Apa yang dilakukan oleh Firewall Layer 3,4 yang tidak dilakukan Layer 7?

17

Saya sedang berpikir untuk pergi dengan vendor keamanan untuk situs yang dihosting di VPS saya, dan saya kesulitan memahami sesuatu. (Ya saya tahu ini adalah terminologi OSI, dan situs-situs yang dimaksud adalah situs web praktik kedokteran gigi dan kedokteran dasar tanpa eCommerce dan tidak ada info pribadi (SSN, dll).

Paket dasar mereka memiliki firewall Layer 7 (dan saya mengerti bahwa itu HTTP, HTTPs, dll), tetapi paket lanjutan mereka juga memiliki cakupan lapisan 3,4 (dan saya mengerti bahwa itu adalah IP dan TCP / UDP).

1) Apa yang saya tidak mengerti adalah gambaran besarnya - apakah firewall Layer 7-only mengabaikan masalah dengan Layer 3/4? Apakah inspeksi paket dilewati?

2) Dan jika demikian, seberapa perlukah layer 3/4 firewall jika Anda sudah memiliki layer 7?

Jika ada buku atau sumber yang bisa saya baca untuk memahami hal ini, itu juga bagus. Saya ingin memahami apa yang saya lakukan sebelum melakukan pembelian!

David A. Wank
sumber
7
Saya tidak tahu bagaimana Anda bisa memiliki firewall layer 7 tanpa memiliki firewall layer 3, tetapi dugaan saya adalah mereka memiliki WAF dan hanya mengekspos aturan WAF kepada Anda kecuali Anda membayar lebih.
Mark Henderson
3
Saya akan memeriksa bahwa meskipun Anda tidak mengambil firewall lapisan 3/4 bahwa seluruh server Anda tidak telanjang dan terbuka di internet. Mereka harus tetap firewall semuanya kecuali 80/443
Mark Henderson
1
Persis. Itulah yang saya tidak dapatkan - karena rencana dasarnya adalah lapisan 7. Dan rencana pro adalah lapisan 3,4 dan 7. Saya pikir mereka akan memberi Anda level 3,4 sebagai garis dasar, dan kemudian menambahkan WAF level 7 sebagai add-on. Tapi itu terbalik!
David A. Wank
2
Mereka mungkin melemparkan Cloudflare di depan situs Anda, yang pada dasarnya memberi Anda WAF gratis. ACL yang lebih rumit membutuhkan layanan tambahan. Dugaan saya saja. Saya akan meminta penjelasan tim penjualan mereka.
Mark Henderson

Jawaban:

27

Sepertinya Anda mendapatkan sedikit jargon yang menyesatkan. Definisi teknis untuk jenis firewall ini adalah:

  • Firewall layer 3 (yaitu firewall packet filtering ) menyaring lalu lintas hanya berdasarkan IP sumber / tujuan, port, dan protokol.
  • Firewall Layer 4 melakukan hal di atas, ditambah menambahkan kemampuan untuk melacak koneksi jaringan yang aktif, dan mengizinkan / menolak lalu lintas berdasarkan pada keadaan sesi tersebut (yaitu inspeksi paket stateful ).
  • Firewall layer 7 (yaitu gateway aplikasi ) dapat melakukan semua hal di atas, ditambah lagi dengan kemampuan untuk memeriksa konten paket jaringan secara cerdas. Misalnya, firewall Layer 7 dapat menolak semua permintaan HTTP POST dari alamat IP Cina. Tingkat granularitas ini datang dengan biaya kinerja.

Karena definisi yang tepat tidak sejalan dengan skema penetapan harganya, saya pikir mereka menggunakan Layer 7 sebagai (secara teknis salah) referensi ke firewall perangkat lunak yang berjalan di VPS Anda. Pikirkan sepanjang iptables atau Windows Firewall . Jika Anda menambah biaya tambahan, mereka akan menempatkan VPS Anda di belakang firewall jaringan yang tepat. Mungkin.

Jika mereka tidak dapat diganggu untuk menggunakan terminologi yang tepat ketika menggambarkan solusi VPS mereka kepada pelanggan potensial, saya akan mempertanyakan kompetensi mereka di bidang lain juga.

squish abadi
sumber
4
Stateful Packet Inspection tidak hanya TCP, itu mencakup semua pelacakan komunikasi lapisan 4. Jika saya melihat paket UDP keluar pada 53 ke XI berharap mendapatkan paket UDP masuk dari X pada 53 dalam waktu dekat dan akan memungkinkannya. Sebaliknya, lalu lintas UDP masuk tak tertandingi pada 53 akan turun
Dev
5
Selain terminologi yang tidak tepat, mereka juga tidak dapat repot-repot mempresentasikan layanan yang mereka tawarkan dengan cara yang benar-benar dapat dilakukan oleh pengguna untuk mengetahui apa yang mereka beli. Juga bukan pertanda baik.
jpmc26
1
@ Ev, Anda benar tentang pemeriksaan paket stateful tidak hanya terbatas pada TCP. Saya telah memperbarui jawaban dengan tepat.
squish abadi
1
Iya! Saya berbicara dengan perusahaan dan ternyata ada beberapa jargon "pemasaran" yang menghalangi - semua firewall mereka 3,4,7. Terima kasih!
David A. Wank
1
Saya mempertanyakan karakterisasi dalam paragraf terakhir. Bahkan departemen teknis yang paling kompeten pun dapat kesulitan meyakinkan pemasaran untuk menggunakan terminologi yang tepat.
Barmar 2-16
3

Yang pertama adalah lapisan aplikasi firewall. Ini mungkin berfungsi sebagai HTTP (s) proxy di mana permintaan dibuat ke proxy, yang memfilter semua permintaan dan mengirimnya ke server Anda. Jika perusahaan yang akan Anda beli menggunakan proxy http, IP server Anda akan sepenuhnya disembunyikan dari web, apa yang benar-benar bagus. Jika Anda hanya perlu melindungi situs web Anda, ini adalah solusi paling sederhana yang dapat Anda miliki dan "hanya berfungsi". Ini adalah metode yang digunakan CloudFlare, misalnya.

Yang kedua adalah firewall lapisan jaringan. Ini firewall yang lebih canggih, yang menyaring semua lalu lintas sebelum mencapai server Anda. Sejauh ini yang paling efektif dan efisien, karena Anda dapat melindungi segala jenis aplikasi, tetapi Anda akan membutuhkan pengaturan yang sangat besar dengan pengumuman BGP, filter blok IPs, terowongan dan sebagainya. Ini biasanya digunakan dengan layanan yang menerima serangan DDoS besar dan menampung aplikasi, e-niaga, dan permainan kritis.

Tetap melakukannya: Jika Anda hanya perlu mengamankan situs web Anda gunakan solusi Layer 7. Jika Anda membutuhkan firewall canggih yang menyaring segala jenis aplikasi, perlindungan terhadap serangan DDoS dan sebagainya, gunakan solusi Layer 3-4.

Di sini Anda dapat membaca lebih lanjut tentang CloudFlare, yang saya pikir itu solusi yang tepat untuk Anda: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
sumber