Системные требования pfSense - оборудование и совместимость
pfSense основан на FreeBSD и поддерживает исключительно 64-разрядную архитектуру amd64 (x86-64). Система работает как на физическом оборудовании, так и в средах виртуализации. При выборе аппаратной платформы следует учитывать планируемую пропускную способность, количество одновременных соединений и набор используемых функций - VPN, IDS/IPS, прокси-серверы.
Минимальные требования
Приведённые ниже характеристики являются абсолютным минимумом для запуска pfSense. Для продуктивной эксплуатации необходимо ориентироваться на рекомендуемые параметры.
| Компонент | Минимум |
|---|---|
| Процессор | 64-разрядный (amd64), одноядерный, 500 МГц |
| Оперативная память | 1 ГБ |
| Диск | 8 ГБ (SSD или HDD) |
| Сетевые интерфейсы | 1 (минимум для работы, 2 для типовой конфигурации WAN + LAN) |
| Установочный носитель | USB-накопитель или DVD |
Внимание:
Минимальная конфигурация подходит только для лабораторных стендов и тестирования. Для продуктивного использования необходимо руководствоваться рекомендуемыми требованиями, приведёнными ниже.
Рекомендуемые требования
Требования к оборудованию зависят от масштаба развёртывания, объёма трафика и используемых сервисов. Ниже приведены рекомендации для трёх типовых сценариев.
Небольшой офис (до 50 пользователей)
| Компонент | Рекомендация |
|---|---|
| Процессор | 2 ядра, 1.0+ ГГц, поддержка AES-NI |
| Оперативная память | 4 ГБ |
| Диск | 32 ГБ SSD |
| Сетевые интерфейсы | 2 (WAN + LAN), Intel |
| Пропускная способность | до 500 Мбит/с без VPN |
Данная конфигурация достаточна для маршрутизации, межсетевого экрана с базовым набором правил и одного-двух VPN-туннелей.
Филиал (50–200 пользователей)
| Компонент | Рекомендация |
|---|---|
| Процессор | 4 ядра, 1.5+ ГГц, поддержка AES-NI |
| Оперативная память | 8 ГБ |
| Диск | 64 ГБ SSD |
| Сетевые интерфейсы | 3–4 (WAN, LAN, DMZ, опционально OPT), Intel |
| Пропускная способность | до 1 Гбит/с без VPN |
При использовании Suricata или Snort для анализа трафика объём оперативной памяти следует увеличить до 16 ГБ. Пакеты IDS/IPS потребляют значительный объём памяти в зависимости от количества загруженных наборов правил.
Корпоративная сеть (200+ пользователей)
| Компонент | Рекомендация |
|---|---|
| Процессор | 4–8 ядер, 2.0+ ГГц, поддержка AES-NI |
| Оперативная память | 16–32 ГБ |
| Диск | 120+ ГБ SSD (NVMe предпочтительно) |
| Сетевые интерфейсы | 4+, Intel серверного класса (i350, X520, X710) |
| Пропускная способность | 1–10 Гбит/с |
Для корпоративных развёртываний с активным использованием VPN критически важна аппаратная поддержка AES-NI. Без неё производительность IPsec и OpenVPN снижается в несколько раз.
Расчёт памяти для таблицы состояний
Каждое активное соединение, проходящее через pfSense, занимает запись в таблице состояний. Потребление памяти растёт линейно:
| Количество состояний | Потребление памяти |
|---|---|
| 100 000 | ~100 МБ |
| 500 000 | ~500 МБ |
| 1 000 000 | ~1 ГБ |
При планировании объёма оперативной памяти необходимо учитывать не только таблицу состояний, но и потребности установленных пакетов (Suricata, pfBlockerNG, HAProxy и других).
Сетевые интерфейсы
Выбор сетевого адаптера оказывает существенное влияние на производительность pfSense. Низкокачественные адаптеры создают повышенную нагрузку на процессор даже при небольшом объёме трафика.
Рекомендуемые чипсеты
Intel - предпочтительный выбор для pfSense. Драйверы Intel в FreeBSD отличаются стабильностью и высокой производительностью. Рекомендуемые серии:
- Intel i210/i211 - гигабитные адаптеры для небольших развёртываний
- Intel i350 - серверный гигабитный адаптер, поддержка SR-IOV
- Intel X520/X540 - 10-гигабитные адаптеры (SFP+/10GBase-T)
- Intel X710/XL710 - 10/40-гигабитные адаптеры, поддержка DPDK
Chelsio - адаптеры серверного класса с качественными драйверами FreeBSD. Подходят для высоконагруженных развёртываний с 10/25/40 GbE.
