Sophos Central Firewall Manager (CFM) maintenance scheduled for Wednesday, July 8th starting at 06:30 GMT. Expected time to complete is 5 hours. Partners will be unable to access CFM during this period.

Hardware recommendations for Home license - exaggerated?

Hi,

The thing is, I have been going through some of the threads here and elsewhere and it seems that if one really wants to use what Sophos UTM can offer, people recommend beefy hardware, nothing short of an Core i3 to run the system on. I wonder why this is. A quick check of Sophos' own offers indicates, an up to date Atom or BayTrail should do just fine.  For example: 


  • SG105 --> Intel Atom E3826 1.46GHz | 2GB RAM
  • SG135 --> Rangeley C2558 2.4GHz | 6GB RAM
  • SG210 --> Celeron 2.7GHz | 8GB RAM
  • SG 310 --> Core i3 3.5GHz | 12GB RAM


when I look at what throughput Sophos rates these babies at (including VPN, IPS, all >>100Mbit/s) I can't fathom how even a PowerUser at home would have the need to get beefier hardware to run this. 
I didn't think I'd open a new thread since there is tons on home user hardware already but the fact that so many posts claim one needs an Intel core i3 processor to run the full feature-set of UTM buffles me a bit. Are Sophos' hardware appliances running on some different version, somehow way more optimized to the hardware, multi-threaded... while the home user edition is not?

I have been running an astaro and now Sophos UTM at home for four years now on an Atom Dualcore N450 with 2GB of RAM. Switching on all the gimmicks slows things down substantially ( WAN & LAN) for a DMZ/guest net and a Cloudserver but VLANs could do the trick too. 
We constantly use IPsec and SSL VPN on our private laptops, phones and tablets. We might upgrade our provider bandwith to 100Mbit/s down and hopefully >10Mbit/s up at some point but I doubt it could get any faster anytime soon.

I'm happy for any tips and recommendations.

My current pick for a new setup (excluding SSD & 8GB RAM) would be:

  • Supermicro J1900 board (X10SBA) 2x Intel NIC  180€
  • Supermicro C2558 board (A1SRi-2558F ) 4x Intel NIC - 350€ (cheapest I could find with >2 NICs Sad

would that not suffice?

    • Supermicro C2558 board (A1SRi-2558F ) 4x Intel NIC - 350€ (cheapest I could find with >2 NICs


    I'm using the SuperMicro A1SRi-2758F w/ 8GB RAM and an Intel S3500 SSD.

    I have 125/10Mbps internet with the features you mention turned on.  I only use SSL VPN for occasional remote access.

    The CPU usually hovers around 1 -2 %.  RAM usage is at 36%.

    The new Atom's are far superior to the previous generations and perform very well as a firewall platform.
  • I've seen 1 user claim 105mbps MAX IPS throughput on a Rangely board with onboard Intel NICs.

    Since you are going to have a 100mbit connection and want to use most of the features, I'd still recommend a fast i3. 
    I don't think the Rangely would save money, so why bother?

    Barry
  • Note that multiple LANs/VLANs/DMZs require the traffic to go through the UTM, using more CPU.

    Barry
  • Hi,

    The thing is, I have been going through some of the threads here and elsewhere and it seems that if one really wants to use what Sophos UTM can offer, people recommend beefy hardware, nothing short of an Core i3 to run the system on. I wonder why this is. A quick check of Sophos' own offers indicates, an up to date Atom or BayTrail should do just fine.  For example: 


    • SG105 --> Intel Atom E3826 1.46GHz | 2GB RAM
    • SG135 --> Rangeley C2558 2.4GHz | 6GB RAM
    • SG210 --> Celeron 2.7GHz | 8GB RAM
    • SG 310 --> Core i3 3.5GHz | 12GB RAM


    when I look at what throughput Sophos rates these babies at (including VPN, IPS, all >>100Mbit/s) I can't fathom how even a PowerUser at home would have the need to get beefier hardware to run this. 
    I didn't think I'd open a new thread since there is tons on home user hardware already but the fact that so many posts claim one needs an Intel core i3 processor to run the full feature-set of UTM buffles me a bit. Are Sophos' hardware appliances running on some different version, somehow way more optimized to the hardware, multi-threaded... while the home user edition is not?

    I have been running an astaro and now Sophos UTM at home for four years now on an Atom Dualcore N450 with 2GB of RAM. Switching on all the gimmicks slows things down substantially ( WAN & LAN) for a DMZ/guest net and a Cloudserver but VLANs could do the trick too. 
    We constantly use IPsec and SSL VPN on our private laptops, phones and tablets. We might upgrade our provider bandwith to 100Mbit/s down and hopefully >10Mbit/s up at some point but I doubt it could get any faster anytime soon.

    I'm happy for any tips and recommendations.

    My current pick for a new setup (excluding SSD & 8GB RAM) would be:

    • Supermicro J1900 board (X10SBA) 2x Intel NIC  180€
    • Supermicro C2558 board (A1SRi-2558F ) 4x Intel NIC - 350€ (cheapest I could find with >2 NICs Sad

    would that not suffice?


    you have ti now how to read those charts.  each line is the MAX so if you have more than one feature on AND more than two nics AND more than a certain mount of users AND depending on the total bandwidth all of the nics are going to be using an atom isn't going to cut it.  I can kill anything lower than an sg210 with ease on my network and i only have 5 users.  That's why i have a QC xeon host to feed my UTM vm.  Look at the firewall configuration i have at my site and you'll see what kind of ranges i have going..Smile  two of them are xeons the rest are much faster machines for even "light" loads.

    if ou are going to increase your wan by a factor of ten get a good I3 and 8 gigs of ram.  You won't have swap issues AND you will have enough cu for everything.  BTW 90% of UTM is multithreaded but the IPS is not.  Snort is single threaded so if you want to stuff that 100 megabit pipe with the core security foundation on(http proxy with dual a/v, applicaiton control, IPS, and ATP) you will at a minimum need the beefiest core I-3 you can get.  * gigs of ram is my reccomended minimum as well.  Rma is so cheap there's not reason to not have that much.
  • thanks for the input guys. It still leaves me wondering what Sophos is thinking selling those boxes 'underpowered' then. 

    One big reason to favour the Atoms/Celerons is that I can actually find ITX boards with two or more NICs. I have a hard time finding any small boards with >=2 NICs that is more powerful than the Atoms. I wasn't planning on building a desktop (size-wise). Small and low on power-consumption is also one of my goals. hmm..
    Well, a good compromise is what's mostly best.

    BTW 90% of UTM is multithreaded but the IPS is not.  Snort is single threaded so if you want to stuff that 100 megabit pipe with the core security foundation on(http proxy with dual a/v, applicaiton control, IPS, and ATP) you will at a minimum need the beefiest core I-3 you can get. 


    wouldn't this mean, that even a slower octa core would outperform an i3.... 
    edit: ah, the new i3's at least have 4 threads (HT).
  • In reply to randfee:

    thanks for the input guys. It still leaves me wondering what Sophos is thinking selling those boxes 'underpowered' then. 

    One big reason to favour the Atoms/Celerons is that I can actually find ITX boards with two or more NICs. I have a hard time finding any small boards with >=2 NICs that is more powerful than the Atoms. I wasn't planning on building a desktop (size-wise). Small and low on power-consumption is also one of my goals. hmm..



    wouldn't this mean, that even a slower octa core would outperform an i3.... 
    edit: ah, the new i3's at least have 4 threads (HT).


    no slower octa would limit your megabit due to the single threaded nature of snort.  if you want to stuff your 100 meg pipe with as few users as you have then get the smallest amount of the fastest(higher ipc) cores you can get..in your situation that's an I-3 3.0 ghz.
  • In reply to randfee:

    thanks for the input guys. It still leaves me wondering what Sophos is thinking selling those boxes 'underpowered' then. 

    One big reason to favour the Atoms/Celerons is that I can actually find ITX boards with two or more NICs. I have a hard time finding any small boards with >=2 NICs that is more powerful than the Atoms. I wasn't planning on building a desktop (size-wise). Small and low on power-consumption is also one of my goals. hmm..



    wouldn't this mean, that even a slower octa core would outperform an i3.... 
    edit: ah, the new i3's at least have 4 threads (HT).


    the atoms aren't underpowerd for what they are able to do.  In your situation they would most likely be underpowered.  Considering there's almost zero power difference betweent he fastest atom and I-3 an i-3 makes better sense if you cna afford it AND want to make sure you have the headroom for the future with your network parameters.
  • In reply to William Warren:

    no slower octa would limit your megabit due to the single threaded nature of snort.  if you want to stuff your 100 meg pipe with as few users as you have then get the smallest amount of the fastest(higher ipc) cores you can get..in your situation that's an I-3 3.0 ghz.


    any board recommendations for that? Looked through this section, most people just build desktop size machines... which is not what I had planned. Well, maybe I'll have to make due with 2 NICs.
  • depends on your budget..you don't really need a ecc server class board in a home environment..unless you really have some money to throw around..Smile
  • LogicSupply usually has some boards with dual Intel NICs, from Jetway and AsRock.

