Need to build a system capable of maintaining 200Mbs WAN speed

Hi, basic networking and firewalling (PacketFilter) is not CPU intensive.
Near gigabit speeds are no problem between my LAN and DMZ on my Atom-based firewall.

What IS CPU intensive is:
IPS
Anti-Virus (for HTTP content filter and/or SMTP)
VPNs


I'd recommend a low-wattage Intel i5 CPU; it should be powerful enough to run the IPS and VPNs at those speeds.

With any configuration, you should tune the IPS, including defining which internal computers are your servers, and disabling rulesets for applications you never use.

I don't know how hard it is to get run HTTP antivirus near those speeds, but you can always disable A/V and/or the HTTP content filter if you don't need it's filtering.

Yes, stick with Intel or Broadcom NICs.

Barry

For comparison, you can look at the Technical Information page on the Astaro Appliances, such as the 320:
Astaro Security Gateway 320

iirc, the 320s have a Intel Core2Duo CPU, which would not be as fast as an i5, and they are rated at: 
3gbps for firewalling (packetfilter and NAT)
450mbps for the IPS
350mbps for VPNs
125mbps for 'UTM'... that _might_ include A/V but it isn't clear to me

Barry

First question is, which Features do you Want to use?

Second, how Mans Users/Servers are being the device?

The three important variables are:
- Internet WAN uplink speed
- Used/activated features in the product
- Internet usage pattern (#of users and how the Internet gets used)

Other rules of thumb are
- single core, high frequency is better for firewalling, vpn and routing
- multiple cores are better for IPS, web and mailnsecurity
- ssd would be nice but currently TRIM support is missing and therefore not recommended, yet a fast hard disk will accellerate web security and reporting
- use an intel CPU that supports AES-NI, as support for it is currently worked on, will accelerate encryption in IPSec, sslvpn, RED and https filtering
- ram is good, 4-8GB, than you can use the in-ram classification database, which accelerates web security content filtering
- good intel nic with support for multiqueue at least 2x the amount of cores is recommended, as we are currently working on optimizations to better utilize them, will accelerate firewall, application control, IPS, VPN, ...

I hope that helps
Gert

Thank you for the great replies so far.

To answer some of the questions:

This is strictly for home/personal use, so there are only 3 main users.  I do allow a couple friends access to my network to grab a movie now and again but I am not too concerned about that(Fast VPN would be nice for this though).

There are 7 computer on the network, 4 game consoles, 2 ipads, 2 iphones, and 1 Synology 1511+ NAS, and a printer.  The computers consist of a Mac Pro I use as a dedicated server(DC, DHCP, DNS, Media Server, VM), 3 Mac Mini's I use for media centers, my windows 7 box, the wife's hackintosh, and 1 laptop.  Everything is wired going through HP Procurve 1810G-24 and two 1810G-8's Switches(well laptop, phones, and ipads are wireless).  The router is an old Dlink 655 that I still want to replace someday.

I am mostly interested in Firewall, IPS, Routing, and web/mail security(antivirus/malware).  I will use VPN every once and a while but it is not that important to me.  I really want to get the network security centralized instead of configuring individual systems and don't want to use my only sever as a gateway.

BarryG,

Thanks for your suggestions.  I was really wondering what the specs were for the 
320 since that seems to have the minimum speeds I was interested in.  Great information!

Gert Hansen,

As far as I have been able to test my real internet speeds seem to be 100Mbs Down /40Mbs Up (might be higher but that is the most I have seen on uploads).  I usually only see Download speeds like that when I use Usenet.  I actually have to throttle the 50SSL Usenet Tunnels I have or they will saturate the network.

Thanks for the great information on future AES-NI support, that is something I will definitely consider.  I currently use a Intel PRO1000 PT Dual NIC setup for teaming in my Windows box and have been very happy with the stability and performance of the card.  I was thinking about using the same NIC in the Astaro.


Obviously I will have alot to configure and I'm sure it will take a while to get all the kinks worked out once I setup the gateway.  I will most likely start with very little security and slowly tighten it more and more once I have some good data from the logs.  I doubt the wife would think it is very funny if I kill her facebook while I am trying to learn the system [:P]

Thanks again guys!

I put this together for you.

SUPERMICRO SYS-5036I-I Mid-Tower Barebone Server

Intel Xeon X3430 Lynnfield 2.4GHz LGA 1156 95W Quad-Core Server Processor BX80605X3430

Kingston 8GB (2 x 4GB) 240-Pin DDR3 SDRAM DDR3 1333 ECC Registered Server Memory Model KVR1333D3D4R9SK2/8G 

Kingston SSDNow V100 Series SV100S2/64GZ 2.5" 64GB SATA II Internal Solid State Drive (SSD) 

SAMSUNG CD/DVD Burner Black SATA Model SH-S223C - OEM 

It should be more than capable of exceeding your requirements. As well as be fairly quiet, inexpensive per performance, simple to build and has room to grow with future version requirements.
It benefits from the Intel 82574L gigabit server ethernet controllers that have more cache than the desktop models.

I hope this helps.

Cheers!

Rabbix - I built an Astaro I'm using at home with devices similiar to what you have.  This runs great for me:

Intel BOXD525MW Intel Atom D525@ 1.8GHz (Dual Core) - $85 (here)
Crucial 4GB (2 x 2GB) 204-Pin DDR3 SO-DIMM DDR3 1066 (PC3 8500) Dual Channel Kit Laptop Memory - $45 (here)
OCZ Onyx OCZSSD2-1ONX32G 2.5" 32GB SATA II MLC Internal Solid State Drive (SSD) - $77 (here)
Intel PWLA8391GTL 10/ 100/ 1000Mbps PCI PRO/1000 GT Low Profile Desktop Adapter 1 x RJ45 - OEM - $28 (here)
(Used case and power supply I already had)

Installed 8.102.   Set up web proxy content filtering in memory as shown here.

Two gigabit NICs (1 onboard and 1 pci).  Plenty of RAM.  Dual core low power processor.  Runs great.  Power usage according to Kill-A-Watt device is only 33 watts.

an atom isn't going to be able to maintain 100 megabit line speed(you'll have to use gig-e interfaces to approach 100 megabits with overhead).

Go with the fastest core i3 you can.  2-4 gigs of ram.  use nothing but intel/broadcom nics.  everything else has a high chance of being software nics which will cause you issues.  disk is not a big deal as you aren't going to be caching with 100 megs of wan bandwidth and 7 users.

- use an intel CPU that supports AES-NI, as support for it is currently worked on, will accelerate encryption in IPSec, sslvpn, RED and https filtering

Do I understand correctly that there is work being done with v8 to support AES-NI in the newer Intel CPU's?

I ask because I'm building a machine for use at home and I'm debating right now between purchasing an i7-920 (Nehalem/Bloomfield) or an i7-970 (Westmere/Gulftown). The 970, beside the extra two cores, supports the AES-NI instruction set.

a high end i7 is total overkill..you'll just be wasting a bunch of electricity.  Stick with a dual core HT i3 of around 2.5 ghz or so.  that'll be enough to handle your line speeds.

I agree with William that an i7 is overkill; some of the newer i5's are almost as fast and use MUCH less electricity (and are much cheaper).

Looks like the i3's don't have AES-NI, but the i5's do
My Search
AES instruction set - Wikipedia, the free encyclopedia

Barry