Адаптеры, которых следует избегать
Realtek - бюджетные адаптеры на чипсетах RTL8111/RTL8168 работают, однако создают значительно более высокую нагрузку на процессор по сравнению с Intel. Для продуктивной эксплуатации использовать не рекомендуется.
USB-адаптеры - категорически не рекомендуются. Они ненадёжны, обладают низкой производительностью и не подходят для работы в качестве сетевых интерфейсов межсетевого экрана.
Внимание:
Для проверки совместимости конкретной модели адаптера следует обращаться к документации FreeBSD Hardware Notes для версии FreeBSD, на которой основан используемый выпуск pfSense.
Виртуализация
pfSense поддерживает работу в большинстве распространённых платформ виртуализации. Ниже приведены рекомендации для каждой из них.
VMware ESXi
- Тип гостевой ОС: FreeBSD 14 (64-bit) или Other (64-bit)
- Сетевые адаптеры: VMXNET3 (предпочтительно) или E1000
- Дисковый контроллер: PVSCSI или LSI Logic
- Выделить CPU с поддержкой AES-NI и передать флаг гостевой ОС
VMXNET3 обеспечивает наибольшую производительность при работе с pfSense на ESXi. Адаптеры E1000 следует использовать только в случае проблем совместимости.
Proxmox VE
- Тип машины: q35
- Сетевые адаптеры: VirtIO (virtio-net)
- Дисковый контроллер: VirtIO SCSI или VirtIO Block
- Процессор: host (для проброса аппаратных инструкций, включая AES-NI)
VirtIO-драйверы включены в ядро FreeBSD и не требуют дополнительной установки. Proxmox является одной из наиболее удобных платформ для развёртывания pfSense в виртуальной среде.
Microsoft Hyper-V
- Поколение виртуальной машины: Generation 2
- Сетевые адаптеры: синтетические адаптеры Hyper-V (hn)
- Требуется отключить Secure Boot в настройках виртуальной машины
- Драйверы Hyper-V Integration Services включены в ядро FreeBSD
Внимание:
При использовании Hyper-V Generation 1 могут возникнуть проблемы с загрузкой. Следует использовать исключительно Generation 2 с отключённым Secure Boot.
KVM / QEMU
- Тип машины: q35
- Сетевые адаптеры: VirtIO (virtio-net)
- Дисковый контроллер: VirtIO (virtio-blk или virtio-scsi)
- Процессор: host
- Видеоадаптер: VGA (QXL не требуется для headless-установки)
Конфигурация аналогична Proxmox, поскольку Proxmox использует KVM/QEMU в качестве гипервизора.
Общие рекомендации для виртуальных сред
- Не следует использовать эмулированные адаптеры (rtl8139, ne2k) - они значительно снижают производительность
- Для VPN-туннелей необходимо убедиться, что аппаратные инструкции AES-NI проброшены в виртуальную машину
- Рекомендуется выделять фиксированный объём оперативной памяти вместо динамического
- Для высоконагруженных сценариев следует рассмотреть PCI Passthrough физических сетевых адаптеров
Миграция с других платформ
Администраторы, переходящие на pfSense с аппаратных решений Cisco ASA, FortiGate или MikroTik, нередко планируют использовать существующее серверное оборудование. При оценке совместимости следует учитывать несколько аспектов.
Переиспользование существующего оборудования
Стандартные серверы x86-64 (Dell PowerEdge, HP ProLiant, Supermicro) подходят для pfSense при условии совместимости сетевых адаптеров. Проприетарные аппаратные платформы (Cisco ASA appliance, FortiGate appliance) непригодны - они используют закрытые прошивки и в ряде случаев нестандартную архитектуру.
Компактные платформы
Для небольших развёртываний подходят компактные x86-64 платформы:
- Protectli - устройства с процессорами Intel Celeron/Core i, несколькими портами Intel NIC
- Qotom - мини-ПК с несколькими Ethernet-портами, процессоры Intel
- Supermicro SYS-E серия - компактные серверы с серверными сетевыми адаптерами
При выборе компактной платформы необходимо убедиться в наличии поддержки AES-NI и достаточного количества сетевых портов на адаптерах Intel.
Оценка производительности при миграции
При замене аппаратного межсетевого экрана на pfSense следует помнить, что заявленная производительность аппаратных решений (например, “Cisco ASA 5525-X - 2 Гбит/с firewall throughput”) достигается на специализированных ASIC. Программный межсетевой экран на x86 потребует более мощного процессора для достижения аналогичных показателей, особенно при включённых IDS/IPS и VPN.
Связанные разделы
- Установка pfSense - пошаговая инструкция по установке после проверки совместимости оборудования
- Обновление pfSense - обновление между версиями, в том числе при смене аппаратной платформы
- Правила файрвола - настройка правил фильтрации после завершения установки