IPS slows internet

Biggest issue you are running into with the IPS is that Sophos uses the single thread snort IPS engine. Single thread means single core utilization. The snort engine is given away freely, but Sophos has to pay sourcefire (purchased by Cisco) for the rules.

Some Intel CPUs offer offer "turbo boost" which will essentially "turn up the power" of one core while "turning down the power" of other cores. This would help to get faster IPS speeds with the Sophos UTM.

Also, multi core systems using virtualization, should (in theory) allow a person to take advantage of additional cores.  ie. free vmware or paid vmware vSphere but last I read, the overhead from virtualization greatly diminishes the speeds that the IPS should be capable of getting.

Once either snort is rewritten to take advantage of multiple cores or Sophos decides to pay extra to use the suricata IPS engine this reoccurring issue will keep happening, every time ISP speeds increase.

No idea if this answers your questions.  I am sure others on here can give you a reply as far as specs for a new high end system, if you are considering buying/building one.  I do not know if AMD has an equivalent for the Intel Turbo Boost yet, but if you want maximum IPS speeds, without virtualization, get a system a turbo boost cpu of the AMD equivalent.

Biggest issue you are running into with the IPS is that Sophos uses the single thread snort IPS engine. Single thread means single core utilization. The snort engine is given away freely, but Sophos has to pay sourcefire (purchased by Cisco) for the rules.

Some Intel CPUs offer offer "turbo boost" which will essentially "turn up the power" of one core while "turning down the power" of other cores. This would help to get faster IPS speeds with the Sophos UTM.

Also, multi core systems using virtualization, should (in theory) allow a person to take advantage of additional cores.  ie. free vmware or paid vmware vSphere but last I read, the overhead from virtualization greatly diminishes the speeds that the IPS should be capable of getting.

Once either snort is rewritten to take advantage of multiple cores or Sophos decides to pay extra to use the suricata IPS engine this reoccurring issue will keep happening, every time ISP speeds increase.

No idea if this answers your questions.  I am sure others on here can give you a reply as far as specs for a new high end system, if you are considering buying/building one.  I do not know if AMD has an equivalent for the Intel Turbo Boost yet, but if you want maximum IPS speeds, without virtualization, get a system a turbo boost cpu of the AMD equivalent.

I'm looking to get a used PC off eBay with i7 2600. Do you think that would be sufficient for the IPS? Bare metal or virtualized to maximize the IPS throughput?

Biggest issue you are running into with the IPS is that Sophos uses the single thread snort IPS engine. Single thread means single core utilization. The snort engine is given away freely, but Sophos has to pay sourcefire (purchased by Cisco) for the rules.

Some Intel CPUs offer offer "turbo boost" which will essentially "turn up the power" of one core while "turning down the power" of other cores. This would help to get faster IPS speeds with the Sophos UTM.

Also, multi core systems using virtualization, should (in theory) allow a person to take advantage of additional cores.  ie. free vmware or paid vmware vSphere but last I read, the overhead from virtualization greatly diminishes the speeds that the IPS should be capable of getting.

Once either snort is rewritten to take advantage of multiple cores or Sophos decides to pay extra to use the suricata IPS engine this reoccurring issue will keep happening, every time ISP speeds increase.

No idea if this answers your questions.  I am sure others on here can give you a reply as far as specs for a new high end system, if you are considering buying/building one.  I do not know if AMD has an equivalent for the Intel Turbo Boost yet, but if you want maximum IPS speeds, without virtualization, get a system a turbo boost cpu of the AMD equivalent.

I'm looking to get a used PC off eBay with i7 2600. Do you think that would be sufficient for the IPS? Bare metal or virtualized to maximize the IPS throughput?

I'm looking to get a used PC off eBay with i7 2600. Do you think that would be sufficient for the IPS? Bare metal or virtualized to maximize the IPS throughput?

I wish I could give you a definite answer. Over the last few years intel has been working on getting better performance, with slower clock speeds and less wattage. ie. my 2014 1.7 i7 macbook air has a higher benchmark than my wife's 2013 1.8 i7 macbook air.

I do know that if the bottleneck in your system is the IPS, than a dual core with a faster turbo boost would be better than a quad core with a slower turbo boost.

Given the rest of the UTM will be happy having the additional 2 cores, additional cores.

Honestly, intel makes it hard to get a definitive answer without just testing it.

ie. If you check cpubenchmark.net/ =1955&cmp[]=1045"]my 15 watt 1.7 dual core i7 macbook air cpu is more powerful than my 2.66 core 2 quad which uses 95 watts.

Since the IPS (snort) is only single thread, comparing the two, my macbook air would blow away more core 2 quad.

That being said, that is what I have from others on here: 

An old Atom can do 17-25mbps through the IPS on HTTP.

3x that would be 50-75mbps.

A fast i3 can probably keep up with an i5 for single-stream performance.
My i5 gets 300mbps+

https://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/49427-ips-performance-tests-hardware-benchmarks-unofficial.html

Note that if you use crappy NICs (Realtek, maybe Atheros (if even supported by the UTM)) your performance will be significantly worse.

Barry

That being said, your best bet is to consult the IPS benchmark wiki to get an idea of what your expected speeds should be.

I hope all of this helps and does not just confuse you more.

I wish I could give you a definite answer. Over the last few years intel has been working on getting better performance, with slower clock speeds and less wattage. ie. my 2014 1.7 i7 macbook air has a higher benchmark than my wife's 2013 1.8 i7 macbook air.

I do know that if the bottleneck in your system is the IPS, than a dual core with a faster turbo boost would be better than a quad core with a slower turbo boost.

Given the rest of the UTM will be happy having the additional 2 cores, additional cores.

Honestly, intel makes it hard to get a definitive answer without just testing it.

ie. If you check cpubenchmark.net/ =1955&cmp[]=1045"]my 15 watt 1.7 dual core i7 macbook air cpu is more powerful than my 2.66 core 2 quad which uses 95 watts.

Since the IPS (snort) is only single thread, comparing the two, my macbook air would blow away more core 2 quad.

That being said, that is what I have from others on here: 



That being said, your best bet is to consult the IPS benchmark wiki to get an idea of what your expected speeds should be.

I hope all of this helps and does not just confuse you more.

Thanks for all the info. The best combination seems to be mid decent to high end intel CPU, 8GB RAM or more, with two Gigabit Intel NICS. [:D]