Katman 3,4 Güvenlik Duvarı, Katman 7'nin Yapmadığı Ne Yapar?

17

VPS'imde barındırılan siteler için bir güvenlik satıcısıyla çalışmayı düşünüyorum ve bir şeyleri anlamakta zorlanıyorum. (Evet, bunun OSI terminolojisi olduğunu biliyorum ve söz konusu siteler e-ticaret ve özel bilgi (SSN, vb.) İçermeyen temel diş ve tıbbi uygulama web siteleri.

Temel planlarında Katman 7 güvenlik duvarı vardır (ve HTTP, HTTP'ler, vb.)

1) Anlamadığım şey büyük resim - yalnızca Katman 7 güvenlik duvarı Katman 3/4 ile ilgili sorunları yok sayar mı? Paket denetimi atlandı mı?

2) Eğer öyleyse, zaten bir katman 7 varsa, 3/4 güvenlik duvarı ne kadar gereklidir?

Bir kitap veya kaynak varsa, bunu anlamak için okuyabilirim ki bu da harika olur. Satın almadan önce ne yaptığımı anlamak istiyorum!

firewall  website 
David A. Wank
kaynak
7
Katman 3 güvenlik duvarına sahip olmadan bir katman 7 güvenlik duvarına sahip olabileceğinizi bilmiyorum, ancak tahminim , bir WAF'ye sahip oldukları ve daha fazla ödeme yapmadıkça yalnızca WAF kurallarını size açıkladığı.
Mark Henderson
3
Ben 3/4 güvenlik duvarını tüm sunucunuzun çıplak ve internette maruz olmadığını katmanı almasanız bile kontrol ediyorum. Hala 80/443 hariç her şeyi güvenlik duvarı yapmalılar
Mark Henderson
1
Kesinlikle. Bunu elde edemiyorum - çünkü temel plan katman 7 ve pro planı katman 3,4 ve 7. Sana taban çizgisi olarak 3,4 seviyesini vereceklerini ve sonra eklenti olarak seviye 7 WAF. Ama tersine döndü!
David A.Wank
2
Muhtemelen Cloudflare'ı sitenizin önüne atıyorlar, bu da size temel olarak ücretsiz bir WAF veriyor. Daha karmaşık EKL'ler ek hizmetler gerektirir. Sadece tahminim. Satış ekibinden açıklama isterdim.
Mark Henderson

Yanıtlar:

27

Biraz yanıltıcı jargon alıyorsunuz gibi görünüyor. Bu tür güvenlik duvarları için teknik tanımlar:

  • Katman 3 güvenlik duvarları (yani paket filtreleme güvenlik duvarları ) trafiği yalnızca kaynak / hedef IP, bağlantı noktası ve protokole göre filtreler .
  • Katman 4 güvenlik duvarları yukarıdakileri yapar, ayrıca etkin ağ bağlantılarını izleme ve bu oturumların durumuna göre trafiğe izin verme / reddetme özelliğini ekler (örn. Durumlu paket denetimi ).
  • Katman 7 güvenlik duvarları (yani uygulama ağ geçitleri ) yukarıdakilerin tümünü yapabilir ve ayrıca bu ağ paketlerinin içeriğini akıllıca inceleme yeteneğini de içerir. Örneğin, Katman 7 güvenlik duvarı Çince IP adreslerinden gelen tüm HTTP POST isteklerini reddedebilir. Bununla birlikte, bu ayrıntı düzeyi performans maliyetiyle gelir.

Uygun tanımlar fiyatlandırma şemalarına uymadığından, Katman 7'yi VPS'nizde çalışan bir yazılım güvenlik duvarına (teknik olarak yanlış) referans olarak kullandıklarını düşünüyorum. İptables veya Windows Güvenlik Duvarı çizgilerini düşünün . Ekstra ücretleri midillendirirseniz, VPS'nizi uygun bir ağ güvenlik duvarının arkasına koyarlar. Olabilir.

Potansiyel müşterilere VPS çözümlerini açıklarken uygun terminolojiyi kullanmaktan rahatsız olmazlarsa, diğer alanlardaki yeteneklerini de sorgularım.

ölümsüz ezme
kaynak
4
Durumsal Paket Denetimi yalnızca TCP değil, tüm katman 4 iletişim izlemeyi de kapsar. 53'ten XI'ye giden bir UDP paketi görürsem, yakın gelecekte 53'ten X'ten gelen bir UDP paketi almayı bekler ve buna izin verir. Tersine, 53'te eşleşmeyen gelen UDP trafiği bırakılacaktır.
Dev
5
Uygunsuz terminolojinin yanı sıra, sundukları hizmetleri kullanıcıların satın aldıkları şeyi gerçekten anlayabilecekleri bir şekilde sunmaktan da rahatsız olmazlar. Ayrıca iyi bir işaret değil.
jpmc26
1
@Dev, Sadece TCP ile sınırlı değil durum bilgisi olan paket denetimi konusunda haklısınız. Cevabı uygun şekilde güncelledim.
ölümsüz ezme
1
Evet! Şirketle konuştum ve görünüşe göre yoluna çıkan bir "pazarlama" jargonu vardı - tüm güvenlik duvarları 3,4,7. Teşekkür ederim!
David A. Wank
1
Son paragraftaki karakterizasyonu sorgularım. En yetkin teknik departmanlar bile pazarlamayı kesin terminoloji kullanmaya ikna etmekte zorlanabilir.
Barmar
3

Birincisi bir uygulama katmanı güvenlik duvarıdır. Muhtemelen isteklerin proxy'ye yapıldığı, tüm isteği filtrelediği ve daha sonra sunucunuza gönderdiği bir HTTP (ler) proxy'si olarak çalışır. Satın alacağınız şirket bir http proxy kullanıyorsa, sunucu IP'niz tamamen web'den gizlenecek, gerçekten iyi. Sadece web sitelerini korumak gerekiyorsa bu sahip olabileceğiniz en basit çözüm ve "sadece çalışıyor". Örneğin, CloudFlare'nin kullandığı yöntem budur.

İkincisi bir ağ katmanı güvenlik duvarıdır. Sunucunuza ulaşmadan önce tüm trafiği filtreleyen daha gelişmiş bir güvenlik duvarıdır. Bu, her türlü uygulamayı koruyabileceğiniz için en etkili olanıdır, ancak BGP duyuruları, filtrelenmiş IP blokları, tüneller ve benzeri ile gerçekten büyük bir kuruluma ihtiyacınız olacaktır. Bu, büyük DDoS saldırıları alan ve kritik uygulamalar, e-ticaret ve oyunlar barındıran hizmetlerde yaygın olarak kullanılır.

Çekimde kalmasını sağlamak: Web sitelerinizi güvence altına almanız gerekiyorsa, Katman 7 çözümünü kullanın. Herhangi bir uygulamayı, DDoS saldırılarına karşı korumayı vb. Filtreleyen gelişmiş bir güvenlik duvarına ihtiyacınız varsa, Katman 3-4 çözümünü kullanın.

Burada CloudFlare hakkında daha fazla bilgi edinebilirsiniz, bence bu sizin için doğru çözümdür: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.