Hardware Perfomance

Hi, those specs seem to be MAX throughput; e.g. with only basic firewalling enabled.

That said, tuning the IPS might help a bit.

FWIW, the highest numbers I've seen posted for IPS throughput are 500-600mbps, and that was with dual Xeon CPUs and Intel or Broadcom NICs.

Barry

Hi, those specs seem to be MAX throughput; e.g. with only basic firewalling enabled.

That said, tuning the IPS might help a bit.

FWIW, the highest numbers I've seen posted for IPS throughput are 500-600mbps, and that was with dual Xeon CPUs and Intel or Broadcom NICs.

Barry

You know what? I think Astaro's IPS implementation is wrong - or rather insufficient. This user did a good request a time ago - but it was immediately answered by an admin who said 'Snort is allready capable of Multi Threading'. I don't know if the dev team has changed Snort to support true multi threading - but I think he was confused with multi process.

IPS In this manner is a difficult thing, becuase to take full advantage of a CPU a there are a lot of tricks coming into play. To let Snort take advantages of a multi-core CPU, the whole datastream need to devided in several chunks - where the data rates of a single chunk will differ for the amount of CPU power available. According to this post, (TL; DR Warning!) with this technique a single CPU will do 200 - 500 Mbit/sec. That said - it will - off course vary on the CPU power available and the ruleset used.

There is another IPS project - mentioned at the first link. At the time the idea was suggested - Suricata's multithreaded performance was a lot better than Snort's single-threaded performance, but if one used multiple Snort instances as described above - then Snort would be much more efficient.

But Suricata has another thing up on it's sleeve, and however it is in an early stage, I think this will be a breakthrough in efficient IPS filtering: CUDA. Yep, they are working on full GPU-acceleration support. The performance of this project could be astonishing.

Maybe the devs can tune in and at least take inspiration from it? When an UTM could offload these CPU intensive tasks like IPS to a GPU - it leaves a lot of CPU power available for other things. 

I am curious how my gateway would perform with a dedicated graphics card and this technique implemented.

Hi, those specs seem to be MAX throughput; e.g. with only basic firewalling enabled.

That said, tuning the IPS might help a bit.

FWIW, the highest numbers I've seen posted for IPS throughput are 500-600mbps, and that was with dual Xeon CPUs and Intel or Broadcom NICs.

Barry

You know what? I think Astaro's IPS implementation is wrong - or rather insufficient. This user did a good request a time ago - but it was immediately answered by an admin who said 'Snort is allready capable of Multi Threading'. I don't know if the dev team has changed Snort to support true multi threading - but I think he was confused with multi process.

IPS In this manner is a difficult thing, becuase to take full advantage of a CPU a there are a lot of tricks coming into play. To let Snort take advantages of a multi-core CPU, the whole datastream need to devided in several chunks - where the data rates of a single chunk will differ for the amount of CPU power available. According to this post, (TL; DR Warning!) with this technique a single CPU will do 200 - 500 Mbit/sec. That said - it will - off course vary on the CPU power available and the ruleset used.

There is another IPS project - mentioned at the first link. At the time the idea was suggested - Suricata's multithreaded performance was a lot better than Snort's single-threaded performance, but if one used multiple Snort instances as described above - then Snort would be much more efficient.

But Suricata has another thing up on it's sleeve, and however it is in an early stage, I think this will be a breakthrough in efficient IPS filtering: CUDA. Yep, they are working on full GPU-acceleration support. The performance of this project could be astonishing.

Maybe the devs can tune in and at least take inspiration from it? When an UTM could offload these CPU intensive tasks like IPS to a GPU - it leaves a lot of CPU power available for other things. 

I am curious how my gateway would perform with a dedicated graphics card and this technique implemented.