9.0 hardware requirements for IPS

A P4 single core will not reach those 100MBit + as full UTM and IPS. Maybe a hyperthreaded or dualcored P4.
I would suggest a core2 duo CPU with a huge Cache should be sufficient! any Quadcore or newer core i CPU will definately work for this. 4Gig Mem is never wrong ;o)

As you have a dualcore CPU, probably it's already sufficient to set the IPS (snort) instances from default one to two instances  (will use nearly another GB of memory, but with 4Gigs you're well equipped ;o)) With the P4 you probably will not reach the 100Mbps for a single stream, but you should at least be able to reach top speed with multiple streams.

enter as root on the console

cc set ips num_instances 2

(restarts IPS, will probably disconnect you...)

If it get worse, you can revert the setting by

cc set ips num_instances 0

/Sascha

Agreed, the older P4 will be the bottleneck there for you.

Awesome, I would like to have full connection for a single stream so and upgrade is in order. Thanks very much for the info guys. Much appreciated.

cpu speed is more critical than the number of cores for snort since snort is a single threaded process. Two cpu's at 3.0ghz is going to perform much better then 4 @ 2.0 ghz.  If you want to run two snorts you need at least two cores.  The faster the individual cores the better.

cpu speed is more critical than the number of cores for snort since snort is a single threaded process. Two cpu's at 3.0ghz is going to perform much better then 4 @ 2.0 ghz.  If you want to run two snorts you need at least two cores.  The faster the individual cores the better.

pure CPU operating frequency is only one part in view of IPS performance (But I agree there basicall with William). The CPU architecture Netburst/P4, core2***, core i or xeon makes another huge difference due their different cache sizes and memory speeds and architectural differences. As one IPS instance allocates around few hundred MB up to nearly one GB, there's a huge difference with a P4 with 256 or 512KB Cache, a core CPU with 1...xMB cache or XEONs with their huge Caches. Every cache miss means, you loose CPU cycles for IPS processing until data is fetched from RAM or more worse from disk...

Any more or less actual XEON will beat every P4 into the ground IPS performancewise, even if the core of then xeon itself may run at a 2/3 of the P4 frequency ( 2,x vs. 3,x GHz)...

Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.

actually sascha in terms of ips it's more serialized so caching factors less into things.  With the p-4 due to their excessively long pipeline raw clockspeed was paramount even in the xeon configuration(lots of ips testing here..plus the architecture was horridly inefficient).  Newer cpus have better integer and fp processing and do not require light speed clocks to overcome a flawed design.  on newer cpus clockspeed still reigns in serialized or single threaded operations.  Caching helps for the executable but not as much for the raw streaming processing that ips requires.  The higher ipc of modern cpu helps to overcome the lower clockspeeds but with clock speeds now approaching p-4 levels the ips performance is much better.  However due to the serialized nature and single threaded nature of ips clockspeed is still king instead of more cores.  For something highly threaded and or parallelized(like http proxy) more cores at even 50% of the speed can be highly effective..ips though goes through the floor.  Take a look in the beta section about something i found with v9 in regards to ips performance and low per core cockspeeds.  This is with a modern xeon cpu..[:)]

whew had to double check i wanted to make sure i spelled sascha's name right..[:)]

That sounds scientific and like many hours of testing. So I'll believe your explanation, sounds somehow logic...

;o)

Regards from rainy switzerland.

Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.

Hey sascha I just wrote a looooong psot about the intricacies of IPS and moern cpus..check my sig for the link..[:)]

did you ever see that link?  I'm trying to find it now(as i res a zombie thread..