Hardware for Virtualizing Sophos UTM

Hi Thor,

For home use, you can comfortably get away with using an i7 and non-ECC RAM. At home I run a supermicro based i7 workstation board w/ 24 GB RAM. VMware ESXi 5.x on top of the board with a UTM guest & several Windows 2012r2 instances. I have a 50/5 connection and have allocated 2 vCPU's and 6GB RAM for the UTM which runs with everything turned on.

Wether you virtualize or not, 1G/1G is going to put some strain on the UTM. A few pointers when selecting hardware:

1) CPU GHz is very important for several UTM modules. Modules like IPS, A/V, etc are very CPU bound so higher CPU core speeds translate to faster scan speeds and better internet performance. Intrusion Provention (IPS) in particular is sensitive to this but even with the fastest i5/i7 CPU's on the market, don't expect to get a full 1Gbps with it on. Gbps line speeds with IPS require some serious hardware that's imo serious overkill for home use.

2) Select good network cards like Broadcom and Intel based ones. These have been shown to be solid under heavy use, both the hardware and the drivers. There's good reason the likes of IBM/Lenovo, HP & Dell stick to those two in their servers. [:)]

3) SSD's. I'm on the fence with these. SSD's do offer marginal speed improvements when the UTM caches data to disk, and Sophos does put them in some of the faster UTM's so they do offer some benefit. The downside however is that the UTM tends to produce a lot of small writes to disk which is harder on the drives then regular server/desktop use. SSD storage cells have a finite number of writes before they die so the UTM's write patterns will wear out an SSD faster.

Hi "TheDrew" and thank you for your answer!

I am aware that I do not get the full 1G/1G and I do not plan on getting it[[[[;)]]]] It would be overkill.
But if I get more, it is better than when I get less [[[[;)]]]]

1) Okay, well, I think 3.3 GHz is all I can do [[[[;)]]]] But it shouldn't be too bad?!

2) Well I thought about getting an Intel x2 network card and using the two onboard ports for other vms / stuff

3) I planned on getting SSDs anyway (256GB Samsung 850 Pro in RAID1).

The other option would be to install the whole Sophos Part on a RAM Disk [[[[;)]]]] ;p


Thank you!
Regards
thor_

Hey Guys

I am new to the Sophos world, and new to HW Firewall appliances (until now, I used "just a router").

I am getting a new Fiber WAN Connection with 1Gbps up / 1Gbps down and would like to place a Sophos UTM Router/Firewall at the end of that.

Note: I want to run Sophos UTM as a VM in VMWare Workstation on a Linux Host.

First I looked at buying a Supermicro Barebone and equipping it with a 400$ E5-2630 with 2.4 GHz and 6 Cores.
But then I realized, that I also could build my own Server which would better serve my needs. 

I would get (for the same price) a machine with twice the RAM and a Hexacore i7 with 3.3GHz up to 3.7GHz.
Of course, this would be with a "Consumer" i7 and not an Intel Xeon and with normal RAM, not ECC RAM.

What do you guys think? Is it critical to have ECC RAM and a Server Grade CPU or can I go for the i7?

The whole installation is for a home user group with 4 users and normal internet use, no super-heavy usage (like streaming multiple HD vids arround the clock or so).

Regards
Thor_

if you are going to go vm do NOT go linux then a vm hypervisor then your vm.  either do a bare install of vmware esxi and run the vm from there or instlal hyper-v and then use a windows mahcine to manage.  If you want to run linux as your hyperviro setup the kvm hypervisor which Linux does well(depending on which distro).  You can get a free license for esxi from vmware for non-commercial use.

if you intend to use ips you don't have enough cpu nor enough users to push the system enough so you can get gigabit with ips on.  the i7 MIGHT be able to stuff gigabit with everything else though. with 4 users gigabit with ips is not going to be easily attained just due to the way ips(snort) is designed.  Buy the fastest cpu with the most cores(no amd) as you can afford..[:)]

Hi William

Thank you for your thoughts about virtualization.
The problem I have is that I need a GUI and the whole installation has to be low on support-time.

I plan on installing 3 UTMs over time, all virtualized, and just do not have enough spare time to fiddle with the terminal. (Altough I am terminal experienced I prefer a nice GUI *shame*).

This is Reason number 1 against ESXi

Hyper-V is not an option because of the costs. I know that there is a free version but again, it comes without a GUI. 
Also I could get ONE Server2012R2 with Hyper-V license though my university for free, but i need three licenses[[;)]]

Well and then about KVM. I never worked with it but there seems to be a massive amount of free administration tools.
Do you have any experience with it?

About me:
I am studying computer sciences, and can therefore learn all the things needed.
But I am more fascinated of the programming side of computers, and less the sysadmin part[[;)]]

Regards
Thor_

Thor,

ESXi runs essentially headless so all you need to manage it is the free vSphere Client software, which is available in the GUI of your choice.

ESXi installation is as simple as booting from the install CD, once installed setup the management IP address, install the client software on the PC/laptop of your choice, then manage the server from the client. I can go from CD to connected with client PC in under an hour. [:)] Closest you come to a terminal is the initial IP setup and that's a DOS-like menu, not Cisco-like terminal stuff.

Note that you will not see 1gbps through the IPS unless you have a lot of simultaneous streams, as Snort is CPU intensive and cannot divide processing a single stream across multiple CPU cores.

Barry

each single snort stream is limited to about 250-300 mbps max

Hi William

Thank you for your thoughts about virtualization.
The problem I have is that I need a GUI and the whole installation has to be low on support-time.

I plan on installing 3 UTMs over time, all virtualized, and just do not have enough spare time to fiddle with the terminal. (Altough I am terminal experienced I prefer a nice GUI *shame*).

This is Reason number 1 against ESXi

Hyper-V is not an option because of the costs. I know that there is a free version but again, it comes without a GUI. 
Also I could get ONE Server2012R2 with Hyper-V license though my university for free, but i need three licenses[[;)]]

Well and then about KVM. I never worked with it but there seems to be a massive amount of free administration tools.
Do you have any experience with it?

About me:
I am studying computer sciences, and can therefore learn all the things needed.
But I am more fascinated of the programming side of computers, and less the sysadmin part[[;)]]

Regards
Thor_

hyper-v has nearly zero management costs.  if you use hyper-v 2k8 you can use a win7 machine with rsat installed(rsat is free).  If you use hyper-v 2012 then you have to use win8.x to remote admin.  nothing more is needed.

Hey Guys

Well ESXi I don't think that it will be ESXi as they are switching over to a Web based Client, and this seems to not be free, or be very limited.

but I read more about free Hyper-V and it seems to be nice. There is also the tool "corefig" which provides a very basic GUI on the server itself.

I'll just give it a try and install it on a lab machine of mine, then I will see if I like it or not[;)] Thanks or the tip.

when you create a vm under esxi(using the windows management client) make sure you use hardware v9.  if you use hardware v10(which it does by default) then you are kinda stuck.  vSphere Essentials bundle includes 3 ESXi hosts and vCenter Server Essentials.  That might work for you as well..[:)]