ไฟร์วอลล์ 3,4 ชั้นทำอะไรได้บ้างที่ Layer 7 ไม่?


17

ฉันกำลังคิดที่จะไปกับผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ที่โฮสต์ใน VPS ของฉันและฉันก็ลำบากที่จะเข้าใจบางสิ่งบางอย่าง (ใช่ฉันรู้ว่านี่เป็นคำศัพท์ OSI และเว็บไซต์ที่เป็นปัญหาคือเว็บไซต์ทันตกรรมและการแพทย์ขั้นพื้นฐานที่ไม่มีอีคอมเมิร์ซและไม่มีข้อมูลส่วนตัว (SSN เป็นต้น)

แผนขั้นพื้นฐานของพวกเขามีไฟร์วอลล์ Layer 7 (และฉันเข้าใจว่าเป็น HTTP, HTTPs และอื่น ๆ ) แต่แผนขั้นสูงของพวกเขามีเลเยอร์ครอบคลุม 3,4 เช่นกัน (และฉันได้รับนั่นคือ IP และ TCP / UDP)

1) สิ่งที่ฉันไม่เข้าใจเป็นภาพรวม - ไฟร์วอลล์ Layer 7-only ไม่สนใจปัญหาของ Layer 3/4 หรือไม่ การตรวจสอบแพ็คเก็ตข้ามหรือไม่

2) และถ้าเป็นเช่นนั้นเลเยอร์ 3/4 ไฟร์วอลล์จำเป็นอย่างไรถ้าคุณมีเลเยอร์ 7 อยู่แล้ว?

หากมีหนังสือหรือแหล่งข้อมูลฉันสามารถอ่านเพื่อทำความเข้าใจกับสิ่งนี้ได้เช่นกัน ฉันต้องการเข้าใจสิ่งที่ฉันทำก่อนตัดสินใจซื้อ!


7
ฉันไม่รู้ว่าคุณจะมีไฟร์วอลล์ layer 7 ได้อย่างไรโดยไม่ต้องมีไฟร์วอลล์ระดับ 3 แต่ฉันเดาว่าพวกเขามี WAF และเปิดเผยกฎ WAF ให้คุณเท่านั้นเว้นแต่คุณจะจ่ายเพิ่ม
Mark Henderson

3
ฉันจะตรวจสอบว่าแม้ว่าคุณจะไม่ใช้ไฟร์วอลล์เลเยอร์ 3/4 ที่เซิร์ฟเวอร์ทั้งหมดของคุณไม่ได้เปลือยกายและถูกเปิดเผยบนอินเทอร์เน็ต พวกเขาควรยังคงไฟร์วอลล์ทุกอย่างยกเว้น 80/443
Mark Henderson

1
เผง นั่นคือสิ่งที่ฉันไม่ได้รับ - เพราะแผนพื้นฐานคือเลเยอร์ 7 และโปรโปรเลเยอร์คือเลเยอร์ 3,4 และ 7 ฉันจะคิดว่าพวกเขาจะให้ระดับ 3,4 เป็นพื้นฐานแล้วเพิ่ม ระดับ 7 WAF เป็นส่วนเสริม แต่มันกลับด้าน!
David A. Wank

2
พวกเขาอาจโยน Cloudflare หน้าเว็บไซต์ของคุณซึ่งโดยทั่วไปจะให้ WAF ฟรี ACL ที่ซับซ้อนมากขึ้นนั้นต้องการบริการเพิ่มเติม แค่เดาของฉัน ฉันจะขอคำอธิบายจากทีมขายของพวกเขา
Mark Henderson

คำตอบ:


27

ดูเหมือนว่าคุณจะได้รับศัพท์แสงที่ทำให้เข้าใจผิดเล็กน้อย ข้อกำหนดทางเทคนิคสำหรับไฟร์วอลล์ประเภทนี้คือ:

  • ไฟร์วอลล์ของเลเยอร์ 3 (เช่นไฟร์วอลล์ตัวกรองแพ็กเก็ต ) จะกรองปริมาณการรับส่งข้อมูลตาม IP ต้นทาง / ปลายทางพอร์ตและโปรโตคอลเท่านั้น
  • ไฟร์วอลล์ของเลเยอร์ 4ทำตามข้างต้นรวมทั้งเพิ่มความสามารถในการติดตามการเชื่อมต่อเครือข่ายที่ใช้งานอยู่และอนุญาต / ปฏิเสธการรับส่งข้อมูลตามสถานะของเซสชันเหล่านั้น (เช่นการตรวจสอบแพ็คเก็ตแบบไร้รัฐ)
  • ไฟร์วอลล์ของเลเยอร์ 7 (เช่นแอพพลิเคชันเกตเวย์ ) สามารถทำสิ่งต่าง ๆ ข้างต้นทั้งหมดรวมถึงความสามารถในการตรวจสอบเนื้อหาของแพ็กเก็ตเครือข่ายเหล่านั้นอย่างชาญฉลาด ตัวอย่างเช่นไฟร์วอลล์ Layer 7 สามารถปฏิเสธคำขอ HTTP POST ทั้งหมดจากที่อยู่ IP ของจีน แม้ว่าระดับความละเอียดระดับนี้จะมีต้นทุนด้านประสิทธิภาพ

เนื่องจากคำจำกัดความที่เหมาะสมไม่สอดคล้องกับรูปแบบการกำหนดราคาของพวกเขาฉันคิดว่าพวกเขากำลังใช้เลเยอร์ 7 เป็นการอ้างอิง (ไม่ถูกต้องทางเทคนิค) กับไฟร์วอลล์ซอฟต์แวร์ที่ทำงานบน VPS ของคุณ คิดตามสายของiptablesหรือWindows Firewall หากคุณจ่ายค่าธรรมเนียมเพิ่มเติมพวกเขาจะวาง VPS ของคุณไว้หลังไฟร์วอลล์เครือข่ายที่เหมาะสม อาจจะ.

