Já comentei no blog sobre os malefícios quanto a instalação de um Waf, como o ModSecurity ou Naxsi, em um apache ou nginx que suportam mais de 30.000 conexões estabelecidas por segundo.

Para quem não sabe, 30.000 conexões HTTP estabelecidas por segundo são equivalentes a 5.000 usuários acessando este servidor via google chrome, já que cada requisição via este browser abre 6 conexões simultâneas com o webserver.

Acontece que o ModSecurity e o Naxsi são firewalls de aplicação, seguindo o modelo de camada OSI. Precisando assim de muitas regras para que funcionem quase que adequadamente.

A regra é clara, quanto mais regras, mais lento fica o seu ambiente.

Sendo assim, ao invés de possuírem um waf by software como frontend do seu web server, passem a utilizar um servidor de cache, como um Varnish, e aproveitem e coloquem algumas das regras nele, utilizando o VSF (Varnish Security Firewall ou o Security.vcl).

Garanto-lhes que o seu ambiente ficará bem mais performático, né rafinha.. 🙂