Which IPS features cause performance loss?

Additional QoS screens...

So is my interpretation of the performance loss threads incorrect in that it would take a much higher speed pipe before I started to notice loss?

Yes.

An older Atom CPU (such as in the 110/120) should be able to handle 15mbps of HTTP traffic PER CORE through the IPS.
HTTP is pretty much the worst-case as it has the most IPS patterns/rules.

A faster CPU can handle much more. I've posted some benchmarks at 
https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29110

UTM version 9.2 has some improvements including rule aging, etc., which should help somewhat but I haven't benchmarked it yet.

Barry

uh the 1xx series is a single core cpu..HT doesn't count as a full core.
http://ark.intel.com/products/36331/Intel-Atom-Processor-N270-512K-Cache-1_60-GHz-533-MHz-FSB

OK, sorry I assumed it had a dual-core Atom.

In that case, it's exactly the same CPU as in my Atom, so my tests should be directly relevant.

Barry

I'm not a fan of testing by iperf..i understand it's value..i'll run my client's 110 through the same battery i used for my vm..that's IMO a better indication of real world performance.  Keep in mind basicguard has a 4 megabit upload cap.

What would you recommend for basic speed testing out to the Internet to confirm no bandwidth loss? I normally just speedtest.net. 

Regardless, I guess IPS isn't the cause of my performance issues? Any chance you were able to look at the QoS I have enabled on the 320?  Can't figure out why VoIP is suffering and have gone though all the logs, etc. 

Thanks! 
Jim

well you have to take something like speedtest with the right context.  I would try turning off QOS and see if that gets rid of the problem with your VOIP.  Also have you started a support ticket on your QOS issue?  Being shared with another router can cause issues as well...especially if they've changed something OR if the isp connection has changed.

Lol... seeing as how you used the word "Morman", I have a feeling you are on a cell?

Site 1 + 2
 - UTM 110 (9.107-33)
 - 3-6 users
 - Bonded T1's, 3m up/down.  Generally see lower speeds, like 2/2.
 - IPS Turned on
    - Operating sys attacks -> windows
    - Attacks against client software -> all
    - Protocol anomoly
    - malware
    - TCP Syn Flood
    - ICMP Flood 
    - Anti-portscan - drop traffic

Site 3
 - UTM 320 (9.107-33)
 - 50+ users, 10 servers, over 200 total devices
 - 20m Ethernet over fiber, soon to be upgraded to 50m
 - IPS Turned on
    - ALL attack patterns turned on
    - TCP Syn Flood
    - ICMP Flood 
    - Anti-portscan - drop traffic

do you have web filtering, application control..etc etc etc on?

ahh... QoS.  Ever since installing the UTM, my VoIP call quality has gone down.  Calls drop, one sided conversation, jitter, etc.  Previous firewall had zero QoS enabled and never had an issue.  I followed the QoS instruction sticky up top, and here is the results (screenshots).

My connection is a 20m over fiber, but I share it with another firewall/router, capped at 6/6.  So I realistically get 12/9 up/down when speedtesting to the internet.

one error in your QOS setup.  You say you actually only see 6 megs..your picture 4 shows you guaranteeing 8 megabits....that's going to cause issues.  all of your guarantees cannot exceed 6 megabits and you need to reserve 10% on top of that so i would not allocate more than 4.5 megabit(for wiggle room)

6/6 is the other router/firewall thats sharing the pipe.  I have it limited to 6/6 so its usage is predictable.  My side of the connection gets 12/9 generally.

I have virtually all features turned on, on all UTMs.  As of yesterday, I turned off IPS until I am sure that's not causing my problems.

As far as the sharing, there is a Verizon owned Adtran, switched to a Dell Sonicwall (6/6), and a UTM 320.  I figured that if I capped the Sonicwall, the UTM would get predictable bandwidth. 

You think the QoS could actually be hurting me?  There are likely 200+ devices in the building, used by approximately 80 people.  The connection is only a 20m, which again, is being shared.  I feel like the other traffic is going to brutalize the phones.

What about the automatic QoS rules?  Would I be better served turning those on and trying the manually configured, off?