UTM Build advice

sophos..cisco....numerous others who have tested.   the only way you will see that much throughput is if traffic is bypassing the ips because of other things that are using the two threads inside an i-3.  The ht isn't the same as two cores.  so unless you have found some magic or UTM has totally reworked their architecture or cisco has magically released a new MT edition of snort 400 megabits per thread is highly doubtful in a base configuration unless it is only the firewall and snort..and even then that's doubtful so please elaborate on your full system hardware configuration....and then exactly how you have your firewall,nat,http proxy,etc etc et setup as well as ATP and IPS configuration..[:)]

you can do between 250-500 megabits per thread if the system is ONLY running snort by itself.

Also, CPU cache makes a big difference with snort. High CPU clock speed helps alleviate issues, it's critical, but not the only thing. 
 
VRT: Single Threaded Data Processing Pipelines and the Intel Architecture

I am going by experience of others, sophos ratings for it's UTM system(which i have shown accurate in my own testing and others with much more resources for testing than i).  Keep in mind than in the context of UTM there is more than just IPS running.  There is quite a bit more.  Unless there is either a bypass in place or a misconfiguration you aren't going to see 500 megabit per core in a UTM environment on a single thread without significant hardware and significant users.  In a standalone IPS only system environment you can but in UTM it is highly unlikely without enough ghz and cores and users.

Like I said, many variable to account for. Will never be apples-to-apples. But this is what I'm seeing (and I'm surprised myself).

My Comcast line is 110/10, but I know Comcast (at least in my area) bursts the initial few seconds of download to the max, hence you see the graph drop.

Config:


Results:


TOP while running the test. You can see that snort is definitely running and so it httpproxy:


Ideas?

I recently got an i-3 3.3 and that thing is just overkill. The response time certainly puts a smile on your face, but it's an overkill for sure. With same setup as above, I get about 400 mbps speeds with snort at 66%, it'll probably max out at 500 mbps on a single thread.

What is your system hardware, I'm looking into purchasing a replacement system/upgrade and although I don't currently have that kind of throughput, I'd rather build a system to grow into vice continue to use my limiting system for much longer.

Like I said, many variable to account for. Will never be apples-to-apples. But this is what I'm seeing (and I'm surprised myself).

My Comcast line is 110/10, but I know Comcast (at least in my area) bursts the initial few seconds of download to the max, hence you see the graph drop.

Config:


Results:


TOP while running the test. You can see that snort is definitely running and so it httpproxy:


Ideas?

comcast doesn't burst anymore.  That 400 megabit is a measurement anomaly you weren't getting that speed.

What is your system hardware, I'm looking into purchasing a replacement system/upgrade and although I don't currently have that kind of throughput, I'd rather build a system to grow into vice continue to use my limiting system for much longer.

what is your lan and wan speeds?  How many devices and what modules of the utm do you wish to use?

comcast doesn't burst anymore.  That 400 megabit is a measurement anomaly you weren't getting that speed.

I've checked with iftop and it's true that I'm not getting that speed. Something is odd with that service. Certainly not "real-world" results.

What is your system hardware, I'm looking into purchasing a replacement system/upgrade and although I don't currently have that kind of throughput, I'd rather build a system to grow into vice continue to use my limiting system for much longer.

I'm using the following:
Intel DQ77KB Thin Mini-ITX MB, LGA 1155
i3-2120 (3.3 Ghz), bought used
4GB RAM
32GB SSD

Works for me. I'm a home user with about 17 various devices. 110/10 Comcast line. On average CPU stays at about 0.60%. A bit of an overkill -- but if you care about being able to get full 110 mbps on a single thread, then this setup will work. Before this I had Atom D2550 board with Broadcom NICs, and was getting about 80-90 mbps on a single thread (on that board the CPU averaged about 1.5%).

I'm using the following:
Intel DQ77KB Thin Mini-ITX MB, LGA 1155
i3-2120 (3.3 Ghz), bought used
4GB RAM
32GB SSD

Works for me. I'm a home user with about 17 various devices. 110/10 Comcast line. On average CPU stays at about 0.60%. A bit of an overkill -- but if you care about being able to get full 110 mbps on a single thread, then this setup will work. Before this I had Atom D2550 board with Broadcom NICs, and was getting about 80-90 mbps on a single thread (on that board the CPU averaged about 1.5%).

I appreciate the info.  And what you meant to say was you have future-proofed yourself, not overkill.  You never know what will come in the future while that computer still operates.  My local bandwidth can be 50/10 but I only pay for 20/5.  I thankfully do not need to pay for the higher speed yet.

I'm looking to build my new Sophos system, my current system was tossed together spare parts so having an idea of what components allow good speed will help me decide where I'm headed.

-Cheers