Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Durchsatz

xeogx
Hallo Zusammen,


ich habe die Sophos Software auf einem kleinen Rechner installiert. Soweit läuft auch alles super, aber ich finde den Firewall Durchsatz etwas gering.

Wo kann ich noch schrauben, dass der Durchsatz gesteigert wird?

Kurz zur Hardware:

Mini-ITX Board mit IntelRegistered-Atom-Prozessor-D2500 (2x 1,8GHZ??)
4GB RAM
500 GB HDD (5400rpm)
2xGigabit Onboard

Ich habe auf dem internen Interface 2 VLAN's eins für die DMZ und eins für intern. Wenn ich dateien von der DMZ ins interne Netz kopiere komme ich auf einen durchsatz von 3-6MB/s (Anzeige in Windows) wenn ich das ohne Firewall dazwischen mache komme ich auf 30-50 MB/s)

Die Firewall selbst ist aber nicht ausgelastet (CPU bei 30 - 50%) RAM und HDD genug frei.

Was kann ich noch machen um hier schneller zu werden??

mfg
Xeogx


This thread was automatically locked due to age.
  • 0
    Hallo

    Welche Funktionen hast du aktiviert? IPS an?
    Welche Version?
  • 0
    Ips =intrution prevention ? 

    Ich habe folgendes aktiv:
    Fw
    Ips
    Webfilter
    Remoteaccess
    Network visibility
    Endpoint Protection
    Antivirus
    Antispy

    Version 9.106-17
  • 0
    Ja das ist damit gemeint. 
    Schalte IPS mal komplett aus und teste den Durchsatz erneut.
  • 0
    Also das hat etwas gebracht - Jetzt habe ich (Anzeige auf der UTM)

    Mit IPS: 80MBit
    Ohne IPS: 100 MBit

    CPU liegt mit IPS bei 44% wenn ich eine grössere Datei kopiere.
    Da es ein VLAN ist, muss ich ja theoretisch den Wert verdoppeln (In+Out) dann hätte ich einen Durchsatz von 200MBit ohne IPS.

    Was hätte es denn für folgen, wenn ich die DMZ mit in die internen Netze in der IPS aufnehme oder welche Nachteile entstehen wenn IPS deaktiviert ist?
  • 0
    Ich deaktiviere IPS immer zwischen internen Netzwerken. In Richtung DMZ erlaube ich nur das was wirklich "durch" muss.

    Was hast den in der DMZ stehen?

    Was auch helfen kann:
    Nur die IPS Bereiche aktivieren wenn du auch das entsprechende Service betreibst...
  • 0
    In der dmz steht ein ftp(nas). Den möchte ich intern gerne per cifs erreichen.
    Wenn ich die dmz im ips als intern hinzufüge wird es leider auch nicht schneller. 

    Ich habe zwar durch dqs deaktivieren von ips einen leicht höheren Durchsatz.  Aber ich bin von den 1000mbit immer noch weit entfernt.  Ich könnte das ja verstehen wenn die cpu am anschlag wäre aber so versteh ich nicht wo es hängt.
  • 0
    Hallo,

    Du das kann von vielem abhängen! 

    Atom ist für IPS eher weniger zu empfehlen!
    Welche NICs hat die FW verbaut? 

    Wobei ich eher weniger mit IPS und Software UTM zutun habe. Generell ist es vernünftig deinen Beitrag im Hauptforum auf englisch zu posten. Oder du suchst hier im Forum nach der inoffiziellen HCL Liste - dort steht einiges drinnen mit welcher HW, welche Performance erreicht wurde.

    Ich verwende nur Appliances und kann dir daher leider wenig sagen welche Werte hier realistisch sind. 

    Gerald
  • 0
    Ohne IPS 100 MBit? Ich tippe mal drauf, dass Du irgenwelche alten100MBit NICs verbaut hast. Bau als erstes mal Intel 1GBit NICs ein.

    80MBit IPS mit Atom D2500? Aber nicht unter UTM9.1, oder...das wäre mehr wie erwartet? Falls doch, mach mal die 9.2 Beta drauf...die ist mit Atoms massiv performanter geworden ;o)
  • 0
    Also ich hab dieses Board verbaut:

    Intel BLKD2500CCE Mainboard Sockel BGA (mini-ITX, Intel NM10, DDR3 Speicher, 2x SATA, DVI, VGA, 7x USB 2.0):Amazon.de:Computer & Zubehör

    Die 80 kommen mir auch etwas viel vor. Als ich den thread begonnen hatte, hatte ich nur unter windows die Anzeige kontrolliert. Das waren 3-4 mb als ich am abend mit/ohne ops getestet habe kam ich auf 9/12 mb unter Windows.
  • 0 in reply to xeogx
    Ich habs gefunden :-)
    Für den Fall, dass jemand anderes auch dieses Problem hat...

    Bei mir war es einfach eine Einschränkung im QoS. Warum auch immer, war das für das Interface aktiv und war auf 100MBit beschränkt.
Cookie Information Banner