Slow Throughput with Fast Cable

What can be done to significantly improve throughput with full services engaged?

Two biggest things are CPU & RAM. More RAM means more stuff can be cached off disk which improves performance. Faster CPU's with more MHz are also a big help.

Why was a greater improvement not observed between the 2 very different hardware systems?

My read of your D/L speeds showed a pretty significant margin between the two. 50Mbps vs 90Mbps is a pretty substantial difference.

Why was there not higher CPU utilization present?

The graph in webadmin shows the aggregate of all cores so if several cores are idling, you'll see lower numbers. The individual processes within the system aren't really multi-threaded so don't take advantage of the extra cores as much as they could (in theory).

Firewalling also isn't exactly the most CPU intensive task either. Basically the system performs a lookup on a table of rules for every packet that passes by and matches against the list. First hit wins.

Does this software use multiple physical cores and take advantage of hyper-threading?

The core OS does take advantage of multiple cores. As each process within the firewall is a separate program, the underlying OS will schedule each one among the available cores as it sees fit. Hyper-threading is essentially  "multi-core light" so doesn't really benefit the system as much as extra real cores would.

What is a reasonable expectation for this product with minimal users and a single high speed connection?

There is no one single right answer to that unfortunately.

Would anything improve the jump in latency?

The latency is a combination of the IPS & Web Proxy scanning. IPS can be improved somewhat through throwing more MHz at the problem. Multiple cores only really help when you have more users. The Web Proxy is going to keep those higher latencies no matter when you try (excepting below). The proxy goes to the Sophos cloud for classifying it's data which means there will always be some lag.

Would a local content filter database help, and how exactly would this be accomplished and updated on an ongoing basis?

The is a unsupported 'easter egg' in the UTM that does this. Search this forums for "Local Content Filter Database"

Would an SSD have a meaningful impact in this setting?

I haven't tested it but the gains would be minor as most of the delays in the UTM are primarily CPU, RAM & Network. Even if you swap a lot it still won't give you major gains.

Is different hardware needed (I was hoping a higher end system would not be needed for so few users)?

Again, the answer depends on what tradeoffs you're willing to make.

Is there any way to make more effective use of RAM vs HD or SSD?

The Local Content Filter Database does have a memory setting which has shown some improvements vs the disk mode. v9, for reference, is very memory hungry so 4 gigs or better will help.

What can be done to significantly improve throughput with full services engaged?

Two biggest things are CPU & RAM. More RAM means more stuff can be cached off disk which improves performance. Faster CPU's with more MHz are also a big help.

Why was a greater improvement not observed between the 2 very different hardware systems?

My read of your D/L speeds showed a pretty significant margin between the two. 50Mbps vs 90Mbps is a pretty substantial difference.

Why was there not higher CPU utilization present?

The graph in webadmin shows the aggregate of all cores so if several cores are idling, you'll see lower numbers. The individual processes within the system aren't really multi-threaded so don't take advantage of the extra cores as much as they could (in theory).

Firewalling also isn't exactly the most CPU intensive task either. Basically the system performs a lookup on a table of rules for every packet that passes by and matches against the list. First hit wins.

Does this software use multiple physical cores and take advantage of hyper-threading?

The core OS does take advantage of multiple cores. As each process within the firewall is a separate program, the underlying OS will schedule each one among the available cores as it sees fit. Hyper-threading is essentially  "multi-core light" so doesn't really benefit the system as much as extra real cores would.

What is a reasonable expectation for this product with minimal users and a single high speed connection?

There is no one single right answer to that unfortunately.

Would anything improve the jump in latency?

The latency is a combination of the IPS & Web Proxy scanning. IPS can be improved somewhat through throwing more MHz at the problem. Multiple cores only really help when you have more users. The Web Proxy is going to keep those higher latencies no matter when you try (excepting below). The proxy goes to the Sophos cloud for classifying it's data which means there will always be some lag.

Would a local content filter database help, and how exactly would this be accomplished and updated on an ongoing basis?

The is a unsupported 'easter egg' in the UTM that does this. Search this forums for "Local Content Filter Database"

Would an SSD have a meaningful impact in this setting?

I haven't tested it but the gains would be minor as most of the delays in the UTM are primarily CPU, RAM & Network. Even if you swap a lot it still won't give you major gains.

Is different hardware needed (I was hoping a higher end system would not be needed for so few users)?

Again, the answer depends on what tradeoffs you're willing to make.

Is there any way to make more effective use of RAM vs HD or SSD?

The Local Content Filter Database does have a memory setting which has shown some improvements vs the disk mode. v9, for reference, is very memory hungry so 4 gigs or better will help.