ASTARO/SOPHOS HOME USERS and IPS

Prior to going with Sophos I've ran pfsense on the same hardware. The overall performance of the IPS system was better than what I get with Sophos (e.g. with almost all rules turned on I got over 100mbps, where as with 12 month aging on Sophos I get just under 100 mbps).

With respect to catching: pfsense was actually catching a lot of "attacks", probably about 30+ per day. "Attacks" is a relevant term of course. In pfsense attack means any unauthorized access attempt. I had a rule in pfsense that would detect any connection to a privileged port that I didn't have open, or privileged to privileged port connections. Those were considered "attacks" and the attacker's IP address would be blocked. 

Having gone with Sophos I'm sure those "attacks" didn't stop, still there, but it is just tuned not to worry about those, as they'll be blocked by the FW anyway. 

I think there are two different philosophies here: 

(1) if you know that some IP address was trying to "hack" you, even something light, you know that nothing good can come out of that IP address and it should just simply be blacklisted and not processed in the future, what if they end up doing a more damaging attack in the future? Better be safe than sorry. 

(2) just worry about the attacks that really matter, don't fret the small stuff that will be blocked by the firewall anyway. This helps not to waste system resources.

Prior to going with Sophos I've ran pfsense on the same hardware. The overall performance of the IPS system was better than what I get with Sophos (e.g. with almost all rules turned on I got over 100mbps, where as with 12 month aging on Sophos I get just under 100 mbps).

With respect to catching: pfsense was actually catching a lot of "attacks", probably about 30+ per day. "Attacks" is a relevant term of course. In pfsense attack means any unauthorized access attempt. I had a rule in pfsense that would detect any connection to a privileged port that I didn't have open, or privileged to privileged port connections. Those were considered "attacks" and the attacker's IP address would be blocked. 

Having gone with Sophos I'm sure those "attacks" didn't stop, still there, but it is just tuned not to worry about those, as they'll be blocked by the FW anyway. 

I think there are two different philosophies here: 

(1) if you know that some IP address was trying to "hack" you, even something light, you know that nothing good can come out of that IP address and it should just simply be blacklisted and not processed in the future, what if they end up doing a more damaging attack in the future? Better be safe than sorry. 

(2) just worry about the attacks that really matter, don't fret the small stuff that will be blocked by the firewall anyway. This helps not to waste system resources.