Tường lửa lớp 3,4 làm gì mà lớp 7 không?

Tôi đang suy nghĩ về việc đi cùng một nhà cung cấp bảo mật cho các trang web được lưu trữ trên VPS của mình và tôi đang gặp khó khăn để hiểu điều gì đó. (Có, tôi biết đây là thuật ngữ OSI và các trang web được đề cập là các trang web thực hành y khoa và nha khoa cơ bản không có Thương mại điện tử và không có thông tin cá nhân (SSN, v.v.).

Gói cơ bản của họ có tường lửa Lớp 7 (và tôi hiểu đó là HTTP, HTTP, v.v.), nhưng gói nâng cao của họ cũng có độ phủ lớp 3,4 (và tôi hiểu đó là IP và TCP / UDP).

1) Điều tôi không hiểu là bức tranh lớn - tường lửa chỉ có Lớp 7 có bỏ qua các vấn đề với Lớp 3/4 không? Là kiểm tra gói bị bỏ qua?

2) Và nếu vậy, tường lửa lớp 3/4 cần thiết như thế nào nếu bạn đã có sẵn lớp 7?

Nếu có một cuốn sách hoặc tài nguyên tôi có thể đọc để hiểu điều này cũng sẽ rất tuyệt. Tôi muốn hiểu những gì tôi đang làm trước khi tôi mua hàng!

Có vẻ như bạn đang nhận được một chút biệt ngữ sai lệch. Các định nghĩa kỹ thuật cho các loại tường lửa này là:

• Tường lửa lớp 3 (tức là tường lửa lọc gói ) lọc lưu lượng chỉ dựa trên IP nguồn / cổng đích, cổng và giao thức.
• Tường lửa lớp 4 thực hiện như trên, cộng thêm khả năng theo dõi các kết nối mạng đang hoạt động và cho phép / từ chối lưu lượng dựa trên trạng thái của các phiên đó (tức là kiểm tra gói trạng thái ).
• Tường lửa lớp 7 (tức là cổng ứng dụng ) có thể thực hiện tất cả các điều trên, cộng với khả năng kiểm tra thông minh nội dung của các gói mạng đó một cách thông minh. Chẳng hạn, tường lửa lớp 7 có thể từ chối tất cả các yêu cầu HTTP POST từ các địa chỉ IP của Trung Quốc. Mức độ chi tiết này đi kèm với một chi phí hiệu suất, mặc dù.

Vì các định nghĩa phù hợp không phù hợp với sơ đồ giá của chúng, tôi nghĩ rằng chúng đang sử dụng Lớp 7 làm tham chiếu (không chính xác về mặt kỹ thuật) cho tường lửa phần mềm chạy trên VPS của bạn. Hãy suy nghĩ theo dòng của iptables hoặc Windows Firewall . Nếu bạn tăng thêm phí, họ sẽ đặt VPS của bạn phía sau tường lửa mạng thích hợp. Có lẽ.

Nếu họ không thể bận tâm sử dụng thuật ngữ thích hợp khi mô tả giải pháp VPS của họ cho khách hàng tiềm năng, tôi cũng sẽ đặt câu hỏi về năng lực của họ trong các lĩnh vực khác.

Đầu tiên là tường lửa lớp ứng dụng. Nó có thể hoạt động như một proxy HTTP (s) trong đó các yêu cầu được thực hiện cho proxy, nó lọc tất cả các yêu cầu và hơn là gửi chúng đến máy chủ của bạn. Nếu công ty bạn sẽ mua sử dụng proxy http, IP máy chủ của bạn sẽ hoàn toàn bị ẩn khỏi web, điều gì thực sự tốt. Nếu bạn chỉ cần bảo vệ trang web của mình thì đây là giải pháp đơn giản nhất bạn có thể có và "chỉ hoạt động". Đây là phương pháp mà CloudFlare sử dụng, ví dụ.

Thứ hai là tường lửa lớp mạng. Đó là một tường lửa tiên tiến hơn, lọc tất cả các đề tài trước khi đến máy chủ của bạn. Đây là một cách hiệu quả nhất, hiệu quả nhất, vì bạn có thể bảo vệ bất kỳ loại ứng dụng nào, nhưng bạn cần một thiết lập thực sự lớn với thông báo BGP, khối IP được lọc, đường hầm, v.v. Điều này thường được sử dụng với các dịch vụ nhận các cuộc tấn công DDoS lớn và lưu trữ các ứng dụng quan trọng, thương mại điện tử và trò chơi.

Giữ cho nó bắn: Nếu bạn chỉ cần bảo mật trang web của mình, hãy sử dụng giải pháp Lớp 7. Nếu bạn cần một tường lửa tiên tiến lọc bất kỳ loại ứng dụng nào, bảo vệ chống lại các cuộc tấn công DDoS, v.v., hãy sử dụng giải pháp Lớp 3-4.

Tại đây bạn có thể đọc thêm về CloudFlare, tôi nghĩ đó là giải pháp phù hợp với bạn: https://www.quora.com/How-does-CloudFlare-work