下面我们来研究下我们的pf防火墙吧,这个东东原来是openbsd中用来替代ipfilter的防火墙,和openbsd配合简直是完美的集合,加上openbsd的relayd可以实现和F5(听说要几十万把)的防火墙负载均衡功能,pf有着很多很使用的功能,ip地址池的强大配置,syn代理握手,方便的包整流,流控,状态表控制,网关认证等等除了不支持7层过滤外,其他防火墙有的他都有,其他防火墙没有的他也有,全完能满足咱们的各种变态的要求,但是唯一的不好就是openbsd虽然安全但是,硬件支持不好,其中导致的最让我崩溃的就是没有不支持intel网卡的polling功能,遇到64小包,syn攻击等流量攻击直接挂住,定死!好在freebsd是一个研究,学者性的操作系统,他在偷学linux的同时,还在偷学其他的BSD,他很好的把pf从openbsd中移植了过来,而且功能语法知道freebsd9.0基本没发上变化,(freebsd是移植openbsd4.5-pf,openbsd此前经行了性能最大调整版本),当我们遇到非常大的syn小包攻击,导致 cpu中断崩溃时我们可以马上开启网卡的polling模式,虽然性能下降了点,不过好歹不怕syn攻击了,我的最后选择就是freebsd+pf作为我们的前端防火墙,把freebsd的swap关闭,所有系统加载到内存中区运行,精简内核,删除所有无用的程序,把freebsd运行等级提高到2,保护内核,及防火墙规则组件,如果你不是很熟悉pf规则编写,或者喜欢图形化,可以选择pfsense2.01-freebsd8.1+pf的防火墙系统。我给pf打80分吧,毕竟性能不算最高的,建议部署在千兆带宽以内,500台机器左右的机房。
好了,防火墙选择好了,随便谈谈diy防火墙的硬件选择及要求:
1、cpu,我们要选择多核心最少2个核心,最关键的还有频率,由于x86cpu是通用处理器,完成一个数据包的过滤需要很大的中断开销,已经非常多的指令执行(大概完整的处理一个数据包需要大约14000条指令),导致了其处理64位小包的能里低下,没办法我大概的算了一下,要使用x86处理器达到小包线速处理千兆带宽流量,需要处理器频率达到7G左右,但是除非你超频,否则我建议最少不要小于3.2G频率吧,而且最好选择intel-cpu支持能配合intel-网卡,更好的支持发送,接受列队功能,miix中断等专门的网络优化技术。
2、网卡不用多说了,唯一的选择intel网卡。而且要处理千兆的话最好是两块intrel网卡绑定聚合mode=0,这个我就不说了,linux配置大家都会吧,接口一定是pci-e接口,芯片组嘛5257系列了吧,最好支持队列,支持miix2代中断。把所有的外部网卡中断都cpuset 到第一个cpu上,可有效的防止ddos中断是的cpu切换开销,当然了你要知道那块网卡是外部的,通过vmstat -i查看中断号,你懂得。
3、不要硬盘,随便整一个dom盘,就可以了,反正只是作为启动用,一旦freebsd启动所有的东东都会加入到 内存中运行!关闭swap.
4、内存这个东东,越大越好罗。最少2G-4G吧, 如果你图稳定就选择32位的freebsd,内存嘛 有个2G就好了,一般来说一个连接占用1K左右内存,10M内存处理1万个连接吧。处理百万并发肯定要2G罗呵呵
5、其他的就没什么要求了,想耗电少点还是选择一块迷你小板吧,把所有东东塞进一个火柴盒子里面,就算是专业的千兆硬件防火墙了(开个十万八万的越高越有人买,越便宜越没人要)。
好了,大概的说了说。大家有时间多看看openbsd-pf手册,pfsense手册,研究研究,一定会有收获的。最后希望netbsd6.0赶紧出release,想用用他的新型防火墙 npf官方介绍对多核心有优化期待中。
本文出自 “清蒸BSD红烧LINUX” 博客。
