Intrusion Prevention causing slow internet speeds

It would be interesting to know on what type of Hardware your Firewall is running.... IPS is using a lot of ressources.

Edit: Just for getting sure: You have had enabled IPS even before your've been upgrading to 9.312 and before that Upgrade your troughput has been faster?

Search for IPS threads, especially for responses from William for your answer.  In a nutshell, IPS is single threaded, so for a single user session it can only use one core.  This is also why the total throughput goes up the more users that are passing traffic.

Hi, the UTM is running on virtual machine which has 2 processors, and  8 GB of memory.

We have been running IPS for 12 months now and not really noticed any performance issues until the last upgrade.

I am having a similar issue. I upgraded to 9.312-8 and on the same hardware began having issues with intermittent slow internet and connection timeouts. The software was previously on a low power PC but worked fine, so I upgraded the hardware assuming that was the issue. On the new hardware I installed from ISO and restored my config. The configuration, filtering, etc all the same, but I am still having the same problem. I am at a lost as to what is going on. I do not see excessive CPU or memory issues, the firewall logs do not point to anything in particular such as a service or port flooding the network. My next step is to do a packet capture of all traffic to see what may be causing the problem if this is related to a LAN side issue. However I cannot rule out the upgrade didn't cause the problem, because this directly coincided with the upgrade. One thing I have noticed is the slowness or connectivity seems to go in waves, things will work for a while then slow down then go back to working again. Maybe once an hour or 5 times an hour.

for john and ben:

which cpus are you running?  In the case of jon which cpu is in the host machine?  For ben which cpu is in your machine?

Hi, the host server is using Xeon E5-2430 CPUs

Hi, the host server is using Xeon E5-2430 CPUs

snort is good for about 250-500 megabits max per core at about 3ghz depending on how many users you ahve ushing thngs.  Your 2.0ghz cpu's aren't going to be able to go much faster than 250 max depending on the amount of users AND ruleset tuning.  You need either more cores and lots more users or a much faster cpu(3.0ghz or faster) and probably more users still.  

That type of cpu is used in the 5xx and higher sg series when there are more than 500 users.

I have the UTM 9 on own hardware with 8GB ram, SSD, Intel I3(ni-aes HW chip included) . I have 200 Mbit internet down and 20 up; the UTM only allows 20Mbit up and down.

what I keep reading is that everywhere the upload is what its provided but the download is every time only 10% EXACT of what has been provided.

when doing a big and fast download, the processor utilization does not get higher than 3% !!! and yes; indeed turning of IPS does the trick. but this is not because of processor limitation