Що робить брандмауер шару 3,4, що робить шар 7 не?


17

Я думаю про співпрацю з постачальником безпеки для розміщених сайтів на моєму VPS, і мені важко щось зрозуміти. (Так, я знаю, що це термінологія OSI, і сайти, про які йдеться, - це основні веб-сайти з стоматологічної та медичної практики, що не мають електронної комерції та не мають приватної інформації (SSN тощо).

Їх основний план має брандмауер 7 рівня (і я розумію, що це HTTP, HTTP тощо), але їхній розширений план також охоплює рівень 3,4 (і я отримую, що це IP та TCP / UDP).

1) Те, що я не розумію, - це велика картина - чи брандмауер Layer 7 лише ігнорує проблеми з Layer 3/4? Чи пропущено перевірку пакетів?

2) І якщо так, то наскільки необхідний брандмауер шару 3/4, якщо у вас вже є шар 7?

Якщо є книга чи ресурс, я можу прочитати, щоб зрозуміти це, що також було б чудово. Я хочу зрозуміти, що я роблю, перш ніж зробити покупку!


7
Я не знаю, як у вас може бути брандмауер рівня 7, не маючи брандмауера шару 3, але я здогадуюсь , що вони мають WAF і лише розкривають вам правила WAF, якщо ви не заплатите їм більше.
Марк Хендерсон

3
Я хотів би перевірити, що навіть якщо ви не приймаєте брандмауер шару 3/4, що весь ваш сервер не оголений і не відкритий в Інтернеті. Вони все одно мають брандмауер все, крім 80/443
Марк Хендерсон

1
Саме так. Це те, чого я не отримую - тому що основний план - це шар 7. А професійний план - це рівень 3,4 і 7. Я вважаю, що вони дадуть вам рівень 3,4 як базовий рівень, а потім додадуть рівень WAF рівня 7 як доповнення. Але це зворотно!
Девід А. Ванк

2
Вони, ймовірно, кидають Cloudflare перед вашим сайтом, що в основному дає вам WAF безкоштовно. Складніші ACL вимагають додаткових послуг. Лише моя здогадка. Я б попросив у їхньої торгової команди пояснення.
Марк Хендерсон

Відповіді:


27

Це здається, що ви отримуєте трохи оманливого жаргону. Технічні визначення для таких типів брандмауерів:

  • Брандмауери 3 рівня (тобто брандмауери фільтрування пакетів ) фільтрують трафік виключно на основі IP / джерела, порту та протоколу.
  • Брандмауери 4 рівня виконують вищезазначене, а також додають можливість відстежувати активні мережеві з'єднання та дозволяють / забороняють трафік залежно від стану цих сеансів (тобто стаціонарної перевірки пакетів ).
  • Брандмауери рівня 7 (тобто шлюзи додатків ) можуть виконувати все вищезазначене, а також включати можливість інтелектуального огляду вмісту цих мережевих пакетів. Наприклад, брандмауер рівня 7 може відхиляти всі HTTP POST-запити з китайських IP-адрес. Цей рівень деталізації, однак, досягає продуктивних витрат.

Оскільки відповідні визначення не відповідають їхній схемі ціноутворення, я думаю, що вони використовують Layer 7 як технічно неправильну посилання на брандмауер програмного забезпечення, що працює на вашому VPS. Подумайте відповідно до iptables або брандмауера Windows . Якщо ви сплатите додаткові збори, вони поставлять ваш VPS за належним мережевим брандмауером. Можливо.

Якщо вони не можуть заважати використовувати належну термінологію, описуючи своє рішення VPS потенційним клієнтам, я б поставив під сумнів їхню компетентність і в інших сферах.


4
Державна інспекція пакетів - це не лише TCP, вона охоплює відстеження зв'язку всього рівня 4. Якщо я побачу вихідний UDP-пакет від 53 до XI, очікую, що найближчим часом отримаю вхідний пакет UDP з X на 53, і це дозволить. Навпаки, незрівняний вхідний трафік UDP на 53 буде скинутий.
Dev

5
Крім неправильної термінології, вони також не можуть заважати представляти запропоновані послуги таким чином, щоб користувачі могли зрозуміти, що вони купують. Також не гарний знак.
jpmc26

1
@Dev, ви неправі щодо того, що державна перевірка пакетів не обмежується лише TCP. Я відповіді оновив належним чином.
безсмертний шквал

1
Так! Я розмовляв з компанією і, мабуть, був якийсь "маркетинговий" жаргон, який заважав - всі їхні брандмауери - 3,4,7. Дякую!
Девід А. Ванк

1
Я ставлю під сумнів характеристику в останньому абзаці. Навіть найбільш компетентним технічним відділам може бути важко переконати маркетинг у використанні точної термінології.
Бармар

3

Перший - це брандмауер шару додатків. Він, ймовірно, працює як проксі-сервер HTTP (s), коли запити надсилаються до проксі, який фільтрує весь запит і ніж надсилає їх на ваш сервер. Якщо компанія, яку ви збираєтеся придбати, використовує проксі-сервер http, ваш IP-сервер буде повністю прихований від Інтернету, що насправді добре. Якщо вам просто потрібно захистити свої веб-сайти, це найпростіше рішення, яке ви можете мати і "просто працює". Наприклад, це метод, який використовується CloudFlare.

Другий - мережевий брандмауер. Це більш просунутий брандмауер, який фільтрує всі види трафіку, перш ніж потрапити на ваш сервер. Цей на сьогоднішній день є найбільш ефективним ефективним, оскільки ви можете захистити будь-які заяви, але вам знадобиться дійсно велика установка з повідомленнями BGP, відфільтрованими блоками IP-адрес, тунелями тощо. Зазвичай це використовується для служб, які отримують великі DDoS-атаки та критичні заявки, електронну комерцію та ігри.

Збереження: Якщо вам просто потрібно захистити свої веб-сайти, використовуйте рішення рівня 7. Якщо вам потрібен вдосконалений брандмауер, який фільтрує будь-який додаток, захист від DDoS-атак тощо, використовуйте рішення Layer 3-4.

Тут ви можете прочитати більше про CloudFlare, що, на мою думку, це правильне рішення для вас: https://www.quora.com/How-does-CloudFlare-work

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.