Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 9804 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 : slow throughput (no QoS, No IPS ...)

ledufakademy
Hello,
i'm new with sophos utm home 9.2, but skilled with professional utm like watchguard, netasq, zyxell etc.

i'm testing severals linux distribution which are dedicated to security.
I'm focused on :
Endian,
Smoothwall,
and sophos 9.2.

my firewall hardware is a compaq 6005 Pro SFF i.e. :

  • AMD Athlon II X2 B22 (2,8 GHz, 2 Mo de cache L2, bus HT 3.0)
  • Memory DIMM HP 2 Go PC3-10600 (DDR3 1333 MHz)
  • 250 Go 7200tr/mn WD Blue
  • 2 Marvell Technology Group Ltd. 88E8053 PCI-E Gigabit Ethernet Controller (LAN and DMZ)
  • 1Broadcom Corporation NetXtreme BCM5761 Gigabit Ethernet PCIe (WAN)


So this hardware is enough for home protection (only 20 hosts protected, 4 very active)

my test have been done with my debian linux jessie and with windows 7 (on my LAN area).
i copy an iso of 1.3 Go and a VMDK of 60 Go on a win2k8r2 server VM located on an hypervisor (ESXi 5.1 with intel nic) and on datastore of this ESXi 5.1 hypervisor respectively. Both , host (ESXi) and guest (VM) are located behind the DMZ.

In both case with Endian community firewal 3.0 the bandwidth is about 54 Mo/s (it's about the hard drive sata capability speed on this host)

But with Sophos utm 9.2 (home) bandwidth fall to 27.8 Mo/s (if i activate IPS etc ... 13.7Mo/s)
CPU : 2 % (dual core@2.4 ghz ... biggest that a lot of hardware UTM priced at 1000$ and more)
RAM : 20%
DISK empty (fresh install)

if you have any idea ? 

Note : LAN and DMZ are powered by the Marvell NIC (so no realtek nic here, as i can read in different threads)


This thread was automatically locked due to age.
  • 0
    The marvel nics are problematic...they are along the same lines as the realteks. The AMD athlons you are using are not fast cpus anymore:
    PassMark - AMD Athlon II X2 B22 - Price performance comparison

    Endian, Untangle, smoothwall are all lightweight UTM and don't have nearly the functionality or security offerings of Sophos Utm. The price you pay is a larger and heavier codebase. The athlon's are NOT fast cpu's when put into the context of Sophos UTM. This is a 4 year old cpu that is outperformed by just about everything.  Your cpu might be sufficient for the lightweight distributions but something full featured like Sophos UTM requires beefier hardware.  

    What it comes down to is that if you want to run a full featured UTM like Sophos you need the appropriate hardware for it.  For lightweight UTM's 4 year old hardware is fine...[:)]  Also any nic other than Intel or broadcom is going to be also problematic.  At the least i would get two Intel nics.  Also you really need 4 gigs of ram minimum for UTM to work at it's best.  If you can i would invest is faster hardware.  A fast DC haswell celeron is a great start with low power consumption(the sg210 is based on these).

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    hey william, thank you for answering.

    But this is a NO answer.
    I said that Endian with similar features (and IPS activated vs sophos) gave me 54 Mo/s WITH the SAME hardware, and you claim that sophos is much better , much faster, much newer BUT with 4 Go , intel nic, haswell cpu : OK.

    But on dashboard of sophos , my cpu when transfering file cpu is at 2 % !
    CPU is far enought for those task and here it's not the bottleneck.(and it' s 2.4 ghz , which is fast !!)

    on sg120 could give me the exact cpu please ? in order to compare in cpumark.

    i did not said that sophos is not good : their objects way is good (like checkpoint long time ago .. it's not NEW !)
    But performance are crapy.

    I'm actually testing sophos solution.
  • 0
    sg 210....it's a dc haswell celeron.  The new sg1xx's use newer atoms and are also faster than your athlon in every regard.  The current atoms use the silvermont platform with intel nics. you can get the exact cpu in the sg 115 here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/p/29647/97593#97593

    Endian doesn't have the same featureset as sophos.  IPs yes but there's much more that sophos does.  My statements stand...for a modern full fledged UTM you need modern hardware.

    You can get the ratings for the appliances at the following link:
    https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-sg-series-appliances-brna.pdf

    You can take it how you wish...but your athlon simply doesn't have the processing power even the Intel Atoms can muster these days.  Considering the sg220 with a DC haswell celeron I have deployed is currently replacing a lynnfeild core i-7 and running with lower load numbers while having everything turned on attests to this.  I have a UTM 110 deployed that nearly equals your athlon.  I can easily stuff a 16 megabit pipe with that Atom N450 cpu. The Athlon simply isn't in the same league with modem Intel hardware.  Current AMD hardware also can't hold up to Intel right now due to what i consider a major design flaw i have talked about extensively on these forums.

    In summary,  If you want modern performance on Sophos UTM you need modern..and not even expensive hardware.  Using AMD is not recommended as AMD is no longer a performance factor in the market.  They complete purely on price and that's it.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    ok.

    Intel Core 2 Duo T5600 Merom VS Intel Atom E3827 Bay Trail-I comparison chart

    ... as you see the cpu of SG115, atom EE3827,  is compared to Core 2 duo T5600 : ok ? (and totaly beaten !!!)
    A T5600 is about 1035 (PassMark - Intel Core2 Duo T5600 @ 1.83GHz - Price performance comparison)

    My CPU is PassMark - AMD Athlon II X2 B22 - Price performance comparison
    1633

    And you say that hardware for sophos is newer , better : this is a joke ?

    You're ...
    Sophos Silver Solution Reseller
    Sophos Certified Architect - UTM 

    ok, but be realistic one minute please.
  • 0
    Hi,

    Try testing on the Broadcom NIC instead of the Marvells.

    FWIW, I can get 500mbps on an old Atom if the IPS and app detection are disabled.

    Barry
  • 0 in reply to ledufakademy
    ok.

    Intel Core 2 Duo T5600 Merom VS Intel Atom E3827 Bay Trail-I comparison chart

    ... as you see the cpu of SG115, atom EE3827,  is compared to Core 2 duo T5600 : ok ? (and totaly beaten !!!)
    A T5600 is about 1035 (PassMark - Intel Core2 Duo T5600 @ 1.83GHz - Price performance comparison)

    My CPU is PassMark - AMD Athlon II X2 B22 - Price performance comparison
    1633

    And you say that hardware for sophos is newer , better : this is a joke ?

    You're ...
    Sophos Silver Solution Reseller
    Sophos Certified Architect - UTM 

    ok, but be realistic one minute please.


    I am being realistic....i posted the ratings for the devices....passmark isn't everything..as i mentioned get rid of the marvel nics and go with Intels.  If that solves your problem..great..if not..get real hardware.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    @ledufakademy - you really need to log into the console and watch top while doing your transfers to get a real idea of the system speed and load on the CPU.  I would not rely on the web interface for that information.  The real issue is that the IDS/IPS is a single-threaded process whereby the single core performance of the CPU in question is what is important.  If that CPU has a low single-core performance rating, then William is absolutely right, a better CPU with better single-core performance would be better.  However, if you disable the IDS function and speed doubles, that definitely says your CPU is choking and you may still have some tweaking to do on the UTM with AV scanning and whatnot.
  • 0
    Also the marvel nics are suspect as well..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to darrellr_01
    @ledufakademy - you really need to log into the console and watch top while doing your transfers to get a real idea of the system speed and load on the CPU.  I would not rely on the web interface for that information.  The real issue is that the IDS/IPS is a single-threaded process whereby the single core performance of the CPU in question is what is important.  If that CPU has a low single-core performance rating, then William is absolutely right, a better CPU with better single-core performance would be better.  However, if you disable the IDS function and speed doubles, that definitely says your CPU is choking and you may still have some tweaking to do on the UTM with AV scanning and whatnot.


    you're right.
    i will give a try to "top" cmd.
  • 0
    intel dual nic buy ... we are going to see if you're right ... or not.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?