Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 25105 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Which IPS features cause performance loss?

Jimstigator
I noticed it in my own network, and have confirmed in the forums that IPS causes some major performance loss.  Curious - is it the overall feature being turned on, or particular pieces?  Anyone done some testing with this?  Example - Can leave anti-portscan and DoS protection on, but turn off all attack patterns?

It just bugs the hell out of me knowing the units I just purchased kill my bandwidth using one of the primary features drawing me to Sophos UTMs.  

A number of my sites still run on 1-2 T1s and can't afford to take any hits to their bandwidth.

Thanks! 
-Jim


This thread was automatically locked due to age.
Parents
  • 0
    Lol... seeing as how you used the word "Morman", I have a feeling you are on a cell?

    Site 1 + 2
    - UTM 110 (9.107-33)
    - 3-6 users
    - Bonded T1's, 3m up/down.  Generally see lower speeds, like 2/2.
    - IPS Turned on
    - Operating sys attacks -> windows
    - Attacks against client software -> all
    - Protocol anomoly
    - malware
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic

    Site 3
    - UTM 320 (9.107-33)
    - 50+ users, 10 servers, over 200 total devices
    - 20m Ethernet over fiber, soon to be upgraded to 50m
    - IPS Turned on
    - ALL attack patterns turned on
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic


    What are your QOS settings
Reply
  • 0
    Lol... seeing as how you used the word "Morman", I have a feeling you are on a cell?

    Site 1 + 2
    - UTM 110 (9.107-33)
    - 3-6 users
    - Bonded T1's, 3m up/down.  Generally see lower speeds, like 2/2.
    - IPS Turned on
    - Operating sys attacks -> windows
    - Attacks against client software -> all
    - Protocol anomoly
    - malware
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic

    Site 3
    - UTM 320 (9.107-33)
    - 50+ users, 10 servers, over 200 total devices
    - 20m Ethernet over fiber, soon to be upgraded to 50m
    - IPS Turned on
    - ALL attack patterns turned on
    - TCP Syn Flood
    - ICMP Flood
    - Anti-portscan - drop traffic


    What are your QOS settings
Children
  • 0 in reply to William Warren
    ahh... QoS.  Ever since installing the UTM, my VoIP call quality has gone down.  Calls drop, one sided conversation, jitter, etc.  Previous firewall had zero QoS enabled and never had an issue.  I followed the QoS instruction sticky up top, and here is the results (screenshots).

    My connection is a 20m over fiber, but I share it with another firewall/router, capped at 6/6.  So I realistically get 12/9 up/down when speedtesting to the internet.
  • 0 in reply to Jimstigator
    ahh... QoS.  Ever since installing the UTM, my VoIP call quality has gone down.  Calls drop, one sided conversation, jitter, etc.  Previous firewall had zero QoS enabled and never had an issue.  I followed the QoS instruction sticky up top, and here is the results (screenshots).

    My connection is a 20m over fiber, but I share it with another firewall/router, capped at 6/6.  So I realistically get 12/9 up/down when speedtesting to the internet.


    one error in your QOS setup.  You say you actually only see 6 megs..your picture 4 shows you guaranteeing 8 megabits....that's going to cause issues.  all of your guarantees cannot exceed 6 megabits and you need to reserve 10% on top of that so i would not allocate more than 4.5 megabit(for wiggle room)
  • 0 in reply to William Warren
    6/6 is the other router/firewall thats sharing the pipe.  I have it limited to 6/6 so its usage is predictable.  My side of the connection gets 12/9 generally.

    I have virtually all features turned on, on all UTMs.  As of yesterday, I turned off IPS until I am sure that's not causing my problems.

    As far as the sharing, there is a Verizon owned Adtran, switched to a Dell Sonicwall (6/6), and a UTM 320.  I figured that if I capped the Sonicwall, the UTM would get predictable bandwidth. 

    You think the QoS could actually be hurting me?  There are likely 200+ devices in the building, used by approximately 80 people.  The connection is only a 20m, which again, is being shared.  I feel like the other traffic is going to brutalize the phones.

    What about the automatic QoS rules?  Would I be better served turning those on and trying the manually configured, off?
  • 0 in reply to Jimstigator
    You mention sharing the connection with another firewall/router potentially causing issue.  The reason I split is because I have two separate companies/networks running out of the same building.  Would this setup be possible by solely using the UTM so then the UTM is handling all traffic?  I need complete separation of the two networks.

    Thanks!
    Jim