Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 4639 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CPU Auslastung durch IPS bei UTM 110/120

Apo
Hallo zusammen,

ich habe bei einigen Kunden viele der kleinen UTM110/120 v5 im Einsatz.
Seit den Updates der v9 wird der Durchsatz immer schlechter, da die CPU Auslastung durch die IPS auf 100% geht.

Nun hatte ich vor 2 Monaten viele der IPS Filter deaktiviert und nur die nötigsten aktiv gelassen, was die CPU Auslastung bei ausgelasteter Bandbreite wieder auf unter 60% gedrückt hat. Leider ist es nun wieder so weit, dass die IPS fast bei 100% CPU Auslastung ist.

Einen Kunden habe ich mittlerweile auch auf die SG115 migriert, die geht zwar durch doppelte CPU Power merklich schneller, aber trotzdem kann ich auch dort nicht wie früher einfach alle IPS Angriffsmuster aktivieren, da sonst die Bandbreite runter geht, im Gegensatz zur UTM aber "nur" auf ~33MBit statt auf ~12MBit wenn alle IPS Angriffsmuster aktiviert sind.

Ist euch ähnliches aufgefallen? Oder nutzen hier die wenigsten die kleinen Appliances? Wie soll man damit umgehen, ist ja wirklich sehr unschön...

Viele Grüße,
Apo


This thread was automatically locked due to age.
Parents
  • 0
    Abhilfe: Die richtigen Appliances verkaufen... [;)]

    Eine UTM120/SG115 ist nur für kleine Büros mit wenigen Usern und nicht zu schneller Internetleitung geeignet.
    Wenn's auf Performance ankommt, nimmt man besser ab SG210 aufwärts (s. Sizing Guide).

    Außerdem sollten bei IPS nur die Patterns aktiviert sein, die auch benötigt werden und eine sinnvolle Einstellung bei den Einstellungen zum "Rule age" gewählt werden.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Abhilfe: Die richtigen Appliances verkaufen... [;)]

    Eine UTM120/SG115 ist nur für kleine Büros mit wenigen Usern und nicht zu schneller Internetleitung geeignet.
    Wenn's auf Performance ankommt, nimmt man besser ab SG210 aufwärts (s. Sizing Guide).

    Außerdem sollten bei IPS nur die Patterns aktiviert sein, die auch benötigt werden und eine sinnvolle Einstellung bei den Einstellungen zum "Rule age" gewählt werden.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • 0 in reply to scorpionking
    Naja es geht mir hier schon um die Kleinkunden... Hausverwaltungen, Makler, Steuerberater... Keiner hat da 10 oder mehr (errechnete)Mitarbeiter, aber jeder hat ne Business VDSL Leitung mit 50MBit welche diese auch gerne nutzen würden.

    Und gerade um den Sizing Guide geht es mir, selbst wenn ich am Abend alleine beim Kunden bin, bekomme ich über die SG115 nur 33MBit mit allen IPS Rules, laut Sizing Guide sollten es aber 135MBit sein.

    Laut altem Sizing Guide müssten es bei der UTM110 ja auch noch 90MBit sein, die schafft aber maximal 12MBit.

    1600€ für eine SG210 statt 500€ für eine SG115, das mach mal einen Kleinkunden verständlich... Ich verstehe das ja selbst nicht. Da werde ich künftig eher noch eine Quadcore NAS mit 4GB RAM kaufen und auf dieser die Firewall virtualisieren. (How To Use A QNAP NAS As A UTM - SmallNetBuilder)
  • 0 in reply to Apo
    Und gerade um den Sizing Guide geht es mir, selbst wenn ich am Abend alleine beim Kunden bin, bekomme ich über die SG115 nur 33MBit mit allen IPS Rules, laut Sizing Guide sollten es aber 135MBit sein.

    Und genau das ist der Fehler: Die IPS ist single threaded, d.h. eine Verbindung (z.B. ein Download) kann nur einen CPU-Kern nutzen. Da die UTMs aber alle mehr als einen Kern haben, kommt man in Summe dann wieder auf mehr.
    Aber wozu alle IPS-Rules aktivieren, wenn man nur einen Bruchteil davon benötigt? Gerade bei der IPS kann ein erfahrener UTM-Reseller einiges an Performance rausholen, indem er die Patterns und das Rule Age anpasst.
    Außerdem musst du, falls du weitere Features wie z.B. den Webfilter nutzt, diesen auch bei der Performance mit berücksichtigen.

    Wenn du tiefer in das Performance-Thema speziell in Bezug auf die IPS einsteigen möchtest, empfehle ich dir, mal die Posts von "William" zu suchen, er hat da viel wissenswertes gepostet.

    Da werde ich künftig eher noch eine Quadcore NAS mit 4GB RAM kaufen und auf dieser die Firewall virtualisieren.

    Mit einer QNAP wirst du vermutlich auch nicht viel mehr Spaß haben, da die dort verbauten Prozessoren nicht viel schneller sind, als in den kleinen SGs (außer, du nimmst ne große QNAP, aber die kostet dann auch entsprechend)...
    Außerdem frisst der Hypervisor acuh nochmal etwas Performance.

    edit:
    1600€ für eine SG210 statt 500€ für eine SG115, das mach mal einen Kleinkunden verständlich... 

    You get what you pay for...
    Wer maximalen Schutz und maximale Performance will, der muss das halt auch bezahlen.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner