Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 2 subscribers
  • Views 61576 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Performance Problem with 100Mbit Fiber

chumbri
Hi there,

We have an ASG220 with Firmware-Version: 9.105-9 and a very strange behavior with the IPS (4507 of 15947 patterns).
Last week we did a fiber upgrade from 30Mbit to 100Mbit.

With IPS enabled we only get around 50Mbit throughput. (Tested with speedtest.net, cifs sharing and iperf)
With IPS disabled we get around 95Mbit, which is good. (Tested with speedtest.net, cifs sharing and iperf)

It makes no difference if I remove the LAN from the Local networks option in the Global IPS Settings. The problem persists.
The only solution is to disable IPS globally with the On/Off Button, to get an acceptable throughput rate.

The snort process uses around 10-20% CPU. There are no special warnings or error messages in the IPS Log.

Does anybody have an idea or recommendation?


This thread was automatically locked due to age.
Parents
  • 0
    Statement from support about IPS Performance:

    The value is directly measured inside the IPS module. Performance vary on packet size. The bigger packets, the better performance...

    Another interesting statement is the Exclusion List (Network Protection -> Intrusion Prevention -> Exceptions). Support told me to exclude every network, even if it is not protected by the IPS, because all packets go through the IPS Engine (but won't be scanned).

    Now I got the following mesaurements:

    IPERF tcp measurement with 4 Threads (Gigabit LAN Adapter):

    ./iperf -c x.x.x.x -P 4 -t 60 -w 64k --> 935Mbit/s throughput, IPS on,  25% Snort workload

    Filedownload from a server (100Mbit Fiber Internet) --> Inside Firewall 5MB/s, IPS on, 95% Snort workload
    Filedownload from a server (100Mbit Fiber Internet) --> Outside Firewall around 12MB/s

    Speedtest.net measurement (100Mbit Fiber Internet) --> Inside Firewall 50MBit/s, IPS on, 95% Snort workload
    Speedtest.net measurement (100Mbit Fiber Internet) --> Outside Firewall around 100Mbit/s 

    It looks like the trick with the Exception List improves iperf performance.
Reply
  • 0
    Statement from support about IPS Performance:

    The value is directly measured inside the IPS module. Performance vary on packet size. The bigger packets, the better performance...

    Another interesting statement is the Exclusion List (Network Protection -> Intrusion Prevention -> Exceptions). Support told me to exclude every network, even if it is not protected by the IPS, because all packets go through the IPS Engine (but won't be scanned).

    Now I got the following mesaurements:

    IPERF tcp measurement with 4 Threads (Gigabit LAN Adapter):

    ./iperf -c x.x.x.x -P 4 -t 60 -w 64k --> 935Mbit/s throughput, IPS on,  25% Snort workload

    Filedownload from a server (100Mbit Fiber Internet) --> Inside Firewall 5MB/s, IPS on, 95% Snort workload
    Filedownload from a server (100Mbit Fiber Internet) --> Outside Firewall around 12MB/s

    Speedtest.net measurement (100Mbit Fiber Internet) --> Inside Firewall 50MBit/s, IPS on, 95% Snort workload
    Speedtest.net measurement (100Mbit Fiber Internet) --> Outside Firewall around 100Mbit/s 

    It looks like the trick with the Exception List improves iperf performance.
Children
No Data
Cookie Information Banner