need help planning a DMZ and guest network

actually yes a flaw, you said it yourself  -SNORT is SINGLE threaded in a world of multi-threaded CPU's! Suricata is a multi threaded IPS 
Suricata | Open Source IDS / IPS / NSM engine

CPU's are multi-core, not multi-threaded. They don't care if a program is multi-process or multi-threaded, they just run the code they're fed. And regardless of what code is running on the CPU, if there is not enough load on the CPU's from all the processes/threads running, the CPU will not transition to the higher core speeds required for maximum IPS performance.

IPS is one of these programs where a single stream being scanned is only allocated to a single process (in Snort) or a single thread (in Suricata). As a result, to get better single stream performance, you need higher core speed. To get better aggregate performance you need more processes/threads.

I have run everything from high powered vmWare servers to linux based firewalls ( ever heard of ipCOP?) on AMD CPUs for years this is the first I ever even heard of someone suggest that the AMD cpu  had a faulty design. Maybe AMD does nto run single threaded apps as well as Intel, but most apps have been multithreaded for years now

And my first PC ran DOS 5, I was a beta tester of Windows 95, ran Linux since Redhat 4, and spent time messing around with the precursor to a lot of these Linux based firewall/UTM systems. Remember Dachstein? Ran AMD back when Athlon XP & MP systems were wiping the floor with Intel's P4's, spent way too many hours tuning Linux as a Gentoo user, and now manage a small farm of VMware ESXi hosts running a mixed Windows & Linux workload.

It has nothing to do with single vs multi-threaded programs. AMD's currently running up against some architectural issues with their newer cores, akin to what Intel ran into with the Pentium 4 family before the core series CPU's came out. Using bulldozer as an example, intial tests actually showed AMD's premier CPU at the time lagged behind Intel in tests of "multithreaded apps" not just single threaded one. It was later coded around by Windows as AMD's methods for scheduling cores was a bit different from Intel, forcing Microsoft to release a patch to handle AMD's quirks.

sounds like I need a better product than Sophos can offer not a better CPU...I need to start small but maybe increase bandwidth and load as my business grows. I could save effort and just buy a new Barracuda, Fortinet or Watchguard firewall /UTM but I was wanting to give Sophos a try, maybe I should not even waste my time but I had heard good things about Sophos UTM.

Excuse the confusion but you're saying that Sophos is essentially garbage and you can find a better appliance from another vendor when all you've done to test Sophos is install it on an spare computer, asked for advice about the setup, was told you too much machine for the environment and would be better served with something smaller, then proceeded to complain about how Snort sucks compared to Suricata, and how'd you be better served with another vendor's system.[:S]

Given those other vendors don't offer software only editions (as far as I could see on their sites, I'd love to be corrected), the only fair comparison is run an SG210 and see how it compares. The 210 might be a bit over-sized for 20 users (a Sophos partner could say better after looking at your environment) but it'd show you what a properly sized Sophos system can do.[;)]

ok, first sorry I am not intending to sound testy or rude, I apologize if I did.

Second , my point was I had this hardware and wanted to use it, it may not be the best versus an Intel processor but it was free! I have 20 devices and users but only 3 people surfing, and a barely used mail server at this point so it should function well until I push to the limit of my 100 Mb downloads or 4 Mb uploads 

third, I think I will be fine if I virtualize this and assign resources properly per your suggestions, correct?

I apologize if I sounded rude and certainly appreciate your suggestions and wealth of knowledge, thanks for the advice, I am grateful.

CPU's are multi-core, not multi-threaded. They don't care if a program is multi-process or multi-threaded, they just run the code they're fed. And regardless of what code is running on the CPU, if there is not enough load on the CPU's from all the processes/threads running, the CPU will not transition to the higher core speeds required for maximum IPS performance.

IPS is one of these programs where a single stream being scanned is only allocated to a single process (in Snort) or a single thread (in Suricata). As a result, to get better single stream performance, you need higher core speed. To get better aggregate performance you need more processes/threads.


And my first PC ran DOS 5, I was a beta tester of Windows 95, ran Linux since Redhat 4, and spent time messing around with the precursor to a lot of these Linux based firewall/UTM systems. Remember Dachstein? Ran AMD back when Athlon XP & MP systems were wiping the floor with Intel's P4's, spent way too many hours tuning Linux as a Gentoo user, and now manage a small farm of VMware ESXi hosts running a mixed Windows & Linux workload.

It has nothing to do with single vs multi-threaded programs. AMD's currently running up against some architectural issues with their newer cores, akin to what Intel ran into with the Pentium 4 family before the core series CPU's came out. Using bulldozer as an example, intial tests actually showed AMD's premier CPU at the time lagged behind Intel in tests of "multithreaded apps" not just single threaded one. It was later coded around by Windows as AMD's methods for scheduling cores was a bit different from Intel, forcing Microsoft to release a patch to handle AMD's quirks.


