Tường lửa lớp 3,4 làm gì mà lớp 7 không?


17

Tôi đang suy nghĩ về việc đi cùng một nhà cung cấp bảo mật cho các trang web được lưu trữ trên VPS của mình và tôi đang gặp khó khăn để hiểu điều gì đó. (Có, tôi biết đây là thuật ngữ OSI và các trang web được đề cập là các trang web thực hành y khoa và nha khoa cơ bản không có Thương mại điện tử và không có thông tin cá nhân (SSN, v.v.).

Gói cơ bản của họ có tường lửa Lớp 7 (và tôi hiểu đó là HTTP, HTTP, v.v.), nhưng gói nâng cao của họ cũng có độ phủ lớp 3,4 (và tôi hiểu đó là IP và TCP / UDP).

1) Điều tôi không hiểu là bức tranh lớn - tường lửa chỉ có Lớp 7 có bỏ qua các vấn đề với Lớp 3/4 không? Là kiểm tra gói bị bỏ qua?

2) Và nếu vậy, tường lửa lớp 3/4 cần thiết như thế nào nếu bạn đã có sẵn lớp 7?

Nếu có một cuốn sách hoặc tài nguyên tôi có thể đọc để hiểu điều này cũng sẽ rất tuyệt. Tôi muốn hiểu những gì tôi đang làm trước khi tôi mua hàng!


7
Tôi không biết làm thế nào bạn có thể có tường lửa lớp 7 mà không cần tường lửa lớp 3, nhưng tôi đoán là họ có WAF và chỉ đưa ra các quy tắc WAF cho bạn trừ khi bạn trả cho họ nhiều hơn.
Mark Henderson

3
Tôi sẽ kiểm tra xem ngay cả khi bạn không lấy tường lửa lớp 3/4 thì toàn bộ máy chủ của bạn không trần trụi và bị phơi bày trên internet. Họ vẫn nên tường lửa mọi thứ trừ 80/443
Mark Henderson

1
Chính xác. Đó là những gì tôi không nhận được - bởi vì kế hoạch cơ bản là lớp 7. Và kế hoạch chuyên nghiệp là lớp 3,4 và 7. Tôi sẽ hình dung rằng họ sẽ cung cấp cho bạn cấp 3,4 làm đường cơ sở, sau đó thêm WAF cấp 7 là phần bổ sung. Nhưng nó đã đảo ngược!
David A. Wank

2
Họ có thể ném Cloudflare trước trang web của bạn, về cơ bản cung cấp cho bạn WAF miễn phí. ACL phức tạp hơn đòi hỏi các dịch vụ bổ sung. Chỉ là phỏng đoán của tôi. Tôi sẽ yêu cầu đội ngũ bán hàng của họ giải thích.
Mark Henderson

Câu trả lời:


27

Có vẻ như bạn đang nhận được một chút biệt ngữ sai lệch. Các định nghĩa kỹ thuật cho các loại tường lửa này là:

  • Tường lửa lớp 3 (tức là tường lửa lọc gói ) lọc lưu lượng chỉ dựa trên IP nguồn / cổng đích, cổng và giao thức.
  • Tường lửa lớp 4 thực hiện như trên, cộng thêm khả năng theo dõi các kết nối mạng đang hoạt động và cho phép / từ chối lưu lượng dựa trên trạng thái của các phiên đó (tức là kiểm tra gói trạng thái ).
  • Tường lửa lớp 7 (tức là cổng ứng dụng ) có thể thực hiện tất cả các điều trên, cộng với khả năng kiểm tra thông minh nội dung của các gói mạng đó một cách thông minh. Chẳng hạn, tường lửa lớp 7 có thể từ chối tất cả các yêu cầu HTTP POST từ các địa chỉ IP của Trung Quốc. Mức độ chi tiết này đi kèm với một chi phí hiệu suất, mặc dù.

