[9.165][QUESTION] Performance issues with IPS/ATP/App Control

Question & Observation.

1) Is this performance decrease something that's changed from 9.1 to the 9.2 beta?

2) I have noticed with IPS/AppControl/Proxy on (since v8) that those subsystems of the firewall throw my results for a loop. I use speedtest.net and without any proxies on I get a consistent 12-15Mbps down at home and 30-50msec ping. Turn on the proxies (transparent mode no auth) and my tests go sideways. Ping goes up to 300msec on average and download speeds are all over the map, I've seen speedtest report speeds from 5Mbps on up to 30Mbps (on a 15Mbps line). Not uncommon to see the needle hovering at zero for half the test then suddenly shoot up to 50Mbps for the last few seconds, then speedtest reports I got 30Mbps.[:S]

Question & Observation.

1) Is this performance decrease something that's changed from 9.1 to the 9.2 beta?

2) I have noticed with IPS/AppControl/Proxy on (since v8) that those subsystems of the firewall throw my results for a loop. I use speedtest.net and without any proxies on I get a consistent 12-15Mbps down at home and 30-50msec ping. Turn on the proxies (transparent mode no auth) and my tests go sideways. Ping goes up to 300msec on average and download speeds are all over the map, I've seen speedtest report speeds from 5Mbps on up to 30Mbps (on a 15Mbps line). Not uncommon to see the needle hovering at zero for half the test then suddenly shoot up to 50Mbps for the last few seconds, then speedtest reports I got 30Mbps.[:S]

Question & Observation.

1) Is this performance decrease something that's changed from 9.1 to the 9.2 beta?

2) I have noticed with IPS/AppControl/Proxy on (since v8) that those subsystems of the firewall throw my results for a loop. I use speedtest.net and without any proxies on I get a consistent 12-15Mbps down at home and 30-50msec ping. Turn on the proxies (transparent mode no auth) and my tests go sideways. Ping goes up to 300msec on average and download speeds are all over the map, I've seen speedtest report speeds from 5Mbps on up to 30Mbps (on a 15Mbps line). Not uncommon to see the needle hovering at zero for half the test then suddenly shoot up to 50Mbps for the last few seconds, then speedtest reports I got 30Mbps.[:S]

1) I can't confirm this since I jumped ship from V9.1 to pfSense and now trying 9.2 beta with the transparent SSL function.

2) I noticed the same thing... it seems to cap out at 10MBps on my 100MBPs link. I turn off all three and leave HTTP filtering on (had to turn off AV) and it works like normal. Toggling any of those three causes the issue.

You will have to run iperf to test throughput. As Andrew pointed out, Flash tests perform poorly with http proxy enabled. You can try running the test with AV disabled to get consistent results.

I have noticed that they have limited the IPS severely in this release (probably my old hardware to blame). Even with the same rule set enabled as before, only 2500 patterns are loading in this version compared to over 6000 in 9.1 Also the memory usage for snort is way down. Only thing I am not sure is which patterns are being loaded and which are rejected (even though I have selected them in gui). 

I wish we could only load IPS patterns for current bugs/exploits instead of still worrying about code red signatures to optimize performance on low end hardware.

I wish we could only load IPS patterns for current bugs/exploits instead of still worrying about code red signatures to optimize performance on low end hardware.

Hi Billybob

That's the new feature in IPS to choose a timeframe, how old the rules can be. 

You can set the rules according to your updating behaviour. As I for example keep my Linux and Windows Clients up2date, I've set the Windows Linux OS timeframe to 

I thought I had read about that in release notes but somehow, I completely missed that. Thanks for pointing it out.

This also explains why I only had 2500 patterns loaded instead of the usual 6000 because 12 month time frame is applied by default [:P] I have tweaked my rule set and wow, this is amazing [:O]

Regards
Bill

Question & Observation.

1) Is this performance decrease something that's changed from 9.1 to the 9.2 beta?

2) I have noticed with IPS/AppControl/Proxy on (since v8) that those subsystems of the firewall throw my results for a loop. I use speedtest.net and without any proxies on I get a consistent 12-15Mbps down at home and 30-50msec ping. Turn on the proxies (transparent mode no auth) and my tests go sideways. Ping goes up to 300msec on average and download speeds are all over the map, I've seen speedtest report speeds from 5Mbps on up to 30Mbps (on a 15Mbps line). Not uncommon to see the needle hovering at zero for half the test then suddenly shoot up to 50Mbps for the last few seconds, then speedtest reports I got 30Mbps.[:S]

on point 2 its working as designed.  The downloaded test file fits within your download scanning size.  The system downloads it..scans it and then releases it to your machine.  Since it comes to your machine at full internal line speed the total time of the download as far as the app is concerned gets affected.  For a true reflection turn the http proxy a/v off...to get pings to their real level you have to completely disable http proxy.

on point 2 its working as designed.  The downloaded test file fits within your download scanning size.  The system downloads it..scans it and then releases it to your machine.  Since it comes to your machine at full internal line speed the total time of the download as far as the app is concerned gets affected.  For a true reflection turn the http proxy a/v off...to get pings to their real level you have to completely disable http proxy.

I kinda expected that given how I understand the proxy to work. I think the point I was trying to make is that with the proxy on, it's not uncommon for any web based speed test site to get wonky results with the filter on. I've tried it with the A/V off and it does improve somewhat, but not greatly on my Atom based unit (no longer in service).