Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 159298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos IPS Kill My internet speed

okaenrique
Hello!

I have UTM VERSION 9.314-13 on my ESXI 

ssd HARDIDSK
CPU intel core i5-4690k cpu 3.50GHZ  4 cpu 

in Vmware i have 4 virtualsockets and 5120MB memory .

every think is work but when i active Attack Patterns on IPS my internet speed change from 950Mbit/s to 300Mbit/s , 

i have tried active just ( Operating system specific attacks  ) and get same issue .

in my Sophos FW i have 
FW is active with 7 rules.
webfiltering is active with 0 requestes.
remote access .
Web Aplication Firewall is active .
Antivirus .
Antispyware .








Any help please ?


This thread was automatically locked due to age.
Parents
  • 0
    Hi There O  [:)]
    Take a printscreen of "Attack Patterns" and post here.
  • 0 in reply to Jens Heidling
    Hello okaenrique

    300MBit for a VM isn't too bad and is expected behaviour due how UTM scales IPS performance. This is, as I expect you doing the perftest from a single site. As UTM starts multiple snort instances (in your case with 4 cores most likely 3 snort instances) you only will get full throughput with multiple streams / connections.

    If you press in top "1", it will show CPU's in per CPU mode, where you most likely will see, that one core is saturated around 100%, and same, if you search for your snort processes, most likely one of them will run at 100% during that download / perftest.

    /Sascha
  • 0 in reply to Sascha Paris
    [QUOTE=Sascha Paris;301295]Hello okaenrique

    300MBit for a VM isn't too bad and is expected behaviour due how UTM scales IPS performance. This is, as I expect you doing the perftest from a single site. As UTM starts multiple snort instances (in your case with 4 cores most likely 3 snort instances) you only will get full throughput with multiple streams / connections.

    If you press in top "1", it will show CPU's in per CPU mode, where you most likely will see, that one core is saturated around 100%, and same, if you search for your snort processes, most likely one of them will run at 100% during that download / perftest.

    /Sascha[/QUOTE






    Thanks Sacha

    300 is so bad i have 950 without IPS ,i changed from 4 cores to 1 and the same problem ,




Reply
  • 0 in reply to Sascha Paris
    [QUOTE=Sascha Paris;301295]Hello okaenrique

    300MBit for a VM isn't too bad and is expected behaviour due how UTM scales IPS performance. This is, as I expect you doing the perftest from a single site. As UTM starts multiple snort instances (in your case with 4 cores most likely 3 snort instances) you only will get full throughput with multiple streams / connections.

    If you press in top "1", it will show CPU's in per CPU mode, where you most likely will see, that one core is saturated around 100%, and same, if you search for your snort processes, most likely one of them will run at 100% during that download / perftest.

    /Sascha[/QUOTE






    Thanks Sacha

    300 is so bad i have 950 without IPS ,i changed from 4 cores to 1 and the same problem ,




Children
No Data