Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 593 views
  • Users 0 members are here
Options
Suggested

[7.900][QUESTION][ANSWERED] Webapplication firewall

panconcept
When i activate the waf with all attack patterns in firewallprofile the access from client(->webserver) is very slow, when i make the same with modsecurity and a normal apache reverse proxy the same access is faster, is this normaly for the complete firewall + waf ?


P.S. Sorry this is not a bug !!!
Parents
  • 0
    Can you please describe what you mean with "very slow"? Do you refer to high latency or low bandwidth? 

    Another question is: how did you compare this? On what hardware did you install the ASG and the "normal apache reverse proxy"?
  • 0 in reply to kbr
    Sorry my englisch in write is very bad !
    First Question: high latenc ! very high
    You Second Question: my asg and my apache reverse proxy runs on the same machines a vmware esxi server, but my configurations on the apache reverse proxy is not the same as asg rev.proxy. Example I've worked with apache modules, the asg have not active these modules but im in doubt about, thats the problem. 
    For me is very difficult to search the problem because a apache_reversy_proxy and waf config is easy the asg rev.proxy with all other features is difficult one module has depends to another one.To change the asg-configuration via bash/vi is, i think not so good for me better for my asg [[:)]]

    P.S.: i have a question why is the grsecurity patch(and pax patch) not installed on 2.6.32.11 64bit kernel from asg ?

    P.S.2: i have seen that you have (for modsecurity) the checkbox for protocol anomalies but the rule modsecurity_crs_21_protocol-an.... is not present ! is a info [[:)]]
  • 0 in reply to panconcept
    .. runs on the same machines a vmware esxi server, but my configurations on the apache reverse proxy is not the same as asg 


    So you are comparing apples with pears? ;-)

    If you think it is to slow, check the following:
    - is DNS working on both the ASG and the (real) Webserver
    - are other features of the ASG enabled? If so, try disabling them.
    - put enough RAM into the ESXi and the the ASG

    But this is just blind guessing. I need more info about your configuration to be able help you.

    why is the grsecurity patch(and pax patch) not installed

    I'll have to ask our kernel developers - it may take a few days.

    ... the rule modsecurity_crs_21_protocol-an.... is not present

    Thanks for pointing that out ;-)
  • 0 in reply to kbr
    Thanks for your help,
    comparing apples with pears : thats fantastic [:D]
    ok i tested
Reply Children
No Data
Cookie Information Banner