Find bottlenecks

utm is not the issue.  if you have something generating that kind of outgoing traffic you either have a compromised machine or you need to engage in some traffic shaping.

Hmm okey [:)]

any good traffic shaping you can recommend?

it's built into the utm...turn on application control so you can see what kind of traffic is chewing up your bandwidth.  you can easily shape it from the flow monitor once you've let the detection engine chew on your network for 24 hours.  First you need to setup QOS on all interfaces so the shaping is effective.  Once you know what kind of traffic it is you can take action.  

Does that traffic from the server exit via the WAN interface?  if it does shaping is the last thing i would worry about.  Get your 220 upgraded to 9.3x so you also have ATP going and you can see what is relaly going on.  Just from my general information i see in your first post i would be highly concerned that your server is compromised. if everything is leaving the WAN interface via your server.

I suggest a deeper and more complete understanding of the problem before potentially compounding the problem with blind changes in hopes of a fix.

"Slow network" is very vague.  Is a better (accurate and precise) description of the problem(s) available?  If not, what is slow?  What is not slow?

There were multiple ASG220 versions with differing interface speeds and no mention of your specific network topology as well as link/interface speeds/duplex.  Perhaps the older 100mbit versions of the 220 are old enough to not run 9.210 because of RAM - I don't have such details memorized and favor verification.

I agree with William and teched...  Maybe send everyone a note that you're shutting the server down because this looks like something is compromised, and that anyone that knows why this would happen suddenly should call you ASAP.

Cheers - Bob

Thanx for the replys. 

"Slow network" is very vague, I know. But just transfering files from server to the client network is slow. Accessing VMware View is slow etc. 

But I have turned on the Application Control now, and gonna let it be on until tomorrow. 
Am not drilled with the Sophos FW, but how do I setup QOS on all interfaces so the shaping is most effective like William says? 

[:)]

first off hit the ? in the webadmin it has a ton of useful information..[:)]  

QOS is actiavted via interfaces and routing---qos.  You have to configure the speed for each interface.  The most important for starters is the wan speed.

make sure you have ips and application control on..then turn on the advanced threat protection(ATP) as well.

First, do no harm.

Start by not using any of the checkboxes in the interface QoS definition. Just put in the correct up and download speeds. Then make Bandwidth rules that guarantee bandwidth. Save the limiting rules and the download throttling rules for later, after you've better determined your issues and exhausted the solutions available for preferring traffic instead of blocking it. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Thanx again for the replys [[:)]]

I have found one server that is taking backup of the backup - and it consume a huge amount of the traffic. 

And there are lot of streaming of web-tv (winter sport) - think I start there, and try to do somthing with the bandwidth [[:)]]