ไฟร์วอลล์ 3,4 ชั้นทำอะไรได้บ้างที่ Layer 7 ไม่?

ฉันกำลังคิดที่จะไปกับผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ที่โฮสต์ใน VPS ของฉันและฉันก็ลำบากที่จะเข้าใจบางสิ่งบางอย่าง (ใช่ฉันรู้ว่านี่เป็นคำศัพท์ OSI และเว็บไซต์ที่เป็นปัญหาคือเว็บไซต์ทันตกรรมและการแพทย์ขั้นพื้นฐานที่ไม่มีอีคอมเมิร์ซและไม่มีข้อมูลส่วนตัว (SSN เป็นต้น)

แผนขั้นพื้นฐานของพวกเขามีไฟร์วอลล์ Layer 7 (และฉันเข้าใจว่าเป็น HTTP, HTTPs และอื่น ๆ ) แต่แผนขั้นสูงของพวกเขามีเลเยอร์ครอบคลุม 3,4 เช่นกัน (และฉันได้รับนั่นคือ IP และ TCP / UDP)

1) สิ่งที่ฉันไม่เข้าใจเป็นภาพรวม - ไฟร์วอลล์ Layer 7-only ไม่สนใจปัญหาของ Layer 3/4 หรือไม่ การตรวจสอบแพ็คเก็ตข้ามหรือไม่

2) และถ้าเป็นเช่นนั้นเลเยอร์ 3/4 ไฟร์วอลล์จำเป็นอย่างไรถ้าคุณมีเลเยอร์ 7 อยู่แล้ว?

หากมีหนังสือหรือแหล่งข้อมูลฉันสามารถอ่านเพื่อทำความเข้าใจกับสิ่งนี้ได้เช่นกัน ฉันต้องการเข้าใจสิ่งที่ฉันทำก่อนตัดสินใจซื้อ!

ดูเหมือนว่าคุณจะได้รับศัพท์แสงที่ทำให้เข้าใจผิดเล็กน้อย ข้อกำหนดทางเทคนิคสำหรับไฟร์วอลล์ประเภทนี้คือ:

• ไฟร์วอลล์ของเลเยอร์ 3 (เช่นไฟร์วอลล์ตัวกรองแพ็กเก็ต ) จะกรองปริมาณการรับส่งข้อมูลตาม IP ต้นทาง / ปลายทางพอร์ตและโปรโตคอลเท่านั้น
• ไฟร์วอลล์ของเลเยอร์ 4ทำตามข้างต้นรวมทั้งเพิ่มความสามารถในการติดตามการเชื่อมต่อเครือข่ายที่ใช้งานอยู่และอนุญาต / ปฏิเสธการรับส่งข้อมูลตามสถานะของเซสชันเหล่านั้น (เช่นการตรวจสอบแพ็คเก็ตแบบไร้รัฐ)
• ไฟร์วอลล์ของเลเยอร์ 7 (เช่นแอพพลิเคชันเกตเวย์ ) สามารถทำสิ่งต่าง ๆ ข้างต้นทั้งหมดรวมถึงความสามารถในการตรวจสอบเนื้อหาของแพ็กเก็ตเครือข่ายเหล่านั้นอย่างชาญฉลาด ตัวอย่างเช่นไฟร์วอลล์ Layer 7 สามารถปฏิเสธคำขอ HTTP POST ทั้งหมดจากที่อยู่ IP ของจีน แม้ว่าระดับความละเอียดระดับนี้จะมีต้นทุนด้านประสิทธิภาพ

เนื่องจากคำจำกัดความที่เหมาะสมไม่สอดคล้องกับรูปแบบการกำหนดราคาของพวกเขาฉันคิดว่าพวกเขากำลังใช้เลเยอร์ 7 เป็นการอ้างอิง (ไม่ถูกต้องทางเทคนิค) กับไฟร์วอลล์ซอฟต์แวร์ที่ทำงานบน VPS ของคุณ คิดตามสายของiptablesหรือWindows Firewall หากคุณจ่ายค่าธรรมเนียมเพิ่มเติมพวกเขาจะวาง VPS ของคุณไว้หลังไฟร์วอลล์เครือข่ายที่เหมาะสม อาจจะ.

หากพวกเขาไม่สามารถใส่ใจที่จะใช้คำศัพท์ที่เหมาะสมเมื่ออธิบายถึงวิธีการแก้ปัญหา VPS ของพวกเขาให้กับผู้มีโอกาสเป็นลูกค้าฉันจะถามความสามารถของพวกเขาในด้านอื่น ๆ เช่นกัน

สิ่งแรกคือไฟร์วอลล์ชั้นแอปพลิเคชัน อาจใช้เป็นพร็อกซี HTTP ที่มีการร้องขอไปยังพรอกซีซึ่งจะกรองคำขอทั้งหมดและส่งไปยังเซิร์ฟเวอร์ของคุณ หาก บริษัท ที่คุณกำลังจะซื้อใช้พร็อกซี http เซิร์ฟเวอร์ IP ของคุณจะถูกซ่อนไว้จากเว็บโดยสิ้นเชิงสิ่งที่ดีจริงๆ หากคุณต้องการปกป้องเว็บไซต์ของคุณนี่เป็นทางออกที่ง่ายที่สุดที่คุณสามารถมีและ "ใช้งานได้" นี่เป็นวิธีการที่ CloudFlare ใช้เช่น

ประการที่สองคือไฟร์วอลล์เลเยอร์เครือข่าย มันเป็นไฟร์วอลล์ขั้นสูงที่กรอง trafic ทั้งหมดก่อนถึงเซิร์ฟเวอร์ของคุณ อันนี้มีประสิทธิภาพมากที่สุดในขณะที่คุณสามารถป้องกันแอปพลิเคชันใด ๆ ได้ แต่คุณต้องมีการตั้งค่าขนาดใหญ่มากด้วยการประกาศ BGP บล็อก IP ที่กรองอุโมงค์และอื่น ๆ สิ่งนี้มักใช้กับบริการที่ได้รับการโจมตี DDoS ขนาดใหญ่และโฮสต์แอพพลิเคชั่นที่สำคัญอีคอมเมิร์ซและเกม

Keep it shot: หากคุณต้องการความปลอดภัยให้กับเว็บไซต์ของคุณให้ใช้โซลูชั่น Layer 7 หากคุณต้องการไฟร์วอลล์ขั้นสูงที่กรองแอปพลิเคชันประเภทใดก็ได้ป้องกันการโจมตี DDoS และอื่น ๆ ให้ใช้โซลูชันเลเยอร์ 3-4

ที่นี่คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ CloudFlare ซึ่งฉันคิดว่ามันเป็นคำตอบที่เหมาะสมสำหรับคุณ: https://www.quora.com/How-does-CloudFlare-work