Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5307 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS throughput

trehune
Hi,

I've installed Sophos UTM Home on an VMWare ESXi server but I have some issues with IPS performance. If I don't enable IPS I get around 450-500 Mbit/s which is expected because that's my downstream. However, if I enable IPS the throughput drop to about 250-260, even if I disable all the signatures.

There are no issues with CPU and memory load, the VM has 4 cores and 4 GB Ram. The CPU load is next to nothing and about 20% of RAM is used.

I've also installed pfSense on the same ESXi and enabled IPS/Snort. pfSense gives me 450-500 Mb/s with IPS enabled.

Is the Sophos UTM Home capped or are there any other known issues?

Best regards,
Tomas


This thread was automatically locked due to age.
Parents
  • 0
    There's only a few hundred other threads in this forum about IPS performance, so I won't rehash too much, I'll let you research.  Look for responses by William, he's the King of IPS. [:)]

    UTM is not home capped.

    The summary is that UTM IPS uses Snort, which is something of a pig resource wise.  It's biggest issue is that it is single threaded, so you could have 40 cores, it wouldn't matter because a single session will only use one core, so highly dependent on CPU speed.  You'll still see a performance hit with the user configurable rules turned off, because there are rules that are not user configurable that are used regardless.  This isn't an "issue" or bug, just the way it works.
Reply
  • 0
    There's only a few hundred other threads in this forum about IPS performance, so I won't rehash too much, I'll let you research.  Look for responses by William, he's the King of IPS. [:)]

    UTM is not home capped.

    The summary is that UTM IPS uses Snort, which is something of a pig resource wise.  It's biggest issue is that it is single threaded, so you could have 40 cores, it wouldn't matter because a single session will only use one core, so highly dependent on CPU speed.  You'll still see a performance hit with the user configurable rules turned off, because there are rules that are not user configurable that are used regardless.  This isn't an "issue" or bug, just the way it works.
Children
No Data