web-dev-qa-db-ja.com

レイヤー3、4ファイアウォールでレイヤー7ができないことは何ですか?

私のVPSでホストされているサイトのセキュリティベンダーと一緒に行くことを考えています。何かを理解するのに苦労しています。 (はい、これはOSI用語であることを知っています。問題のサイトは、eコマースや個人情報(SSNなど)がない基本的な歯科および医療行為のWebサイトです。

彼らの基本的な計画にはレイヤー7ファイアウォールがあります(そして、それはHTTP、HTTPSなどです)が、彼らの高度な計画にはレイヤー3、4のカバレッジもあります(そして、それはIPとTCP/UDPです)。

1)理解できないのは全体像です-レイヤー7のみのファイアウォールはレイヤー3/4の問題を無視しますか?パケット検査はスキップされますか?

2)その場合、すでにレイヤー7を配置している場合、レイヤー3/4ファイアウォールはどの程度必要ですか?

これを理解するために私が読むことができる本やリソースがあれば、それも素晴らしいでしょう。購入する前に何をしているのか知りたい!

17
David A. Wank

少し誤解を招く専門用語が表示されているようです。これらのタイプのファイアウォールの技術的な定義は次のとおりです。

  • レイヤー3ファイアウォール(つまり パケットフィルタリングファイアウォール )送信元/宛先IP、ポート、プロトコルのみに基づいてトラフィックをフィルタリングします。
  • レイヤー4ファイアウォールは上記を実行し、さらにアクティブなネットワーク接続を追跡する機能を追加し、それらのセッションの状態に基づいてトラフィックを許可/拒否します(つまり- ステートフルパケットインスペクション )。
  • レイヤー7ファイアウォール(つまり アプリケーションゲートウェイ )は、上記のすべてを実行でき、さらに、コンテンツをインテリジェントに検査する機能を備えていますそれらのネットワークパケット。たとえば、レイヤー7ファイアウォールは、中国のIPアドレスからのすべてのHTTP POSTリクエストを拒否する可能性があります。ただし、このレベルの細分性はパフォーマンスコストを伴います。

適切な定義が価格体系と一致していないため、VPSで実行されているソフトウェアファイアウォールへの(技術的に正しくない)参照としてレイヤー7を使用していると思います。 iptables または Windows Firewall のように考えてください。追加料金をポニーにすると、VPSが適切なネットワークファイアウォールの背後に置かれます。多分。

VPSソリューションを潜在的な顧客に説明するときに適切な用語を使用するのが面倒な場合は、他の分野の能力にも疑問を投げかけます。

27
immortal squish

1つ目は、アプリケーションレイヤーファイアウォールです。おそらく、HTTP(s)プロキシとして機能し、すべてのリクエストをフィルタリングしてサーバーに送信します。購入する会社がhttpプロキシを使用している場合、サーバーIPはWebから完全に隠されます。あなたがあなたのウェブサイトを保護する必要があるだけなら、これはあなたが持つことができる最も単純な解決策であり、「うまくいく」だけです。これは、例えばCloudFlareが使用するメソッドです。

2つ目はネットワーク層ファイアウォールです。これはより高度なファイアウォールであり、サーバーに到達する前にすべてのトラフィックをフィルタリングします。これは、あらゆる種類のアプリケーションを保護できるため、はるかに効果的で効率的ですが、BGPアナウンス、フィルタリングされたIPブロック、トンネルなどの非常に大きなセットアップが必要になります。これは通常、大きなDDoS攻撃を受けたり、重要なアプリケーション、eコマース、ゲームをホストしたりするサービスで使用されます。

成功を収める:Webサイトを保護する必要があるだけの場合は、レイヤー7ソリューションを使用します。あらゆる種類のアプリケーションをフィルタリングする高度なファイアウォール、DDoS攻撃に対する保護などが必要な場合は、レイヤー3-4ソリューションを使用してください。

ここでCloudFlareの詳細を読むことができます。これはあなたにとって正しい解決策だと思います: https://www.quora.com/How-does-CloudFlare-work

3
Aldemaro Campos