Modsecurity jõudlus

From ICO wiki

ModSecurity, on nn veebiteenuse tulemüür (Web Application Firewall - WAF) ja IDS/IPS lahendus. Tegemist on tarkvaraga, mis filtreerib veebilehtedele tehtavaid päringuid ja üritab tõkestada nii rünnakuid serverile kui ka lehe näotustamise katseid.


Internetist saab leida igasuguseid arvamusi sellest, kui palju modsecurity kasutamine vähendab Apache veebiserveri jõudlust. Põhiliseks uuringu kriteeriumiseks (kus võrreldakse veebiserverid sisse lülitatud mooduliga ja ilma moodulita) võetakse parameetrite suhe "Response time" ja "Request per second". Alltoodud pilt näitab üks, sellistest läbi viidud uuringutest, tulemust.

Modsecurity joudlus.png


Modusecurity kasutamise põhilisteks puudusteks arvatakse järgmised faktid:

1. Mod security tuleb käivitada igal veebiserveril, mida "sööb ära" süsteemi ressursid

2. Veebiserver sisse lülitatud Modsecurity mooduliga on nn. "pudelikaelaga", kuna saab ainukeseks tõrgepunktiks

3. On vajalik olla turvalisuse ekspertina, kuna mooduli vale häälestus veel rohkem suurendab ressurside nappuse probleemi


Minu arvamus

Kui õigesti konfigureerida veebiserverit ja sundida seda säästlikult kasutada operatiivset mälu (s.t. vähendada kasutamata moodulite kogus, häälestada parameetri MaxRequestsPerChild täpsemini) ja ise Modsecurity moodul (välja võtta ebavajalikud reeglid) saab saada häid tulemusi jõudluses. Ka saab alati lisada mälu füüsiliselt, kui esimene lahendus oluliselt ei aita.


Kasutatud allikad

https://devcentral.f5.com/weblogs/macvittie/archive/2008/07/23/3477.aspx

http://www.packtpub.com/article/ways-improve-performance-server-in-modsecurity2.5


Autor: Pavel Kodotšigov AK31

Pea lehekülg: https://wiki.itcollege.ee/index.php/Modsecurity