Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 24524 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS - Performance Problem

GuyFawkes
Hi guys,

I have a little performance issue and I hope anyone have an idea , how I can go on.

At this moment, it occurres only @home
Software Appliance - Version: 9.101-12

Internet - cable modem bandwidth100-120mbit/s - UTM
With the version 9.0, I have a throughput of 80-90mbit/s.

Since the update to 9.1, the throughput is only 20-30mbit/s (same config, same system).
If I disable the IPS, I get great values ​​again 100-110mbit/s. 
In the IPS configuration I select only the systems I use. I active the IPS and after seconds... I have the bad values again.

This is only from WAN to LAN. From LAN to DMZ, everything is all right.

Nice greetings


This thread was automatically locked due to age.
  • 0
    I am using Windows 2012 Hyper-V and its an intel nic on a Dell Poweredge 1950.
  • 0 in reply to NW-Loki
    I have has some performace issues with the current 9.101-12 IPS. Downloading from several speed test sites showed a reduced throughput. Drilling down I discovered the port scanner as being one of the contributors. The second item was in in attack patterns>Operating system speciffic>linux. Using both in addition to using attack patterns>attacks against client software>browser an average of 10 mb + was lost on both speed test.net, comcast speed test, and actual down loading. Currently the port scanner is off.

    Thanks,
    Jim
  • 0 in reply to BarryG
    Hi,
    All of you using VMs:

    1. which VM hypervisor (ESXi or KVM or ?)

    2. which NIC drivers are you using in the Astaro VM? 
    Note that the 'flexible' drivers have severe performance problems; the VMxNet or e1000 drivers are recommended.

    Barry


    I'm using ESXi 5.1. Nic drivers used are VMXNET 3.

    Franc.
  • 0
    Jim, were you seeing the same phenomenon in the Intrusion Prevention log as others reported above?

    Cheers - Bob
  • 0 in reply to scottj_01
    I have has some performace issues with the current 9.101-12 IPS. Downloading from several speed test sites showed a reduced throughput. Drilling down I discovered the port scanner as being one of the contributors. The second item was in in attack patterns>Operating system speciffic>linux. Using both in addition to using attack patterns>attacks against client software>browser an average of 10 mb + was lost on both speed test.net, comcast speed test, and actual down loading. Currently the port scanner is off.

    Thanks,
    Jim


    These settings don't make a difference in my case. Only disabling IPS gives me full bandwidth.
  • 0


    These settings don't make a difference in my case. Only disabling IPS gives me full bandwidth.


    Mine does the same.
  • 0 in reply to NW-Loki
    Bob,

    The log is empty. However with evertyhing running which was off as noted eariler, I am getting 73ms ping time to plainfieldNJ, 76.04mb down and 21.26 up on comcast speed test. Turning them off I am at 42ms ping 82.22 down and 20.3 up. Some of the variation is most likely due to internet weather. Howerver the difference in download is not, i can recreate it easily. The differeence will naturally change dependant on what speed test site selected.
    Here is what I posted with the 9.100-8 soft release. I believe the IPS back end would be the same. 9.006 did not exhibit the noted conditions. Please see below.

    Thanks,
    Jim 


     scottj scottj is online now
    Senior Member
    Join Date: Apr 2009
    Location: Northern Delaware
    Posts: 199

    #5 (permalink)  
    Old 04-25-2013, 10:44 PM
    Default
    All-

    I installed it, noticed some items look different. Country blocking has more functionality. I encountered some entries using DNSSEC in the DNS log. There is an increase in upload speed, however a decrease in down load speed. Using several speed test sites ranging between 65 to 76 mb down. Before the upgrade the average was 83 down. Downloading and installing the full ISO may correct those issues. Over all I think we are good, there are a few new items to try. I am interested to know what caused the difference in download speed. Maybe a left over from the upgrade....

    Thanks,
    Jim
  • 0 in reply to NW-Loki
    Hi,
    i'm testing in those days Sophos UTM on my Hyper-V 2012 host and I get the same problems already listed in this post.
    I also tried in my PC's enviroment with Vmware Workstation 9 and I also tried to install the software appliance into a physical machine but I always get higher latencies and slower throughputs. No strange errors found in the log.

    I'm evaluting this UTM solution since we are system integrators and we're looking for a solution which could replace our actual UTM solution that it's becoming to be deprecated for nowadays' needs.
    IPS is a fundamental feature for us. Snort is widely used and it isn't a problem caused by Snort.

    I'm using the lastest build 9.102008

    Please Sophos, let us know something about this problem.
  • 0
    what is everyone who is having this issue physical cpu type and speed?  then in hyper-v what percentage do you have setup and how many cores?
  • 0 in reply to William Warren
    The host is a vSphere 5.1 host with 32GB memory and an Intel Core i7-2600 processor running at 3,4GHz. 1 vCPU assign to the UTM, but also tried it with 2. No difference.

    Franc.