Was macht eine Layer 3,4 Firewall, was eine Layer 7 nicht?

17

Ich denke darüber nach, einen Sicherheitsanbieter für gehostete Websites auf meinem VPS zu beauftragen, und es fällt mir schwer, etwas zu verstehen. (Ja, ich weiß, dass dies eine OSI-Terminologie ist, und die fraglichen Websites sind Websites für Zahnarztpraxen ohne E-Commerce und ohne private Informationen (SSN usw.).

Ihr Basisplan hat eine Layer 7-Firewall (und ich verstehe, dass dies HTTP, HTTPs usw. sind), aber ihr erweiterter Plan hat auch eine Layer 3,4-Abdeckung (und ich verstehe, dass dies IP und TCP / UDP ist).

1) Was ich nicht verstehe, ist das große Ganze - ignoriert eine reine Layer 7-Firewall Probleme mit Layer 3/4? Wird die Paketprüfung übersprungen?

2) Und wenn ja, wie notwendig ist eine Layer 3/4 Firewall, wenn Sie bereits einen Layer 7 installiert haben?

Wenn es ein Buch oder eine Ressource gibt, die ich lesen kann, um dies zu verstehen, wäre das auch großartig. Ich möchte verstehen, was ich tue, bevor ich etwas kaufe!

David A. Wank
quelle
7
Ich weiß nicht, wie Sie eine Firewall der Schicht 7 ohne eine Firewall der Schicht 3 haben können, aber ich vermute, dass sie eine WAF haben und Ihnen nur die WAF-Regeln offenlegen, es sei denn, Sie zahlen mehr.
Mark Henderson
3
Ich würde jedoch überprüfen, ob Ihr gesamter Server nicht nackt und im Internet verfügbar ist, selbst wenn Sie nicht die Layer 3/4 Firewall verwenden. Sie sollten immer noch alles außer 80/443 Firewall
Mark Henderson
1
Genau. Das ist, was ich nicht verstehe, denn der Grundplan ist Schicht 7. Und der Pro-Plan ist Schicht 3,4 und 7. Ich würde mir vorstellen, dass sie Ihnen die Ebene 3,4 als Grundlinie geben und dann hinzufügen das Level 7 WAF als Add-On. Aber es ist umgekehrt!
David A. Wank
2
Wahrscheinlich werfen sie Cloudflare vor Ihre Site, wodurch Sie im Grunde eine kostenlose WAF erhalten. Komplexere ACLs erfordern zusätzliche Dienste. Nur meine Vermutung. Ich würde das Verkaufsteam um eine Erklärung bitten.
Mark Henderson

Antworten:

27

Es hört sich so an, als würden Sie ein bisschen irreführenden Jargon verstehen. Die technischen Definitionen für diese Arten von Firewalls lauten:

  • Layer 3-Firewalls (dh Paketfilter-Firewalls ) filtern den Datenverkehr ausschließlich nach Quell- / Ziel-IP, Port und Protokoll.
  • Layer 4-Firewalls bieten die oben genannten Funktionen sowie die Möglichkeit, aktive Netzwerkverbindungen zu verfolgen und Datenverkehr basierend auf dem Status dieser Sitzungen zuzulassen / abzulehnen (dh Stateful Packet Inspection ).
  • Layer 7-Firewalls (dh Anwendungs-Gateways ) können all diese Aufgaben ausführen und bieten außerdem die Möglichkeit, den Inhalt dieser Netzwerkpakete auf intelligente Weise zu überprüfen. Beispielsweise könnte eine Layer 7-Firewall alle HTTP-POST-Anforderungen von chinesischen IP-Adressen ablehnen. Diese Granularität ist jedoch mit Performance-Kosten verbunden.

Da die richtigen Definitionen nicht mit dem Preisschema übereinstimmen, wird Layer 7 meiner Meinung nach als (technisch inkorrekter) Verweis auf eine Software-Firewall verwendet, die auf Ihrem VPS ausgeführt wird. Denken Sie an iptables oder die Windows-Firewall . Wenn Sie die zusätzlichen Gebühren in Rechnung stellen, wird Ihr VPS hinter eine ordnungsgemäße Netzwerk-Firewall gestellt. Könnte sein.

Wenn sie nicht die Mühe haben, bei der Beschreibung ihrer VPS-Lösung für potenzielle Kunden die richtige Terminologie zu verwenden, würde ich ihre Kompetenz auch in anderen Bereichen in Frage stellen.

unsterbliches Quetschen
quelle
4
Stateful Packet Inspection ist nicht nur TCP, sondern umfasst auch das gesamte Layer-4-Kommunikations-Tracking. Wenn ich ein ausgehendes UDP-Paket von 53 nach X sehe, erwarte ich, dass ich in naher Zukunft ein eingehendes UDP-Paket von X nach 53 bekomme und es zulasse. Umgekehrt wird nicht angepasster eingehender UDP-Verkehr auf 53 gelöscht.
Dev
5
Abgesehen von einer unkorrekten Terminologie können sie sich auch nicht die Mühe machen, die von ihnen angebotenen Dienste so darzustellen, dass die Benutzer tatsächlich herausfinden können, was sie kaufen. Auch kein gutes Zeichen.
jpmc26
1
@ Dev, Sie haben Recht, wenn es um die Prüfung zustandsbehafteter Pakete geht, die nicht nur auf TCP beschränkt sind. Ich habe die Antwort entsprechend aktualisiert.
Unsterbliche Squish
1
Ja! Ich sprach mit der Firma und anscheinend gab es einige "Marketing" -Jargons, die im Weg standen - alle ihre Firewalls sind 3,4,7. Vielen Dank!
David A. Wank
1
Ich stelle die Charakterisierung im letzten Absatz in Frage. Selbst die kompetentesten technischen Abteilungen können es schwierig finden, das Marketing von der Verwendung präziser Terminologie zu überzeugen.
Barmar
3

Die erste ist eine Firewall auf Anwendungsebene. Es funktioniert wahrscheinlich als HTTP-Proxy, bei dem die Anforderungen an den Proxy gesendet werden, der alle Anforderungen filtert und sie dann an Ihren Server sendet. Wenn das Unternehmen, das Sie kaufen möchten, einen HTTP-Proxy verwendet, wird Ihre Server-IP-Adresse vollständig aus dem Internet verborgen, was wirklich gut ist. Wenn Sie nur Ihre Websites schützen müssen, ist dies die einfachste Lösung, die Sie haben können und "funktioniert einfach". Dies ist beispielsweise die Methode, die CloudFlare verwendet.

Die zweite ist eine Firewall auf Netzwerkebene. Es handelt sich um eine erweiterte Firewall, die den gesamten Datenverkehr filtert, bevor er Ihren Server erreicht. Diese ist bei weitem die effektivste und effizienteste, da Sie jede Art von Anwendung schützen können, aber Sie benötigen ein wirklich umfangreiches Setup mit BGP-Ansagen, gefilterten IP-Blöcken, Tunneln und so weiter. Dies wird häufig bei Diensten verwendet, die große DDoS-Angriffe erhalten und kritische Anwendungen, E-Commerce und Spiele hosten.

Keep it shot: Wenn Sie nur Ihre Websites sichern müssen, verwenden Sie die Layer 7-Lösung. Wenn Sie eine erweiterte Firewall benötigen, die jede Art von Anwendung filtert, vor DDoS-Angriffen schützt usw., verwenden Sie die Layer 3-4-Lösung.

Hier können Sie mehr über CloudFlare lesen, das ist meiner Meinung nach die richtige Lösung für Sie: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
quelle