Excuse the confusion but you're saying that Sophos is essentially garbage and you can find a better appliance from another vendor when all you've done to test Sophos is install it on an spare computer, asked for advice about the setup, was told you too much machine for the environment and would be better served with something smaller, then proceeded to complain about how Snort sucks compared to Suricata, and how'd you be better served with another vendor's system.[:S]

Given those other vendors don't offer software only editions (as far as I could see on their sites, I'd love to be corrected), the only fair comparison is run an SG210 and see how it compares. The 210 might be a bit over-sized for 20 users (a Sophos partner could say better after looking at your environment) but it'd show you what a properly sized Sophos system can do.[;)]

Lets back up, I did not call Sophos garbage only suggested it could improve with support for multi-threaded cpu's. When I first asked my question basically I got a "AMD is flawed argument" 

I never said Snort sucks, only that it is behind the times and has room for improvement
A Sophos 210 is several thousand dollars, I cant even try that option!
I can afford to buy a new watchguard for $500 with UTM subscription, but was trying to avoid the money spent when I owned such good hardware


I want to apologize if I offended, I do appreciate the knowledge and feedback, I just hate when people give me that Intel is great, AMD is junk garbage. 

All being said I will give Sophos a fair chance to prove itself,  I will get this working even if I have to buy a new processor, and work through configuration and bugs and then watch it for a year. I would love to sell Sophos if this proves itself to me. I suspect it just may after I learn the product and its caveats

ok, first sorry I am not intending to sound testy or rude, I apologize if I did.

Second , my point was I had this hardware and wanted to use it, it may not be the best versus an Intel processor but it was free! I have 20 devices and users but only 3 people surfing, and a barely used mail server at this point so it should function well until I push to the limit of my 100 Mb downloads or 4 Mb uploads 

third, I think I will be fine if I virtualize this and assign resources properly per your suggestions, correct?

I apologize if I sounded rude and certainly appreciate your suggestions and wealth of knowledge, thanks for the advice, I am grateful.

Your best bet is to not buy new hardware.  Load up in your case vmware and configure it as i noted.  present only twc vcpus to the vm but allocate 90%(or however little you want) to that vm...[:)]

AMD and Intel consumer grade processors can be set to run at specific speeds regardless of load as long as you have motherboard that supports these features.

AMD and Intel consumer grade processors can be set to run at specific speeds regardless of load as long as you have motherboard that supports these features.

no as granular as you think.  When you do that you defeat the power savgins most of the time.  If you want to leave it constantly pegged sure you can do that..but there's no reason to do that with either right sized hardware or virtualization.

Things get lost in translation sometimes.

The way I saw the thread, you asked about a system config, William said it was too large and suggested a different way to build it for best performance. You responded that Sophos was flawed if performance of one module went down because too much CPU was thrown at it. William then explained why IPS needed a smaller CPU, and mentioned why he doesn't reccomend AMD right now, at which point you reiterated Sophos was flawed because they used the older Snort and not Suricata (implying Suricata was superior because of multithreading), then proceeded to say you needed a better product, not a better CPU because your business was starting small and could grow in future.

This is where Williams explained why AMD has issues at present, and I explained why it didn't matter if Snort or Suricata was used, it was a CPU scheduling and power conservation issue, nothing to do with threading.

I also tossed out the suggestion that if you were testing this for business use (which was implied), you'd want to consider an appliance for testing, suggesting the SG210 as it's appropriate for a 20 user office.

This is where we are now.

But I am curious, is this for business use or personal? And what license are you using right now for testing?

I agree completely with your statement William regarding the loss of the power saving feature. I was just pointing out it's possible to ensure a certain level of performance with or without any virtualization which wouldn't depend on server load. It may be that the loss of the power saving feature may not be an issue for him. I was just pointing it out as a simple way of achieving guaranteed performance.

I do not agree or disagree that you should buy "right-sized hardware" as what's right today may not meet the needs of the future. Who knows if or when Sophos may switch to using Suricata. If that were to happen having extra power in the machine so the demands of the future may be met isn't a bad idea it's really just a cost/benefit situation that depends on the needs of his environment. If he is going to use virtualization I could see where having extra power may come in handy down the road even if Sophos never switches to Suricata.

Thanks all I do like the input, I am not implying or trying to Sophos is bad only that improvements like multithreading would be nice additions since multi threaded CPUS have long been mainstream. 

I am using this for my house now, I have my wife and my son using it also. I am trying to get a business started and am still in the planning phase.

I am trying to find things that are scale-able,  so I can start with free version and get it working and if I get my business gets started I only need buy licenses. If I have the right hardware it will allow me to expand and not replace hardware any time soon.

I work with small businesses that may like a product not as pricey but have the same functionality

Sophos or some company needs to allow for small businesses that start small and grow into heavier needs, I see it a lot where 1 year old expensive equipment needs to be replaced  because it was not scalable

So right now it is being used for personal, but I  may soon be using business and want to just purchase licenses at that time.

ok so for apt leveraging i would setup dns in the following way then.  Client-AD-utm-public dns.