Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5305 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS throughput

trehune
Hi,

I've installed Sophos UTM Home on an VMWare ESXi server but I have some issues with IPS performance. If I don't enable IPS I get around 450-500 Mbit/s which is expected because that's my downstream. However, if I enable IPS the throughput drop to about 250-260, even if I disable all the signatures.

There are no issues with CPU and memory load, the VM has 4 cores and 4 GB Ram. The CPU load is next to nothing and about 20% of RAM is used.

I've also installed pfSense on the same ESXi and enabled IPS/Snort. pfSense gives me 450-500 Mb/s with IPS enabled.

Is the Sophos UTM Home capped or are there any other known issues?

Best regards,
Tomas


This thread was automatically locked due to age.
  • 0
    There's only a few hundred other threads in this forum about IPS performance, so I won't rehash too much, I'll let you research.  Look for responses by William, he's the King of IPS. [:)]

    UTM is not home capped.

    The summary is that UTM IPS uses Snort, which is something of a pig resource wise.  It's biggest issue is that it is single threaded, so you could have 40 cores, it wouldn't matter because a single session will only use one core, so highly dependent on CPU speed.  You'll still see a performance hit with the user configurable rules turned off, because there are rules that are not user configurable that are used regardless.  This isn't an "issue" or bug, just the way it works.
  • 0
    Not really a recommendation but, while seeing all the IPS threads, I did some searching and found this bit of information which may help in understanding the situation in more detailed geek speak:

    Errata Security: Multi-core scaling: it’s not multi-threaded
  • 0
    Hi,

    I've installed Sophos UTM Home on an VMWare ESXi server but I have some issues with IPS performance. If I don't enable IPS I get around 450-500 Mbit/s which is expected because that's my downstream. However, if I enable IPS the throughput drop to about 250-260, even if I disable all the signatures.

    There are no issues with CPU and memory load, the VM has 4 cores and 4 GB Ram. The CPU load is next to nothing and about 20% of RAM is used.

    I've also installed pfSense on the same ESXi and enabled IPS/Snort. pfSense gives me 450-500 Mb/s with IPS enabled.

    Is the Sophos UTM Home capped or are there any other known issues?

    Best regards,
    Tomas


    some questions:
    how many users?  what is wan up and down?  what other features are in use besides ips? most importantly what is the ghz per core of the HOST machine?
  • 0
    So when is Sophos going to convert to Suricata to finally get multi threaded performance?
  • 0 in reply to Bluedog
    So when is Sophos going to convert to Suricata to finally get multi threaded performance?


    no idea.  Sophos hasn't made anything plans like that known.
  • 0 in reply to Bluedog
    So when is Sophos going to convert to Suricata to finally get multi threaded performance?


    snort is also now in early alpha stages of their own multi-threaded version as well.
    https://snort.org/snort3

    maybe the cisco purchase is going to be a good thing....