Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 2 subscribers
  • Views 61508 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Performance Problem with 100Mbit Fiber

chumbri
Hi there,

We have an ASG220 with Firmware-Version: 9.105-9 and a very strange behavior with the IPS (4507 of 15947 patterns).
Last week we did a fiber upgrade from 30Mbit to 100Mbit.

With IPS enabled we only get around 50Mbit throughput. (Tested with speedtest.net, cifs sharing and iperf)
With IPS disabled we get around 95Mbit, which is good. (Tested with speedtest.net, cifs sharing and iperf)

It makes no difference if I remove the LAN from the Local networks option in the Global IPS Settings. The problem persists.
The only solution is to disable IPS globally with the On/Off Button, to get an acceptable throughput rate.

The snort process uses around 10-20% CPU. There are no special warnings or error messages in the IPS Log.

Does anybody have an idea or recommendation?


This thread was automatically locked due to age.
  • 0
    Hi, did support say anything as to why the specs claim MUCH higher IPS performance?

    Barry
  • 0

    Sophos is claiming 750mb/s IPS throughput:
    https://www.astaro.com/en-uk/node/59


    Fyi,

    Barry
  • 0
    Statement from support about IPS Performance:

    The value is directly measured inside the IPS module. Performance vary on packet size. The bigger packets, the better performance...

    Another interesting statement is the Exclusion List (Network Protection -> Intrusion Prevention -> Exceptions). Support told me to exclude every network, even if it is not protected by the IPS, because all packets go through the IPS Engine (but won't be scanned).

    Now I got the following mesaurements:

    IPERF tcp measurement with 4 Threads (Gigabit LAN Adapter):

    ./iperf -c x.x.x.x -P 4 -t 60 -w 64k --> 935Mbit/s throughput, IPS on,  25% Snort workload

    Filedownload from a server (100Mbit Fiber Internet) --> Inside Firewall 5MB/s, IPS on, 95% Snort workload
    Filedownload from a server (100Mbit Fiber Internet) --> Outside Firewall around 12MB/s

    Speedtest.net measurement (100Mbit Fiber Internet) --> Inside Firewall 50MBit/s, IPS on, 95% Snort workload
    Speedtest.net measurement (100Mbit Fiber Internet) --> Outside Firewall around 100Mbit/s 

    It looks like the trick with the Exception List improves iperf performance.
  • 0
    Hi, 
    Your speedtest.net result looks unchanged (you reported 50mbps on page 1), right?
    Where are you seeing improved performance?

    Barry
  • 0
    Hi,

    Only iperf measurements show better results with IPS on. 
    speedtest.net and normal file transfer is still slow.
  • 0
    Finally, after weeks of support mails and tests I got the all explaining last mail from sophos support:

    This behaviour of the firewall is normal. 
    If you activate IPS, your global throughput will decrease by up to 70%. 
    It makes no difference if there are protected LANs or not.

    Version 9.2 should improve IPS performance by 50 - 100% (support statement...)
  • 0
    Hi, what I've seen myself is that indeed IPS needs A LOT of processor power to be able to get high-speed WAN connections.
    I had a Celeron D2500CC (2x 1,86 GHz) and a 150mbps internet line. This celeron was not able to reach 100 Mbit (even with IPS off and only webfiltering it only got to about 80mbps, with IPS on it's a lot less).

    Now I use a i5 4670 (quad-core 3,4 GHz) and that can use the full 150mbps with IPS and web filtering on.
  • 0
    Chumbri,

    Your IPS performance results are in-line with my experiences.

    However, Sophos is claiming 750mbps IPS throughput on the ASG 220, so they really should be answering to that.
    https://www.astaro.com/en-uk/node/59

    You should also talk to your reseller.

    Perhaps you can negotiate some sort of trade-up for a faster appliance model.

    Barry
  • 0
    Same issue here. Upgraded to 100Mb Fiber, got about 40Mb through. Working with support, they say this is normal, and the 640 throughput on the 220 is only when you have a GB connection through three WAN interfaces (106 in and out on each line)...and that's theoretical. 

    BIG issue with IPS not functioning properly. It's clearly the bandwidth limiting factor. With it off, I'm getting full speed through the device. In fact, we were getting 1Gb speeds with it off, until the ISP tuned the line down. Even then, we were still getting a throughput of 40, so it's an IPS issue.
  • 0
    GHZ is king with snort.  if you aren't running 3.0 ghz or faster ips is going to suck.  now that being said i am running my vm's on hyper-v.  My host is server 2008 r2 enterprise using the wsus, dns, dhcp(split with the other server 2k8 ENT vm), print, and hyper-v roles active.  This mahcine runs a xeon e3-1220 v2 ivy bridge @ 3.10 ghz.  The first vm is server 2k8 ENT running everything above except hyper-v, and wsus.  It does everything else and also does print sharing, it is my central spiceworks server as well.  The Sophos UTM vm has only two vcpus allocated to the machine due to performance scaling problems with more cores that i've talked about at length(which has been indirectly validated...)

    I leave the host system in balanced mode.  For straight hardware installs you may have to tweak the bios to have the cpu clock at max all the time...i sometimes have to do it here in windows too.  btw when you run said speedtest make sure you disable qos as it will put a lid on your performance.  My connection is 50/10 provisioned.

    my first speed test is with a/v and qos off and only ips running:
    http://www.speedtest.net/my-result/3280535723

    This is with the http proxy engaged and qos off(i have application control going as well as dual-scan a/v.  Caching is off:

    Speedtest.net by Ookla - My Results

    Why is download faster with http proxy on?  it is highly multi-threaded and nails the cpu forcing the ghz to ramp.  I take a hit on the return as the proxy goes away and snort isn't pushing as hard this time around.  my host cpu idles at 1.6 ghz and with http proxy off it ramped to 2.3 ghz.  With the proxy on it shot straight to 3.0 ghz so my incoming went faster.  My upstream flucuates between the two numbers though so that's normal for it.  The fix?  I'll tell windows to use high power mode which nails the cpu at max ghz 24/7 when i need it.  Most times i leave it in balanced mode.  This may have been a virtual and i can "hide" some of the negativity because my host has 3 other vm's it runs..[[:)]]  ON direct installs though this problem REALLY presents itself especially if the machine has a slow(2.0 ghz or less) or more than two cores(HT threads not counting).  If you have a quadcore 2.0ghz or slower on a direct hardware install you're in for a hurtin..[[:)]]