pfSense®与OPNsense®技术比较

这篇文章简单介绍了pfSense和OPNsense的历史和不同特点，不同的用户可以根据需要选择其中之一。

历史

OPNsense®是一款基于FreeBSD 10的年轻防火墙操作系统，它开始作为pfSense®的一个分支，它是从m0n0wall®出来的一个分支。他创立于2015年1月，2015年1月2日，它的官方网站上发布了第一个版本：15.1。注意，OPNsense®版本分别代表年份（例15）和月份（例如1）。因此，版本15.1表示2015年1月，每年有两个主要版本：1月和7月。

基于FreeBSD的pfSense®也是m0n0wall®的一个分支，在2004年9月由Chris Buechler和Scott Ullrich负责，用以克服该优秀嵌入式系统的一些局限性。m0n0wall®是一个嵌入式防火墙; 他的功能很强大，但可扩展性受到限制，因为操作系统完全在RAM中执行。pfSense®这个名字的由来，可以看看这篇博文。

m0n0wall®项目于2015年2月15日永久终止。其创始人Manuel Kasper鼓励所有用户使用OPNsense®。

为什么要分支

OPNsense®开发商已经参加了多年的pfSense®项目，但是，在2014年，因为想做出一些与众不同的事情，他们决定创建自己的项目，以更好地反映他们自己的需求。
导致分支的原因主要是技术性的，主要是安全性和代码质量。在最后（但并非最不重要），这一分歧是由于pfSense®完成了许可证的修改，导致了社区白领们的失望。

如果您希望了解分支原因的更多详细信息，请参阅以下链接：

https://docs.opnsense.org/fork/thefork.html#so-why-did-we-fork
https://m.reddit.com/r/PFSENSE/comments/3rh9dw/pfsense_vs_opnsense/

[OpnSense®：更新]

每周都会发布安全更新以适应新的威胁。

[PfSense®：更新]

pfSense®会经常发布更新，但频率没有OPNsense高。从2.3开始，已经将底层系统转换为FreeBSD®pkg，从而允许单独更新系统的某些部分，而不是单独更新过去的所有更新。

[社区]

这是两个项目之间的主要区别之一。与pfSense®政策相反，OpnSense®不支持创建和安装第三方插件。
OpnSense®开发人员坚持这一选择，以避免可能的代码缺陷。
链接： https://docs.opnsense.org/fork/nomoremyths.html#myth-opnsense-doesn-t-support-packages

[OpnSense®：社区]

OPNsense®取消了插件并引入了一个插件系统。所有想要参与项目的人都可以通过以下链接了解更多关于它的详细信息：

https：//docs.opnsense.org/development/examples/helloworld.html。

[pfSense®：社区]

正如前面提到的那样，社区必须签署一个ICLA，但可以像过去几年一样做出贡献。

OPNsense®与pfSense®：功能比较

特征	OPNsense®	pfSense®
防火墙	状态检查	状态检查
基于Web的图形界面	基于Phalcon PHP框架的Bootstrap	*从2.3迁移到Bootstrap
安装安装向导	是	是
可配置仪表板	是	是
IPv4和IPv6支持	是	是
无线接入点	是	是
无线客户端支持	是	是
设置和筛选/隔离多个	-	是
接口（LAN）DMZ等）	是	是
流量管理	是	是
状态表控件	是	是
NAT	是	是
冗余/高可用性	是	是
多WAN支持	是	是
服务器入站负载平衡	是（虚拟服务器设置）	是
网络诊断工具	有	有
[ping]	是	是
[跟踪路由]	是	是
[通过GUI进行端口测试]	是	更多与包]如nmap
V-P-N
[IPsec（包括第2阶段NAT）]	是	是
[Openv-p-n]	是	是
[L2TP]	是（tramite插件）	是（tramite插件）
[PPPoE的]	是（tramite插件）	是（tramite插件）
[PPTP]	有（不认为安全）	无（因不确定而被删除）
RRD图	否（系统健康）	是
实时接口流量图	是	是
动态DNS	是	是
入网门户	是	是
DHCP服务器和中继（IPv4和IPv6）	是	是
命令行shell访问	是	是
局域网唤醒	是	是
内置数据包捕获/嗅探器	是	是
备份和恢复fw配置	是	是
通过Web GUI编辑文件	是	是
虚拟接口：
[VLAN]	是	是
[LAGG / LACP]	是/是	是/是
[GIF]	是	是
[GRE]	是	是
[PPPoE / PPTP / L2TP / PPP WAN]	是/是/是/是	是/是/是/是
[QinQ]和网桥]	是	是
缓存DNS转发器/解析器	是	是
可以运行在许多虚拟化环境中。	是	是
代理服务器	是	使用插件
IPS	是（基于Suricata：已包括在内）	SNORT（EXTRA PACKAGE）
IDS	是（基于Suricata：已包括在内）	SNORT（EXTRA PACKAGE）
安全更新	每周	不定期发布修补版本
Raid软件	非正式支持*	全面支持

pfSense®VS OPNsense：实际表现

为了有另一个比较，我们决定在现场测试一些系统性能。我们选择在两个防火墙入口级别后面连接的两台主机之间进行文件传输测试。所使用的测试网络图如下：

从Host1到Host2的流量通过两个防火墙系统，在这两个防火墙系统上我们为所有测试注册了几乎相同的性能。测试过程中记录了以Mbps报告的表达值：

通过OpenV-P-N
通过v-p-n IPSec
通过直接路由

两种防火墙在所有情况下的表现都一样。

这是注册的值范围：

吞吐量	OPNsense®	pfSense®
文件传输OpenV-P-N	40-42 Mbps	40-42 Mbps
文件传输直接（路由）	150-330Mbps	150-330Mbps
文件传输V-P-N IPSec	150Mbps	150Mbps

硬件设备尺寸指南对OPNsense®和pfSense都有效。可以查看以下地址：http：//www.firewallhardware.it/dimensionare_hardware_pfsense.html。

结论

在网络上你可以阅读这两个项目的优点和缺点。两者之间的竞争对于项目和最终用户都是有利的：无论您选择何种方式，都会是一个好产品。
除了已经描述的微小差异之外，防火墙现在非常相似。系统性能是相同的（现在），都是从同一个操作系统派生的（这个结果甚至在测试之前就会被预测到）。
在硬件兼容性方面，我们没有注意到特别的差异以及特性：90％是相同的（参见上表）。
从图形上看，OPNSense®比pfSense®更好，菜单更加直观。
或许在未来，分离会更加明显或者可能不会；如果不是，那么选择另一种解决方案相当困难。
目前的选择可能是不同的OPNSense®图形布局、更具吸引力和更令人满意的菜单，或者多年的经验、优秀的社区和pfSense®更好的声誉。不要忘记OPNSense®刚刚超过3岁（与14岁的pfSense®相比）。
相反，让我们感到有点困惑的是，pfSense®和Community徽标下的社区版铭文所执行的持续许可证类型修改：将来是否会有不同的政策？
我们拭目以待。

其他

Scott Ulrich和Chris Buechler 于2016年7月28日正式离开 pfSense®项目，之后他接受了Ubiquiti Networks的首席工程师职位。

转载于:https://blog.51cto.com/fxn2025/2127970