Modsecurity jõudlus: Difference between revisions
No edit summary |
No edit summary |
||
Line 28: | Line 28: | ||
Pavel Kodotšigov | '''Pavel Kodotšigov''' AK31 | ||
AK31 | |||
[[Category:IT infrastruktuuri teenused]] | [[Category:IT infrastruktuuri teenused]] |
Revision as of 10:54, 4 June 2012
ModSecurity, on nn veebiteenuse tulemüür (Web Application Firewall - WAF) ja IDS/IPS lahendus. Tegemist on tarkvaraga, mis filtreerib veebilehtedele tehtavaid päringuid ja üritab tõkestada nii rünnakuid serverile kui ka lehe näotustamise katseid.
Internetist saab leida igasuguseid arvamusi sellest, kui palju modsecurity kasutamine vähendab Apache veebiserveri jõudlust. Põhiliseks uuringu kriteeriumiseks (kus võrreldakse veebiserverid sisse lülitatud mooduliga ja ilma moodulita) võetakse parameetrite suhe "Response time" ja "Request per second". Alltoodud pilt näitab üks, sellistest läbi viidud uuringutest, tulemust.
Modusecurity kasutamise põhilisteks puudusteks arvatakse järgmised faktid:
1. Mod security tuleb käivitada igal veebiserveril, mida "sööb ära" süsteemi ressursid
2. Veebiserver sisse lülitatud Modsecurity mooduliga on nn. "pudelikaelaga", kuna saab ainukeseks tõrgepunktiks
3. On vajalik olla turvalisuse ekspertina, kuna mooduli vale häälestus veel rohkem suurendab ressurside nappuse probleemi
Minu arvamus
Kui õigesti konfigureerida veebiserverit ja sundida seda säästlikult kasutada operatiivset mälu (s.t. vähendada kasutamata moodulite kogus, häälestada parameetri MaxRequestsPerChild täpsemini) ja ise Modsecurity moodul (välja võtta ebavajalikud reeglid) saab saada häid tulemusi jõudluses. Ka saab alati lisada mälu füüsiliselt, kui esimene lahendus oluliselt ei aita.
Kasutatud allikad
https://devcentral.f5.com/weblogs/macvittie/archive/2008/07/23/3477.aspx
http://www.packtpub.com/article/ways-improve-performance-server-in-modsecurity2.5
Pavel Kodotšigov AK31