Zastanawiam się, czy nie pójść z dostawcą zabezpieczeń dla hostowanych witryn na moim VPS i trudno mi coś zrozumieć. (Tak, wiem, że to terminologia OSI, a strony, o których mowa, to podstawowe strony internetowe dentystyczne i medyczne bez eCommerce i prywatnych informacji (SSN itp.)
Ich podstawowy plan ma zaporę sieciową w warstwie 7 (i dostaję, że to HTTP, HTTP itp.), Ale ich zaawansowany plan obejmuje również warstwę warstwy 3,4 (i dostaję, że jest to IP i TCP / UDP).
1) To, czego nie rozumiem, to ogólny obraz - czy zapora ogniowa w warstwie 7 tylko ignoruje problemy z warstwą 3/4? Czy kontrola pakietów jest pomijana?
2) A jeśli tak, to jak konieczna jest zapora ogniowa warstwy 3/4, jeśli masz już warstwę 7?
Jeśli jest książka lub zasób, mogę przeczytać, aby to zrozumieć, byłoby również wspaniale. Chcę zrozumieć, co robię, zanim dokonam zakupu!
Odpowiedzi:
Wygląda na to, że dostajesz trochę wprowadzającego w błąd żargonu. Definicje techniczne dla tego typu zapór ogniowych to:
Ponieważ prawidłowe definicje nie pokrywają się z ich schematem cen, myślę, że używają warstwy 7 jako (technicznie niepoprawnego) odniesienia do zapory programowej działającej na twoim VPS. Myśl podobnie jak iptables lub Windows Firewall . Jeśli pobijesz dodatkowe opłaty, ustawią VPS za odpowiednią zaporą sieciową. Może.
Jeśli nie będą przeszkadzać im w stosowaniu odpowiedniej terminologii przy opisywaniu swojego rozwiązania VPS potencjalnym klientom, kwestionowałbym ich kompetencje również w innych obszarach.
źródło
Pierwszy to zapora ogniowa warstwy aplikacji. Prawdopodobnie działa jako serwer proxy HTTP, w którym żądania są przesyłane do serwera proxy, który filtruje wszystkie żądania i wysyła je na serwer. Jeśli firma, którą zamierzasz kupić, używa serwera proxy HTTP, adres IP twojego serwera będzie całkowicie ukryty przed Internetem, co jest naprawdę dobre. Jeśli potrzebujesz tylko chronić swoje strony internetowe, jest to najprostsze rozwiązanie, jakie możesz mieć i „po prostu działa”. Jest to na przykład metoda używana przez CloudFlare.
Drugi to zapora sieciowa. Jest to bardziej zaawansowana zapora ogniowa, która filtruje cały ruch przed dotarciem do serwera. Ten jest zdecydowanie najbardziej skuteczny i skuteczny, ponieważ można chronić dowolny rodzaj aplikacji, ale potrzebujesz naprawdę dużej konfiguracji z ogłoszeniami BGP, filtrowanymi blokami adresów IP, tunelami i tak dalej. Jest to powszechnie stosowane w przypadku usług, które otrzymują duże ataki DDoS i hostują krytyczne aplikacje, e-commerce i gry.
Trzymaj się z daleka: jeśli potrzebujesz tylko zabezpieczyć swoje witryny, skorzystaj z rozwiązania Layer 7. Jeśli potrzebujesz zaawansowanej zapory ogniowej, która filtruje dowolną aplikację, ochronę przed atakami DDoS i tak dalej, skorzystaj z rozwiązania warstwy 3-4.
Tutaj możesz przeczytać więcej o CloudFlare, które moim zdaniem jest właściwym rozwiązaniem: https://www.quora.com/How-does-CloudFlare-work
źródło