หากพวกเขาไม่สามารถใส่ใจที่จะใช้คำศัพท์ที่เหมาะสมเมื่ออธิบายถึงวิธีการแก้ปัญหา VPS ของพวกเขาให้กับผู้มีโอกาสเป็นลูกค้าฉันจะถามความสามารถของพวกเขาในด้านอื่น ๆ เช่นกัน


4
การตรวจสอบแพ็คเก็ตที่เต็มเปี่ยมไม่ใช่แค่ TCP เท่านั้น แต่ยังครอบคลุมการติดตามการสื่อสารเลเยอร์ 4 หากฉันเห็นแพ็กเก็ต UDP ขาออกบน 53 ถึง XI คาดว่าจะได้รับแพ็กเก็ต UDP ขาเข้าจาก X ใน 53 ในอนาคตอันใกล้และจะอนุญาต ทราฟฟิก UDP ขาเข้าที่ไม่ตรงกันใน 53 จะลดลง
Dev

5
นอกเหนือจากคำศัพท์ที่ไม่เหมาะสมแล้วพวกเขาก็ไม่สามารถรบกวนการนำเสนอบริการที่พวกเขากำลังนำเสนอในแบบที่ผู้ใช้สามารถเข้าใจสิ่งที่พวกเขาซื้อ ยังไม่ได้เป็นสัญญาณที่ดี
jpmc26

1
@Dev คุณถูกต้องเกี่ยวกับการตรวจสอบแพ็คเก็ต stateful ไม่เพียง แต่ถูก จำกัด TCP ฉันได้อัพเดตคำตอบอย่างเหมาะสมแล้ว
squish อมตะ

1
ใช่ ฉันพูดกับ บริษัท และเห็นได้ชัดว่ามีศัพท์แสง "การตลาด" บางอย่างที่ขวางทาง - ไฟร์วอลล์ทั้งหมดของพวกเขาคือ 3,4,7 ขอขอบคุณ!
David A. Wank

1
ฉันตั้งคำถามเกี่ยวกับลักษณะในย่อหน้าสุดท้าย แม้แต่ฝ่ายเทคนิคที่มีความสามารถมากที่สุดก็ยังพบว่าเป็นการยากที่จะโน้มน้าวให้ฝ่ายการตลาดใช้คำศัพท์ที่แม่นยำ
Barmar

3

สิ่งแรกคือไฟร์วอลล์ชั้นแอปพลิเคชัน อาจใช้เป็นพร็อกซี HTTP ที่มีการร้องขอไปยังพรอกซีซึ่งจะกรองคำขอทั้งหมดและส่งไปยังเซิร์ฟเวอร์ของคุณ หาก บริษัท ที่คุณกำลังจะซื้อใช้พร็อกซี http เซิร์ฟเวอร์ IP ของคุณจะถูกซ่อนไว้จากเว็บโดยสิ้นเชิงสิ่งที่ดีจริงๆ หากคุณต้องการปกป้องเว็บไซต์ของคุณนี่เป็นทางออกที่ง่ายที่สุดที่คุณสามารถมีและ "ใช้งานได้" นี่เป็นวิธีการที่ CloudFlare ใช้เช่น

ประการที่สองคือไฟร์วอลล์เลเยอร์เครือข่าย มันเป็นไฟร์วอลล์ขั้นสูงที่กรอง trafic ทั้งหมดก่อนถึงเซิร์ฟเวอร์ของคุณ อันนี้มีประสิทธิภาพมากที่สุดในขณะที่คุณสามารถป้องกันแอปพลิเคชันใด ๆ ได้ แต่คุณต้องมีการตั้งค่าขนาดใหญ่มากด้วยการประกาศ BGP บล็อก IP ที่กรองอุโมงค์และอื่น ๆ สิ่งนี้มักใช้กับบริการที่ได้รับการโจมตี DDoS ขนาดใหญ่และโฮสต์แอพพลิเคชั่นที่สำคัญอีคอมเมิร์ซและเกม

Keep it shot: หากคุณต้องการความปลอดภัยให้กับเว็บไซต์ของคุณให้ใช้โซลูชั่น Layer 7 หากคุณต้องการไฟร์วอลล์ขั้นสูงที่กรองแอปพลิเคชันประเภทใดก็ได้ป้องกันการโจมตี DDoS และอื่น ๆ ให้ใช้โซลูชันเลเยอร์ 3-4

ที่นี่คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ CloudFlare ซึ่งฉันคิดว่ามันเป็นคำตอบที่เหมาะสมสำหรับคุณ: https://www.quora.com/How-does-CloudFlare-work

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.