Mbps 0,040 ms
APUTM 135,24 Mbps 121,74 Mbps 0,024 ms 116,16 Mbps 106,88 Mbps 0,031 ms 153,79 Mbps 138,41 Mbps 0,029 ms


IPSec
AES128 AES256 Blowfish128 3DES
TCP UDP TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16.00 Mbps 0,105 ms 13,73 Mbps 14.00 Mbps 0,116 ms 14.10 Mbps 15.00 Mbps 0,106 ms 8,62 Mbps 9,00 Mbps 0,089 ms
APU 49.00 Mbps 70.00 Mbps 0,061 Mbps 45,60 Mbps 54,20 Mbps 0,028 ms 44,60 Mbps 58,20 Mbps 0,083 ms 26,53 Mbps 32.00 Mbps 0,051 ms
ASUTM 60,13 Mbps 67,20 Mbps 0,042 ms 56.03 Mbps 63,20 Mbps 0,049 ms 56,87 Mbps 66,10 Mbps 0,057 ms 34,43 Mbps 37,10 Mbps 0,042 ms
AUTM3 42,30 Mbps 80.00 Mbps 0,057 ms 44,40 Mbps 75.00 Mbps 0,071 ms 39.50 Mbps 50.00 Mbps 0,029 ms 28,30 Mbps 38,40 Mbps 0,021 ms
AUTM4 74,22 Mbps 80,40 Mbps 0,079 ms 68,60 Mbps 73,50 Mbps 0,064 ms 69,70 Mbps 71,30 Mbps 0,074 ms 37,80 Mbps 40.00 Mbps 0,023 ms
microclusters 74,22 Mbps 80,40 Mbps 0,079 ms 68,60 Mbps 73,50 Mbps 0,064 ms 69,70 Mbps 71,30 Mbps 0,074 ms 37,80 Mbps 40.00 Mbps 0,023 ms
APUTM 109,54 Mbps 106,77 Mbps 0,039 ms 103,72 Mbps 96,06 Mbps 0,035 ms 105,99 Mbps 95,01 Mbps 0,039 ms 62,82 Mbps 54,86 Mbps 0,024 ms


IPSec
AES128 AES256 3DES
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16.00 Mbps 0,105 ms 13,73 Mbps 14.00 Mbps 0,116 ms 8,62 Mbps 9,00 Mbps 0,089 ms
ALIX + Card (*) 48,33 Mbps 39,10 Mbps 0,061 ms 48,07 Mbps 39,10 Mbps 0,078 ms 48,57 Mbps 39,10 Mbps 0,049 ms
Gain [%] 216,50% 144,38% 41,90% 250,11% 179,29% 32,76% 463,46% 334,44% 44,94%

(*) Estas medições foram feitas usando o .