pfSense是一个基于FreeBSD，专为防火墙和路由器功能定制的开源版本

pfSense是一个基于freebsd，专为防火墙和路由器功能定制的开源版本。

它被安装在计算机上作为网络中的防火墙和路由器存在，并以可靠性著称，且提供往往只存在于昂贵商业防火墙才具有的特性。它可以通过WEB页面进行配置，升级和管理而不需要使用者具备 freebsd 底层知识。pfSense 通常被部署作为边界防火墙，路由器，无线接入点，DHCP 服务器，DNS 服务器和 VPN 端点。

pfSense 简介

pfSense是一个FreeBSD下的免费开源的防火墙和路由器软件。

pfSense是一款功能强大的免费路由器软件，它是在著名的路由器软件mOnOwall基础上开发的，增加了许多mOnOwall没有的功能(pfSense的官方网站称它为the better mOnOwall)．严格说来，pfsense是一个免费的、开源的、经过改造的FreeBSD的定制版本，它主要用作防火墙和路由器。除了可以作为一个强健而灵活的防火墙和路由平台，它还包括其它的许多相关特性和程序包，可以进一步扩展性能而不会增加潜在的安全漏洞。

pfSense 发展历史

pfSense项目于2004年开始作为一个叉的m0n0wall的项目中，但侧重，而不是完整的PC安装m0n0wall的嵌入式硬件的焦点。pfSense的紧凑型闪存为基础的安装也提供了一个嵌入式镜像。

pfSense 特点

PfSense除了包含宽带路由器的基本功能外，还有以下的特点:

• 基于稳定可靠的FreeBSD操作系统，能适应全天候运行的要求.
• 具有用户认证功能，使用Web网页的认证方式，配合RADIUS可以实现记费功能
• 完善的防火墙，流量控制和数据包过滤功能，保证了网络的安全，稳定和高速运行．
• 支持多条WAN线路和负载均衡功能，可大幅度提高网络出口带宽，在带宽拥塞时自动分配负载．
• 内置了Ipsec和PPTP VPN功能，实现不同分支机构的远程互联或远程用户安全地访问内部网．
• 支持802。1Q VLAN标准，可以通过软件模拟的方式使得普通的网卡能识别802。1Q的标记，同时为多个VLAN的用户提供服务．
• 支持使用额外的软件包来扩展pfSense功能，为用户提供更多的功能(如FTP和透明代理)．
• 详细的日志功能，方便用户对网络出现的事件分析，统计和处理．
• 使用Web管理界面进行配置(支持SSL)，支持远程管理和软件版本自动在线升级．

pfSense 硬件要求

大多数功能不用考虑硬件性能，下面的这些功能将对硬件利用率产生重大影响：

VPN：如果大量使用pfSense中包含的VPN服务将会增加cpu的使用需求。 cpu如果支持硬件加加密，则所连接的数量要比所需的吞吐量要少得多。 IPsec的AES-NI加密可以明显降低CPU的需求。

入网门户：吞吐量的大小对CPU的使用有不同的要求，同时拥有数百个入网门户网站的用户应该使用比推荐的CPU功率更高一些。

状态表：每个状态表条目需要大约1 KB的内存。 默认状态表大小根据防火墙中可用内存的10%计算。 例如，1 GB内存的防火墙当完全使用大约100 MB的内存时默认状态表为100,000。 对于需要具有数十万个连接或数百万个连接的状态表的大型网络，必须确保有足够的可用内存。

软件包：部分软件包会增加了内存的使用量。 例如：Snort和ntop两个软件包不建议安装在小于1GB内存的系统上。

pfSense硬件配置建议

下表是pfSense 2.x的最低硬件要求。 但是要注意，最低要求并不适用于所有环境。 较低的配置会大大减慢系统运行速度，影响上网效率。

网卡选择

网卡是防火墙系统中重要的一个性能因素。 廉价的网卡通过中断处理使CPU饱和，从而导致错误的数据包出现。 好的网卡可以大大提高系统吞吐量。 当使用pfSense软件保护无线网络或分成多个LAN段时，接口之间的吞吐量将比WAN接口的吞吐量更重要。

基于英特尔芯片组的网卡，与pfSense软件一起使用时，效能最好，最可靠。 因此，强烈建议使用英特尔网卡或内置英特尔千兆网卡的系统。

CPU的选择

根据网络吞吐量确定合适的CPU。以下推荐值是假定网卡不是使用瓶颈，且没有安装其他软件包的情况下。

注意：如果要使用pfSense来保护您的无线网络或分段多个LAN段，则必须考虑接口之间的吞吐量。 在需要通过多个接口的极高吞吐量的环境中，尤其是千兆位接口时，必须考虑PCI总线速度。 在同一系统中使用多个接口时，PCI总线的带宽容易成为瓶颈。

硬件兼容性列表

由于pfSense基于FreeBSD核心的，其硬件兼容性列表与FreeBSD相同。 pfSense内核包括所有FreeBSD驱动程序。