O que um Layer 3.4 Firewall faz que uma camada 7 não faça?

Navegue suas respostas
13

Estou pensando em ir com um fornecedor de segurança para sites hospedados no meu VPS e estou tendo dificuldades em entender algo. (Sim, eu sei que esta é a terminologia da OSI, e os sites em questão são sites básicos de medicina e odontologia, sem eCommerce e sem informações privadas (SSN, etc).

O plano básico deles tem um firewall de Camada 7 (e eu entendo que isso é HTTP, HTTPs, etc), mas seu plano avançado também tem cobertura de camada 3,4 (e eu entendo que isso é IP e TCP / UDP).

1) O que eu não entendo é o quadro geral - um firewall somente da Camada 7 ignora os problemas da Camada 3/4? A inspeção de pacotes é ignorada?

2) E se sim, como é necessário um firewall de camada 3/4 se você já tiver uma camada 7?

Se houver um livro ou recurso que eu possa ler para entender isso também seria ótimo. Eu quero entender o que estou fazendo antes de fazer uma compra!

    
por David A. Wank 28.07.2016 / 22:45

2 respostas

24

Parece que você está recebendo um jargão enganoso. As definições técnicas para esses tipos de firewalls são:

  • Firewalls de camada 3 (ou seja, firewalls de filtragem de pacotes ) filtram o tráfego com base apenas na origem / destino IP, porta e protocolo.
  • Os firewalls de camada 4 fazem o acima, além de adicionar a capacidade de rastrear conexões de rede ativas e permitir / negar o tráfego com base no estado dessas sessões (por exemplo, inspeção de pacotes com estado )
  • Firewalls da camada 7 (ou seja, gateways de aplicativos ) pode fazer todos os itens acima, além de incluir a capacidade de inspecionar inteligentemente o conteúdo desses pacotes de rede. Por exemplo, um firewall da Camada 7 pode negar todas as solicitações HTTP POST dos endereços IP chineses. Esse nível de granularidade tem um custo de desempenho, no entanto.

Como as definições adequadas não se alinham com o esquema de preços, acho que estão usando a Camada 7 como uma referência (tecnicamente incorreta) a um firewall de software em execução no seu VPS. Pense ao longo das linhas de iptables ou Windows Firewall . Se você pagar as taxas extras, eles colocarão seu VPS atrás de um firewall de rede adequado. Talvez.

Se eles não puderem se incomodar em usar uma terminologia adequada ao descrever sua solução de VPS para clientes em potencial, eu também questionaria sua competência em outras áreas.

    
por 28.07.2016 / 23:17
3

O primeiro é um firewall de camada de aplicativo. Ele provavelmente funciona como um proxy HTTP (s) onde as solicitações são feitas para o proxy, que filtra todas as solicitações e as envia para o servidor. Se a empresa que você vai comprar usar um proxy http, o IP do seu servidor ficará totalmente oculto na web, o que é realmente bom. Se você só precisa proteger seus sites, esta é a solução mais simples que você pode ter e "simplesmente funciona". Esse é o método que o CloudFlare usa, por exemplo.

O segundo é um firewall de camada de rede. É um firewall mais avançado, que filtra todo o tráfego antes de chegar ao seu servidor. Este é de longe o mais eficaz e eficiente, já que você pode proteger qualquer tipo de aplicação, mas você precisa de uma configuração realmente grande com anúncios BGP, blocos de IPs filtrados, túneis e assim por diante. Isso é comumente usado com serviços que recebem grandes ataques DDoS e hospedam aplicativos críticos, comércio eletrônico e jogos.

Mantendo a foto: Se você só precisa proteger seus sites, use a solução Layer 7. Se você precisar de um firewall avançado que filtre qualquer tipo de aplicativo, proteção contra ataques DDoS e assim por diante, use a solução de Camada 3-4.

Aqui você pode ler mais sobre o CloudFlare, que eu acho que é a solução certa para você: link

    
por 28.07.2016 / 23:27

Tags

Programar a Tarefa do Windows a cada minuto Listando domínios em um certificado SSL UCC / SAN