Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 43 replies
  • Subscribers 1 subscriber
  • Views 21834 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Security Performance Issues

StephenWeber
I've got multiple clients on ASG120 and ASG220 Appliances that once Web Security is Enabled the Web Surfing slows down to a crawl.  I upgraded a client from a 256k T1 to a 8Mbps Broadband Cable connection and they didn't see any improvement on Internet Speeds.  If I disable the Web Security, the Internet Speeds are blazing.  I've tried disabling AV Scanning and Caching which seems to help, but it still isn't that great.

Could there be something missing or is this just something 8.201?

My Config is as follows.

Web Security Enabled - Transparent Mode - Authentication is None.
URL Filtering is Allow by Default - Block Spyware Communication
We then have certain categories set to block

I have this same setup at other except for the Authentication being set at Agent.

Any suggestions would be helpful. It is definitely Web Security slow it down as when it is off the Internet is fast.


This thread was automatically locked due to age.
  • 0
    I don't have IPS enabled.  I've got Astaro Support currently logged into the Astaro ASG 220 and testing the Web Security component.  They're been working on it for 2 days now and still haven't found a solution.  The Issue seem to be contained to Transparent Proxy.  Standard with the Browser Proxy settings enabled works just fine.  Unfortunately we offer WiFi throughout the building as well and need Transparent Proxy to limit what guests can access.

    Again as soon as they figure out a solution to the problem, I'll let everyone know.
  • 0
    You definitely should upgrade to 8.202.  Click on my name and send me an email if you'd like a copy of "Configure HTTP Proxy for a Network of Guests" - it was written for V7.5, but it should help you.

    Cheers - Bob
  • 0
    Just an update to this thread. Yes we are running 8.202 on all of our appliances. I've been working directly with Astaro Engineers on this issue. The problem only seems to affect Transparent Proxy with or without Authentication. Upon further troubleshooting the issue is pretty random on what workstation it decides not to work with. The issue also only seem to happen when links are click on websites. Typing in a URL directly will get you to the root page. Accessing pages under the home page is where the issue happens. I've got Astaro Web Security Devs also looking into this issue. 

    Again I'll post updates as I have them.
  • 0
    i have seen in the past strange behaviour when ie was used as browser with active phising filter (smartscreenfilter or how it's called....)

    Does this issues happen only with ie, or other browsers too?

    Sent from my iPad using Astaro.org (finally got One)
  • 0
    Hi all,

    I am also experiencing this exact same behaviour. My setup is as follows:

    1. 2ports bridged: 1 port to firewall, other port to core switch (has multiple VLANs)
    2. Firewall rules set to any any any (allow everything)
    3. Application Control set to block Bittorrent, Kazaa & a few others from source: ANY.
    4. Transparent proxy w AD authentication, no caching.
    5. No IPS, no NAT, no WIFI.

    I am using a Dell R415 with 8Gb. My bridge ports are on a Intel 82575EB chipset. Also running v8.202.

    When the slowness occurs, i disabled authentication. I still get the same problem. I am stumped as well.
  • 0 in reply to tvliew
    Hi all,

    I am also experiencing this exact same behaviour. My setup is as follows:

    1. 2ports bridged: 1 port to firewall, other port to core switch (has multiple VLANs)
    2. Firewall rules set to any any any (allow everything)
    3. Application Control set to block Bittorrent, Kazaa & a few others from source: ANY.
    4. Transparent proxy w AD authentication, no caching.
    5. No IPS, no NAT, no WIFI.

    I am using a Dell R415 with 8Gb. My bridge ports are on a Intel 82575EB chipset. Also running v8.202.

    When the slowness occurs, i disabled authentication. I still get the same problem. I am stumped as well.


    with 8GB memory you could try local contentfiltering database. It's beneath other tweaking tipps mentioned in the tweaking link in my signature. try local cfdb and check your DNS settings and tcp window scaling. The 3 most common issues if performance sucks on a good hardware...

    Sent from my iPad using Astaro.org (finally got One)
  • 0
    btw: how are you doing auth with transparent proxy? Captive Portal or AAA Client.
    ?

    Sent from my iPad using Astaro.org (finally got One)
  • 0
    Hi Sascha,

    I am actually planning to do the local content filtering database tonight when there are no users. I understand no traffic will flow when Astaro is downloading the content database. Talking about this, I did read about your tweaking tips in one of the previous threads. I am running a cluster solution on my end, do I need 'cc set http sc_local_db mem' on both units or is one just enough? I asked this on a previous thread.

    My DNS forwarders' settings is using their internal DNS server (active directory). I am wondering if I should use an external DNS server if the above doesn't work.

    Authentication is via captive portal. Authenticating users on a local AD server.
  • 0 in reply to tvliew
    Hi tvliew

    I am running a cluster solution on my end, do I need 'cc set http sc_local_db mem' on both units or is one just enough? I asked this on a previous thread.
    ==> changes done via cc should be sync'ed to the slave

    My DNS forwarders' settings is using their internal DNS server (active directory). I am wondering if I should use an external DNS server if the above doesn't work.
    ==> Recommendation is to use public DNS Servers as forwarder instead of internal DNS servers, and create a request route for the internal domain to the internal DNS. Only drawback is, if you access internal resources via proxy, you have to use FQH instead of hostname only ;o)

    Authentication is via captive portal. Authenticating users on a local AD server. 
    ==> Ah.
  • 0
    Just an update to keep everyone posted.  Astaro Engineers have been working on the issues that I'm experiencing at multiple client.  They done extensive packet captures and testing.  The issue has been handed off to the Astaro Web Security Development team at this point to locate a fix for this bug.  Hopefully they will be able to find a fix soon.