Modsecurity jõudlus

From ICO wiki
Revision as of 10:47, 4 June 2012 by Pkodotsi (talk | contribs)
Jump to navigationJump to search

ModSecurity, on nn veebiteenuse tulemüür (Web Application Firewall - WAF) ja IDS/IPS lahendus. Tegemist on tarkvaraga, mis filtreerib veebilehtedele tehtavaid päringuid ja üritab tõkestada nii rünnakuid serverile kui ka lehe näotustamise katseid.

Internetist saab leida igasuguseid arvamusi sellest, kui palju modsecurity kasutamine vähendab Apache veebiserveri jõudlust. Põhiliseks uuringu kriteeriumiseks (kus võrreldakse veebiserverid sisse lülitatud mooduliga ja ilma moodulita) võetakse parameetrite suhe "Response time" ja "Request per second". Alltoodud pilt näitab üks, sellistest läbi viidud uuringutest, tulemust.


Modusecurity kasutamise põhilisteks puudusteks arvatakse järgmised faktid:

- Mod security tuleb käivitada igal veebiserveril, mida "sööb ära" süsteemi ressursid
- Veebiserver sisse lülitatud Modsecurity mooduliga on nn. "pudelikaelaga", kuna saab ainukeseks tõrgepunktiks
- On vajalik olla turvalisuse ekspertina, kuna mooduli vale häälestus veel rohkem suurendab ressurside nappuse probleemi

Minu arvamus Kui õigesti konfigureerida veebiserverit ja sundida seda säästlikult kasutada operatiivset mälu (s.t. vähendada kasutamata moodulite kogus, häälestada parameetri MaxRequestsPerChild täpsemini) ja ise Modsecurity moodul (välja võtta ebavajalikud reeglid) saab saada häid tulemusi jõudluses. Ka saab alati lisada mälu füüsiliselt, kui esimene lahendus oluliselt ei aita.


Kasutatud allikad

https://devcentral.f5.com/weblogs/macvittie/archive/2008/07/23/3477.aspx

http://www.packtpub.com/article/ways-improve-performance-server-in-modsecurity2.5