    Note a Haswell or Broadwell i3 system will usually idle under 30watts; most Rangely systems won't be much better.

    Note that most mini-ITX boards take a PCIe NIC; if you get one of the taller cases (such as the Fractal Design Node 304 I'm using), you can get a dual or quad-port NIC inside.
    It won't be tiny, but it'll still be efficient.

    Barry
  • Randfee - if size/noise isn't an issue and you are open to used components - jump on eBay and look for any used Sophos appliances.  Picked up a ES1000 for just under $100 USD, switched out the CPU (Celeron D i believe) with a XEON 4-core 2.4ghz and added 4 GB Ram.  Total spend 
  • but noise, size and power consumption are ALL issues (in that order) plus I don't mind building it myself. When you live in a rented apartment space is precious... so is quietness!

    Obviously there is no  price difference for an ITX case (like the Fractal Design Node 304, nice) + RAM + PSU. The only variable here is Core vs Atom processor. 

    • 1150 board + i3 4160 = 220€
    • Rangeley (C2750) CPU + board >= 380€
    • Avoton (C2550) CPU + board >= 270€
     

    One thing I'm not sure of is if I want more NICs. For the i3 solution I can't find any ITX main board with more than 2 NICs. Intel NICs seem only available on one Gigabyte main board or some from Supermicro (100€ more for the main board only) but none with >2NICs. The Atom solutions come with extra NICs. 
    Additional NICs via PCIe card seem to cost more than the difference.
    On top of that, the Atom solutions might fit a tinier case with passive cooling.

    I need to think but I'm tending towards an atom, considering space and noisiness. Less single stream IPS bandwidth but four times the amount of threads (8x2 vs 2x2) so I think many connections might be handled better or good enough with the atom solution. Just a feeling. For fast downloads/updates whatever I can always switch on an old AP hooked up to one of the spare NICs as DMZ/guest network.... a guest net/DMZ is what I have in mind with the additional NICs anyways, plus a redundancy port for a bridge to an LTE Modem i.e.
    I find VLAN interesting, don't have a capable switch yet though, so more physical NICs would simply be more versatile.

    If one can point me to an socket 1150 ITX board suited for this (more NICs), I'm all ears.
  • It still leaves me wondering what Sophos is thinking selling those boxes 'underpowered' then
    It's not quite as simplistic as that.

    When you or I are considering building a new box, between research and looking for a good deal, it can take a good 4-8 weeks.  For this, we have finite resources; only a limited amount of time in the day to look and a financial budget.  

    Sophos is the same way, except they are putting together a range of different systems at one time.  They need to source and test the components, line up a manufacturer, interface with driver developers, set up an RMA system, keep costs to a certain point, contracts and lawyers, etc.  During all of this, once the components are decided upon, the components go into feature lock...that is the specific component makes and models are set in stone.  This is to give manufacturing time to built up a supply of components to put units together, both for sales and RMA and to allow time for the systems to be submitted for external certifications.  The whole process can take 18-24 months, during which time the UTM software continues to evolve and grow, possibly with more resource utilization.  Even a minor change, such as adding more RAM, would require much of this process to be redone.

    For your use Randfee, the best advise possible is to get the most you can afford for both performance and future proofing.
  • In reply to randfee:

    Less single stream IPS bandwidth but four times the amount of threads (8x2 vs 2x2) so I think many connections might be handled better or good enough with the atom solution.

    I can tell you that won't work how you think it will. IPS is CPU bound, and one parameter that affects CPU performance is core speed. Modern CPU's have builtin power saving features so will reduce core speed if the overall CPU load is lower. That great for power saving, horrible for CPU bound software like IPS. One of the reasons you see dual-Core i3's being recommended here (not quad core i5's & i7's) is because with the lesser cores, you can load up the CPU far more easily, forcing the CPU to max out core speed, helping IPS.
  • In reply to Scott_Klassen:

    It's not quite as simplistic as that.
    Everybody who as ever deployed a Sophos UTM in even a modest environment knows that they could utilize double the RAM, a component that is cheap and easily installed. Yet, not only does the idea keep getting shot down, opening the box and adding ram voids the warranty.

    the components go into feature lock...
    Wow, wouldn't be it amazing if the same basic concept was applied to production firmware that STILL has HUGE bugs waiting to be fixed.

    Just sayin....