Что делает брандмауэр уровня 3,4, а уровень 7 - нет?

17

Я думаю о том, чтобы пойти с поставщиком безопасности для размещенных сайтов на моем VPS, и мне трудно понять что-то. (Да, я знаю, что это терминология OSI, и речь идет о сайтах, посвященных стоматологии и медицинской практике, без электронной коммерции и личной информации (SSN и т. Д.).

У их базового плана есть брандмауэр Уровня 7 (и я понимаю, что это HTTP, HTTP и т. Д.), Но их продвинутый план также имеет покрытие уровня 3,4 (и я понимаю, что это IP и TCP / UDP).

1) Что я не понимаю, так это общая картина - игнорирует ли брандмауэр уровня 7 только проблемы с уровнем 3/4? Проверка пакетов пропущена?

2) И если да, то насколько необходим брандмауэр уровня 3/4, если у вас уже есть слой 7 на месте?

Если есть книга или ресурс, который я могу прочитать, чтобы понять это, это также было бы здорово. Я хочу понять, что я делаю, прежде чем сделать покупку!

firewall website Дэвид А. Ванк
источник
7
Я не знаю, как у вас может быть брандмауэр 7-го уровня без брандмауэра 3-го уровня, но я предполагаю , что они имеют WAF и предоставляют вам только правила WAF, если вы не заплатите им больше.
Марк Хендерсон
3
Однако я бы проверил, что даже если вы не используете брандмауэр уровня 3/4, весь ваш сервер не является голым и не выставляется в Интернете. Они должны все еще брандмауэр все, кроме 80/443
Марк Хендерсон
1
Точно. Это то, что я не понимаю - потому что основной план - уровень 7. А профессиональный план - это уровни 3,4 и 7. Я бы подумал, что они дадут вам уровень 3,4 в качестве базовой линии, а затем добавлю уровень 7 WAF в качестве дополнения. Но это наоборот!
Дэвид А. Ванк,
2
Они, вероятно, выбрасывают Cloudflare перед вашим сайтом, что дает вам WAF бесплатно. Более сложные списки ACL требуют дополнительных услуг. Просто мое предположение. Я бы попросил их отдел продаж объяснить.
Марк Хендерсон

Ответы:

27

Похоже, вы получаете немного вводящего в заблуждение жаргона. Технические определения для этих типов межсетевых экранов:

  • Межсетевые экраны уровня 3 (т.е. межсетевые экраны с фильтрацией пакетов ) фильтруют трафик исключительно на основе IP-адреса источника / назначения, порта и протокола.
  • Межсетевые экраны уровня 4 выполняют описанные выше действия, а также добавляют возможность отслеживать активные сетевые подключения и разрешать / запрещать трафик в зависимости от состояния этих сеансов (т. Е. Проверки пакетов с отслеживанием состояния ).
  • Межсетевые экраны уровня 7 (то есть шлюзы приложений ) могут выполнять все вышеперечисленное, а также включать возможность интеллектуальной проверки содержимого этих сетевых пакетов. Например, брандмауэр уровня 7 может отклонять все запросы HTTP POST с китайских IP-адресов. Этот уровень детализации достигается за счет снижения производительности.

Поскольку правильные определения не совпадают с их схемой ценообразования, я думаю, что они используют уровень 7 в качестве (технически некорректной) ссылки на программный брандмауэр, работающий на вашем VPS. Подумайте в духе iptables или брандмауэра Windows . Если вы внесете дополнительную плату, они установят ваш VPS за надлежащим сетевым брандмауэром. Может быть.

Если они не могут использовать правильную терминологию при описании своих VPS-решений для потенциальных клиентов, я бы поставил под сомнение их компетентность и в других областях.

бессмертный хлюп
источник
4
Stateful Packet Inspection - это не просто протокол TCP, он охватывает все отслеживание связи уровня 4. Если я увижу исходящий пакет UDP от 53 до XI, я ожидаю получить входящий пакет UDP от X на 53 в ближайшем будущем и разрешит его. И наоборот, непревзойденный входящий трафик UDP на 53 будет отброшен.
Дев
5
Помимо ненадлежащей терминологии, они также не могут представить услуги, которые они предлагают, таким образом, чтобы пользователи могли на самом деле выяснить, что они покупают. Также не очень хороший знак.
jpmc26
1
@Dev, Вы правы в том, что проверка пакетов с отслеживанием состояния не ограничивается только TCP. Я обновил ответ соответственно.
бессмертный сквош
1
Да! Я говорил с компанией, и, видимо, был какой-то «маркетинговый» жаргон, который мешал - все их брандмауэры - 3,4,7. Спасибо!
Дэвид А. Ванк
1
Я подвергаю сомнению характеристику в последнем абзаце. Даже самые компетентные технические отделы могут столкнуться с трудностями при убеждении маркетинга использовать точную терминологию.
Бармар
3

Первый - это брандмауэр прикладного уровня. Вероятно, он работает как HTTP (s) прокси, где запросы направляются на прокси, который фильтрует все запросы и затем отправляет их на ваш сервер. Если компания, которую вы собираетесь купить, использует http-прокси, IP-адрес вашего сервера будет полностью скрыт от сети, что действительно хорошо. Если вам просто нужно защитить свои сайты, это самое простое решение, которое вы можете иметь, и оно «просто работает». Это метод, который CloudFlare использует, например.

Второй брандмауэр сетевого уровня. Это более продвинутый брандмауэр, который фильтрует весь трафик перед тем, как попасть на ваш сервер. Это, безусловно, самый эффективный и эффективный способ, поскольку вы можете защитить любой вид приложений, но вам понадобится действительно большая настройка с объявлениями BGP, отфильтрованными блоками IP-адресов, туннелями и так далее. Это обычно используется со службами, которые получают большие DDoS-атаки и размещают критические приложения, электронную коммерцию и игры.

Держите его выстрел: если вам просто нужно защитить свои сайты, используйте решение уровня 7. Если вам нужен продвинутый брандмауэр, который фильтрует любые приложения, защищает от DDoS-атак и т. Д., Используйте решение уровня 3-4.

Здесь вы можете прочитать больше о CloudFlare, и я думаю, что это правильное решение для вас: https://www.quora.com/How-does-CloudFlare-work

Альдемаро Кампос
источник