Co robi Firewall warstwy 3,4, czego nie robi warstwa 7?

17

Zastanawiam się, czy nie pójść z dostawcą zabezpieczeń dla hostowanych witryn na moim VPS i trudno mi coś zrozumieć. (Tak, wiem, że to terminologia OSI, a strony, o których mowa, to podstawowe strony internetowe dentystyczne i medyczne bez eCommerce i prywatnych informacji (SSN itp.)

Ich podstawowy plan ma zaporę sieciową w warstwie 7 (i dostaję, że to HTTP, HTTP itp.), Ale ich zaawansowany plan obejmuje również warstwę warstwy 3,4 (i dostaję, że jest to IP i TCP / UDP).

1) To, czego nie rozumiem, to ogólny obraz - czy zapora ogniowa w warstwie 7 tylko ignoruje problemy z warstwą 3/4? Czy kontrola pakietów jest pomijana?

2) A jeśli tak, to jak konieczna jest zapora ogniowa warstwy 3/4, jeśli masz już warstwę 7?

Jeśli jest książka lub zasób, mogę przeczytać, aby to zrozumieć, byłoby również wspaniale. Chcę zrozumieć, co robię, zanim dokonam zakupu!

David A. Wank
źródło
7
Nie wiem, jak możesz mieć zaporę warstwy 7 bez zapory warstwy 3, ale domyślam się, że mają one WAF i ujawniają ci reguły WAF, chyba że zapłacisz im więcej.
Mark Henderson
3
Sprawdziłbym jednak, że nawet jeśli nie weźmiesz zapory warstwy 3/4, cały twój serwer nie jest nagi i jest widoczny w Internecie. Powinny nadal zaporę ogniową wszystko oprócz 80/443
Mark Henderson
1
Dokładnie. Tego nie rozumiem - ponieważ podstawowy plan to warstwa 7. A pro plan to warstwy 3,4 i 7. Wyobrażam sobie, że podadzą ci poziom 3,4 jako linię podstawową, a następnie dodadzą WAF poziomu 7 jako dodatek. Ale jest odwrotnie!
David A. Wank
2
Prawdopodobnie rzucają Cloudflare na twoją stronę, co w zasadzie daje ci WAF za darmo. Bardziej skomplikowane listy ACL wymagają dodatkowych usług. Tylko zgaduję. Poprosiłbym ich zespół sprzedaży o wyjaśnienie.
Mark Henderson

Odpowiedzi:

27

Wygląda na to, że dostajesz trochę wprowadzającego w błąd żargonu. Definicje techniczne dla tego typu zapór ogniowych to:

  • Zapory warstwy 3 (tj. Zapory filtrujące pakiety ) filtrują ruch wyłącznie na podstawie źródłowego / docelowego adresu IP, portu i protokołu.
  • Zapory ogniowe warstwy 4 wykonują powyższe czynności, a także dodają możliwość śledzenia aktywnych połączeń sieciowych i zezwalają / odmawiają ruchu na podstawie stanu tych sesji (tj. Stanowa kontrola pakietów ).
  • Zapory ogniowe w warstwie 7 (tj. Bramy aplikacji ) mogą wykonywać wszystkie powyższe czynności, a także obejmować możliwość inteligentnego sprawdzania zawartości tych pakietów sieciowych. Na przykład zapora ogniowa w warstwie 7 może odrzucać wszystkie żądania HTTP POST z chińskich adresów IP. Ten poziom szczegółowości wiąże się jednak z kosztem wydajności.

Ponieważ prawidłowe definicje nie pokrywają się z ich schematem cen, myślę, że używają warstwy 7 jako (technicznie niepoprawnego) odniesienia do zapory programowej działającej na twoim VPS. Myśl podobnie jak iptables lub Windows Firewall . Jeśli pobijesz dodatkowe opłaty, ustawią VPS za odpowiednią zaporą sieciową. Może.

Jeśli nie będą przeszkadzać im w stosowaniu odpowiedniej terminologii przy opisywaniu swojego rozwiązania VPS potencjalnym klientom, kwestionowałbym ich kompetencje również w innych obszarach.

nieśmiertelny squish
źródło
4
Stateful Packet Inspection to nie tylko TCP, obejmuje wszystkie śledzenie komunikacji w warstwie 4. Jeśli zobaczę wychodzący pakiet UDP na 53 do XI, oczekuję, że w najbliższej przyszłości otrzymam przychodzący pakiet UDP od X na 53 i pozwolę na to. Natomiast niedopasowany przychodzący ruch UDP na 53 zostanie odrzucony.
Dev
5
Poza niewłaściwą terminologią, nie mogą też niepokoić się prezentacją oferowanych przez siebie usług w taki sposób, aby użytkownicy mogli dowiedzieć się, co kupują. Również nie jest to dobry znak.
jpmc26,
1
@Dev, masz rację, że stanowa kontrola pakietów nie ogranicza się tylko do TCP. Odpowiednio zaktualizowałem odpowiedź.
nieśmiertelny squish
1
Tak! Rozmawiałem z firmą i najwyraźniej przeszkadzał mi żargon „marketingowy” - wszystkie ich zapory mają 3,4,7. Dziękuję Ci!
David A. Wank
1
Kwestionuję charakterystykę z ostatniego akapitu. Nawet najbardziej kompetentnym działom technicznym może być trudno przekonać marketing do użycia precyzyjnej terminologii.
Barmar
3

Pierwszy to zapora ogniowa warstwy aplikacji. Prawdopodobnie działa jako serwer proxy HTTP, w którym żądania są przesyłane do serwera proxy, który filtruje wszystkie żądania i wysyła je na serwer. Jeśli firma, którą zamierzasz kupić, używa serwera proxy HTTP, adres IP twojego serwera będzie całkowicie ukryty przed Internetem, co jest naprawdę dobre. Jeśli potrzebujesz tylko chronić swoje strony internetowe, jest to najprostsze rozwiązanie, jakie możesz mieć i „po prostu działa”. Jest to na przykład metoda używana przez CloudFlare.

Drugi to zapora sieciowa. Jest to bardziej zaawansowana zapora ogniowa, która filtruje cały ruch przed dotarciem do serwera. Ten jest zdecydowanie najbardziej skuteczny i skuteczny, ponieważ można chronić dowolny rodzaj aplikacji, ale potrzebujesz naprawdę dużej konfiguracji z ogłoszeniami BGP, filtrowanymi blokami adresów IP, tunelami i tak dalej. Jest to powszechnie stosowane w przypadku usług, które otrzymują duże ataki DDoS i hostują krytyczne aplikacje, e-commerce i gry.

Trzymaj się z daleka: jeśli potrzebujesz tylko zabezpieczyć swoje witryny, skorzystaj z rozwiązania Layer 7. Jeśli potrzebujesz zaawansowanej zapory ogniowej, która filtruje dowolną aplikację, ochronę przed atakami DDoS i tak dalej, skorzystaj z rozwiązania warstwy 3-4.

Tutaj możesz przeczytać więcej o CloudFlare, które moim zdaniem jest właściwym rozwiązaniem: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
źródło