É um pouco tarde para o pôster original, mas para qualquer outra pessoa que esteja lendo ...
Eu ficaria com o pfSense dos que você mencionou. Implantei o pfSense no hardware do Netgate, virtualizado no ESXi e em dispositivos de firewall personalizados que atendem às especificações mínimas de hardware da página de requisitos do pfSense . Por segurança, você não terá problemas de virtualização que você não teria com o hardware dedicado, desde que a configuração do ESXi esteja configurada corretamente. Pelo menos essa tem sido a minha experiência. Você ainda terá problemas ao restaurar as configurações se precisar restaurar em uma VM que esteja em um host com configuração de hardware e software de rede diferente.
Eu recomendo ficar longe de virtualizar o firewall. Ele adiciona muita complexidade à configuração que pode se tornar um problema se você precisar dimensionar para ter vários hosts ESXi na configuração de alta disponibilidade e usando vSAN. Leia sobre como configurar as noções básicas de dicas e, em seguida, tente mapear como manter o pfSense virtualizado no mix. É possível, mas não vale a pena o esforço quando você acabou de aumentar a complexidade além das habilidades de solução de problemas do administrador médio.
Quando a configuração é simples como um host único ou isolado, o virutalzing funciona bem. Quando o host é ou pode ser configurado para HA, ter o pfSense virtualizado complica a configuração. Para redundância, ao contrário dos computadores desktop e laptop, os appliances de firewall não se tornam obsoletos rapidamente. Com isso dito, você pode configurar dois dispositivos de hardware pfSense para HA. E, mesmo nesse caso, eu recomendo uma prateleira na prateleira para quando a mãe natureza enviar mais joules pela sua rede do que seus protetores contra surtos possam suportar.