Úgy tűnik linuxos (mit is beszélek, hiszen a pfSense alapja egy Freebsd) időszakom van. Pedig a rendszerek amiket üzemeltetek nagyrészt Microsoft alapúak. Ez a tűzfal szoftver viszont annyira szimpatikus nekem, hogy muszáj írnom róla.
Mi legalább egy ISA server 2006-ot és 2 ASA-t váltottunk ki vele. Egyszerűen jobban megfelel a célnak, pedig ISA-ban és ASA-ban is régi motoros vagyok már, tehát van összehasonlítási alapom.
Kezdjük az elején.
Mi is ez a pfSense?
A pf a BSD beépített csomagszűrője. A pfSense egy freebsd operációs rendszerre épülő végletekig optimalizált tűzfal csomag. (komplett rendszer, tehát nem lehet egy meglévő BSD rendszerre telepíteni)
A teljes csomag 50-100 Mbyte méretű. Letölthető ISO vagy CF kártyára írható formátumban.
Nálunk egy Atom N270 processzorral szerelt mini pc-re van telepítve az egész. A gépben van egy 4gb-os CF kártya 1 gb ram és 4 Realtek GB hálókártya. Ezzel a konfiggal a rendszer nagyobb sávszélességet tud kezelni mint egy Cisco ASA 5510! Persze vannak más szempontok is. Az ASA/TMG nagyon sok szempontból többet tud mint a pfSense. Ezzel egyedül az a probléma, hogy ezekre a dolgokra nincsen szükség általában. Egy csomó dologra, amit meg nem vagy bonyolultan illetve fizetősen (pl vírus irtás) tud szükség van. (nálunk)
Mi az amit jobban, egyszerűbben vagy olcsóbban tud a pfSense:
- Vírus irtás
- Sávszélesség szabályozás
- Stabilitás (ebben mondjuk a TMG gyengébb, az ASA ok)
- Captivate portal
- Szerintem sokkal egyszerűbb konfigurálni, de ez már aztán igazán szubjektív
- ALIX és WRAP platformok is támogatottak (többek között).
- Wifi Acces point is tud lenni!
Maga gép akkora mint egy ASA 5505:
Telepítés alapvetően háromféle módon történhet
- Szokásos bootlható ISO állományt használva (kiírva lemezre)
- CF kártya használata esetén a physdiskwrite program segítségével írható fel a rendszer a kártyára.
- Vmware appliance letöltése és konfigurálása
Maga a rendszer először konzolról konfigurálható, de itt csak legalapvetőbb beállítások végezhetők el.
Az igazi GUI egy weboldal, ahogy ez szokás mostanában.
Nem kívánok itt most pfSense tanfolyamot tartani. Ez amúgy is nagyképűség lenne, mert nem értek hozzá annyira.
Egy-két hasznos funkciót azért megemlítek.
RRD grafikonok.
Nagyon bosszantani szokott a TMG-ben, hogy nincsenek benne ilyen grafikonok. Hát itt vannak. Így kell ezt csinálni:
Tűzfal szabályok. Itt semmi érdekes nincsen és ez JÓ! Annyira magától értetődő minden, hogy aki még soha nem használta ezt a terméket, az is simán tudja kezelni.
Log. Nagyon szimpatikus, hogy a log elemeire kattintva azonnal létrehozható tűzfal szabály. Ezt persze az ASA is tudja. A TMG pedig sokkal jobban filterezhet, de ne legyünk telhetetlenek.
OpenVPN wizard.
Trafic shaper. Ezt a funkciót imádom. Rendkívül egyszerűen konfigurálható és remekül működik!
Captivate Portal. Igazán szépen van megvalósítva. Széles körűen konfigurálható elegáns megoldás pl. publikus wifi hálózatok internet elérésének „kordában tartására”. Ilyet nem minden tűzfal tud!
Bővebben itt: