UTM 9.306 is SLOW!

Here is one thing i'm not seeing.  What is the hardware you are using?  How many users (devices count) are behind this machine?

VMware ESX.

CPU=3%, Memory= 10%, Users= 5 (designed for many)

Sophos tech stated that it will be forwarded to the development team...

have you disabled QOS on all interfaces?

QoS is disabled on all interfaces as it is disabled by default...thanks

after reboot, upload speed is about 25-mbps (half of normal 50-mbps)

IPS log is empty after reboot....thanks for all inputs....no input from Sophos yet

The IPS log may be empty now because you disabled the DoS protections; check the previous days' logs.

Barry

Barry,
It was logging UDP-4500 flood for the NAT-VPN, but this is not correct since our   Cisco IPS was not seeing it.

Thanks for checking.  No update from Sophos

Barry,
It was logging UDP-4500 flood for the NAT-VPN, but this is not correct since our   Cisco IPS was not seeing it.

Thanks for checking.  No update from Sophos

just because cisco wasn't seeing it doesn't mean it wasn't there.  I've seen sophos catch things cisco and others miss.,  I will say yes it could be a false positive..

The "UDP-4500 flood" was a valid NAT-IPsec request from a VPN peer.

So current state as follows:
1. Global IPS enabled, the rest are disabled: TCP/UDP/ICMP DoS and Anti-Portscan disabled, Pattern disabled.
2. Threat Detection enabled.
3. Antivirus and Anti-Spyware disabled.
4. Hot-Standby
5. Several Parent Proxies connected using IPSec VPN tunnels.
6. Several Web Filter Profiles pointing to unique Parent Proxy, and block personnal emails (Gmail, Hotmail, etc.)
7. Several interfaces (Vlans/Subnets) for wired clients.
8. CPU= 2%, Memory=10%
9. Users= 5 (designed for many-many users).

Performance:
download= normal at about 50-mbps
upload= half normal about 25-mbps

thanks...

The "UDP-4500 flood" was a valid NAT-IPsec request from a VPN peer.

So current state as follows:
1. Global IPS enabled, the rest are disabled: TCP/UDP/ICMP DoS and Anti-Portscan disabled, Pattern disabled.
2. Threat Detection enabled.
3. Antivirus and Anti-Spyware disabled.
4. Hot-Standby
5. Several Parent Proxies connected using IPSec VPN tunnels.
6. Several Web Filter Profiles pointing to unique Parent Proxy, and block personnal emails (Gmail, Hotmail, etc.)
7. Several interfaces (Vlans/Subnets) for wired clients.
8. CPU= 2%, Memory=10%
9. Users= 5 (designed for many-many users).

Performance:
download= normal at about 50-mbps
upload= half normal about 25-mbps

thanks...

if ips is on but the patterns are all disabled turn off ips as it isn't able to check for anything.  In order to get ips totally off turn of portscan detection as well as the ips.  Also if you have any of the dos protections turn them off.  Then turn off the web filtering and application control as well and retest.  Answer the hardware esxi host question first please. What is the underlying hardware for the esxi host?  cpu...ram...nic...etc...you ahve either a misconfiguration or a hardware problem of some kind.