Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 10381 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Robust Hardware but Poor Performance with IPS

jprez1980
Hey All -

So I've moved from my SG105 and to the software version of UTM using an i5 3.4GHz processor and 16GB of RAM.  My connection is 300/300M - with IPS on, speedtest.net behavior is strange.  

The speed will increase and then all of a sudden stop and start to reverse and then the website gives a socket error.  With IPS turned off, all is well.

My question is....is this just an artifact on speedtest.net meaning that the speeds are fine but the site for whatever reason is impacted by IPS or is IPS negatively impacting my speed even with the new hardware?

I've been able to replicate this behavior with just one machine connected to the UTM box and no other devices.

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    You will always see a speed decrease with IPS enabled for a single user with a single download, this is true, due to IPS (Snort) being single threaded and it does add latency scanning all traffic against many rules.  With your hardware though, the hit shouldn't be terribly obnoxious.

     then the website gives a socket error
    The following is not going to make speedtest a valid test, but check your IPS log from when this has happened. It may be triggering a false positive rule(s).  If so, get the rule SID(s) from the log entry, then you can create a disable rule modification(s) at Network Protection > Intrusion Prevention > Advanced.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    You will always see a speed decrease with IPS enabled for a single user with a single download, this is true, due to IPS (Snort) being single threaded and it does add latency scanning all traffic against many rules.  With your hardware though, the hit shouldn't be terribly obnoxious.

     then the website gives a socket error
    The following is not going to make speedtest a valid test, but check your IPS log from when this has happened. It may be triggering a false positive rule(s).  If so, get the rule SID(s) from the log entry, then you can create a disable rule modification(s) at Network Protection > Intrusion Prevention > Advanced.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
No Data
Unfiltered HTML