Vì các định nghĩa phù hợp không phù hợp với sơ đồ giá của chúng, tôi nghĩ rằng chúng đang sử dụng Lớp 7 làm tham chiếu (không chính xác về mặt kỹ thuật) cho tường lửa phần mềm chạy trên VPS của bạn. Hãy suy nghĩ theo dòng của iptables hoặc Windows Firewall . Nếu bạn tăng thêm phí, họ sẽ đặt VPS của bạn phía sau tường lửa mạng thích hợp. Có lẽ.

Nếu họ không thể bận tâm sử dụng thuật ngữ thích hợp khi mô tả giải pháp VPS của họ cho khách hàng tiềm năng, tôi cũng sẽ đặt câu hỏi về năng lực của họ trong các lĩnh vực khác.


4
Kiểm tra gói trạng thái không chỉ là TCP, nó bao gồm tất cả theo dõi giao tiếp của lớp 4. Nếu tôi thấy gói UDP bên ngoài vào ngày 53 đến XI, mong đợi nhận được gói UDP gửi đến từ X vào ngày 53 trong tương lai gần và sẽ cho phép. Ngược lại, lưu lượng truy cập UDP trong nước chưa từng có trên 53 sẽ bị loại bỏ.
Dev

5
Ngoài thuật ngữ không phù hợp, họ cũng không thể bận tâm trình bày các dịch vụ họ đang cung cấp theo cách mà người dùng thực sự có thể tìm ra những gì họ đang mua. Cũng không phải là một dấu hiệu tốt.
jpmc26

1
@Dev, Bạn đã đúng về việc kiểm tra gói trạng thái không chỉ giới hạn ở TCP. Tôi đã cập nhật câu trả lời thích hợp.
Squish bất tử

1
Đúng! Tôi đã nói chuyện với công ty và rõ ràng có một số biệt ngữ "tiếp thị" cản trở - tất cả các tường lửa của họ là 3,4,7. Cảm ơn bạn!
David A. Wank

1
Tôi đặt câu hỏi về đặc tính trong đoạn cuối. Ngay cả các bộ phận kỹ thuật có thẩm quyền nhất cũng có thể gặp khó khăn trong việc thuyết phục tiếp thị sử dụng thuật ngữ chính xác.
Barmar

3

Đầu tiên là tường lửa lớp ứng dụng. Nó có thể hoạt động như một proxy HTTP (s) trong đó các yêu cầu được thực hiện cho proxy, nó lọc tất cả các yêu cầu và hơn là gửi chúng đến máy chủ của bạn. Nếu công ty bạn sẽ mua sử dụng proxy http, IP máy chủ của bạn sẽ hoàn toàn bị ẩn khỏi web, điều gì thực sự tốt. Nếu bạn chỉ cần bảo vệ trang web của mình thì đây là giải pháp đơn giản nhất bạn có thể có và "chỉ hoạt động". Đây là phương pháp mà CloudFlare sử dụng, ví dụ.

Thứ hai là tường lửa lớp mạng. Đó là một tường lửa tiên tiến hơn, lọc tất cả các đề tài trước khi đến máy chủ của bạn. Đây là một cách hiệu quả nhất, hiệu quả nhất, vì bạn có thể bảo vệ bất kỳ loại ứng dụng nào, nhưng bạn cần một thiết lập thực sự lớn với thông báo BGP, khối IP được lọc, đường hầm, v.v. Điều này thường được sử dụng với các dịch vụ nhận các cuộc tấn công DDoS lớn và lưu trữ các ứng dụng quan trọng, thương mại điện tử và trò chơi.

Giữ cho nó bắn: Nếu bạn chỉ cần bảo mật trang web của mình, hãy sử dụng giải pháp Lớp 7. Nếu bạn cần một tường lửa tiên tiến lọc bất kỳ loại ứng dụng nào, bảo vệ chống lại các cuộc tấn công DDoS, v.v., hãy sử dụng giải pháp Lớp 3-4.

Tại đây bạn có thể đọc thêm về CloudFlare, tôi nghĩ đó là giải pháp phù hợp với bạn: https://www.quora.com/How-does-CloudFlare-work

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.