Cosa fa un firewall di livello 3,4 che non fa un livello 7?

17

Sto pensando di andare con un fornitore di sicurezza per siti ospitati sul mio VPS e sto facendo fatica a capire qualcosa. (Sì, lo so che si tratta della terminologia OSI e i siti in questione sono siti Web di base di studi dentistici e medici senza e-commerce e informazioni private (SSN, ecc.).

Il loro piano di base ha un firewall di livello 7 (e ottengo che è HTTP, HTTPs, ecc.), Ma il loro piano avanzato ha anche una copertura di livello 3,4 (e ottengo che è IP e TCP / UDP).

1) Quello che non capisco è il quadro generale: un firewall di solo livello 7 ignora i problemi con il livello 3/4? L'ispezione dei pacchetti viene ignorata?

2) In tal caso, quanto è necessario un firewall di livello 3/4 se è già presente un livello 7?

Se c'è un libro o una risorsa che posso leggere per capire questo sarebbe fantastico. Voglio capire cosa sto facendo prima di effettuare un acquisto!

firewall  website 
David A. Wank
fonte
7
Non so come puoi avere un firewall di livello 7 senza un firewall di livello 3, ma suppongo che abbiano un WAF e ti espongano solo le regole WAF a meno che tu non li paghi di più.
Mark Henderson
3
Verificherei comunque che, anche se non si utilizza il firewall di livello 3/4, l'intero server non è nudo ed esposto su Internet. Dovrebbero comunque bloccare tutto tranne l'80
Mark Henderson
1
Esattamente. Questo è quello che non capisco, perché il piano di base è il livello 7. E il piano professionale è il livello 3,4 e 7. Immagino che ti darebbero il livello 3,4 come base, quindi aggiungere il livello 7 WAF come componente aggiuntivo. Ma è invertito!
David A. Wank,
2
Probabilmente lanciano Cloudflare davanti al tuo sito, che in pratica ti dà un WAF gratuitamente. ACL più complicati richiedono servizi aggiuntivi. Solo la mia ipotesi. Chiederei la spiegazione al loro team di vendita.
Mark Henderson

Risposte:

27

Sembra che tu stia ottenendo un po 'di gergo fuorviante. Le definizioni tecniche per questi tipi di firewall sono:

  • I firewall di livello 3 (ovvero i firewall di filtraggio dei pacchetti ) filtrano il traffico in base esclusivamente all'IP, alla porta e al protocollo di origine / destinazione.
  • I firewall di livello 4 eseguono quanto sopra, oltre a aggiungere la possibilità di tracciare le connessioni di rete attive e consentire / negare il traffico in base allo stato di tali sessioni (ovvero ispezione dei pacchetti con stato ).
  • I firewall di livello 7 (ovvero i gateway applicazione ) possono fare tutto quanto sopra, oltre a includere la capacità di ispezionare in modo intelligente il contenuto di tali pacchetti di rete. Ad esempio, un firewall Layer 7 potrebbe rifiutare tutte le richieste POST HTTP dagli indirizzi IP cinesi. Questo livello di granularità comporta tuttavia un costo in termini di prestazioni.

Dal momento che le definizioni appropriate non si allineano al loro schema tariffario, penso che stiano usando il Livello 7 come riferimento (tecnicamente errato) a un firewall software in esecuzione sul VPS. Pensa sulla falsariga di iptables o Windows Firewall . Se aumenti i costi aggiuntivi, metteranno il tuo VPS dietro un firewall di rete adeguato. Può essere.

Se non possono essere disturbati a utilizzare una terminologia adeguata quando descrivono la loro soluzione VPS a potenziali clienti, metterei in dubbio la loro competenza anche in altre aree.

squish immortale
fonte
4
Stateful Packet Inspection non è solo TCP, comprende tutto il monitoraggio delle comunicazioni di livello 4. Se vedo un pacchetto UDP in uscita su 53 a X mi aspetto di ottenere un pacchetto UDP in entrata da X su 53 nel prossimo futuro e lo consentirò. Al contrario, il traffico UDP in entrata senza pari su 53 verrà eliminato.
Dev
5
Oltre a una terminologia impropria, non possono essere disturbati a presentare i servizi offerti in modo che gli utenti possano effettivamente capire cosa stanno acquistando. Inoltre non è un buon segno.
jpmc26,
1
@Dev, hai ragione sull'ispezione dei pacchetti stateful non solo sull'essere limitato a TCP. Ho aggiornato la risposta in modo appropriato.
squish immortale,
1
Sì! Ho parlato con la società e apparentemente c'era un gergo di "marketing" che si è messo in mezzo: tutti i loro firewall sono 3,4,7. Grazie!
David A. Wank,
1
Metto in discussione la caratterizzazione nell'ultimo paragrafo. Anche i dipartimenti tecnici più competenti possono avere difficoltà a convincere il marketing a utilizzare una terminologia precisa.
Barmar,
3

Il primo è un firewall a livello di applicazione. Probabilmente funziona come un proxy HTTP (s) in cui vengono inviate le richieste al proxy, che filtra tutte le richieste e che le invia al server. Se la società che acquisterai utilizza un proxy http, l'IP del tuo server sarà totalmente nascosto dal Web, il che è davvero buono. Se hai solo bisogno di proteggere i tuoi siti Web, questa è la soluzione più semplice che puoi avere e "funziona". Questo è il metodo utilizzato da CloudFlare, ad esempio.

Il secondo è un firewall a livello di rete. È un firewall più avanzato, che filtra tutto il traffico prima di raggiungere il tuo server. Questo è di gran lunga il più efficace ed efficiente, poiché puoi proteggere qualsiasi tipo di applicazione, ma avresti bisogno di una configurazione davvero grande con annunci BGP, blocchi IP filtrati, tunnel e così via. Questo è comunemente usato con servizi che ricevono grandi attacchi DDoS e ospitano applicazioni critiche, e-commerce e giochi.

Continuando a sparare: se hai solo bisogno di proteggere i tuoi siti web usa la soluzione Layer 7. Se hai bisogno di un firewall avanzato che filtra qualsiasi tipo di applicazione, protezione dagli attacchi DDoS e così via, usa la soluzione Layer 3-4.

Qui puoi leggere di più su CloudFlare, che penso sia la soluzione giusta per te: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.