O que um firewall de camada 3,4 faz que a camada 7 não faz?

17

Estou pensando em ir com um fornecedor de segurança para sites hospedados no meu VPS e estou tendo dificuldades para entender alguma coisa. (Sim, eu sei que essa é a terminologia da OSI, e os sites em questão são sites básicos de prática médica e odontológica, sem comércio eletrônico e informações privadas (SSN, etc).

O plano básico deles tem um firewall de camada 7 (e eu entendo que isso é HTTP, HTTPs etc.), mas o plano avançado também tem cobertura da camada 3,4 (e eu entendo que isso é IP e TCP / UDP).

1) O que não entendo é o quadro geral - um firewall apenas da camada 7 ignora problemas com a camada 3/4? A inspeção de pacotes é ignorada?

2) E se sim, qual a necessidade de um firewall de camada 3/4, se você já possui uma camada 7?

Se houver um livro ou recurso que eu possa ler para entender isso, isso também seria ótimo. Quero entender o que estou fazendo antes de fazer uma compra!

firewall website David A. Wank
fonte
7
Não sei como você pode ter um firewall de camada 7 sem ter um firewall de camada 3, mas meu palpite é que eles têm um WAF e apenas expõem as regras do WAF a você, a menos que você pague mais.
Mark Henderson
3
Eu verificaria que, mesmo se você não usar o firewall de camada 3/4, seu servidor inteiro não estará nu e exposto na Internet. Eles ainda devem fazer firewall de tudo, exceto 80/443 #
Mark Henderson
11
Exatamente. É isso que eu não entendo - porque o plano básico é a camada 7. E o plano profissional é a camada 3,4 e 7. Eu imaginaria que eles dariam a você o nível 3,4 como linha de base e depois adicionariam o WAF nível 7 como complemento. Mas está invertido!
David A. Wank
2
Eles provavelmente lançam o Cloudflare na frente do seu site, o que basicamente fornece um WAF gratuitamente. ACLs mais complicadas requerem serviços adicionais. Apenas o meu palpite. Eu pediria a explicação da equipe de vendas deles.
Mark Henderson

Respostas:

27

Parece que você está recebendo um pouco de jargão enganador. As definições técnicas para esses tipos de firewalls são:

  • Os firewalls da camada 3 (ou seja, firewalls de filtragem de pacotes ) filtram o tráfego com base apenas no IP, porta e protocolo de origem / destino.
  • Os firewalls da camada 4 fazem o acima, além de adicionar a capacidade de rastrear conexões de rede ativas e permitir / negar tráfego com base no estado dessas sessões (por exemplo, inspeção de pacote com estado ).
  • Os firewalls da camada 7 (por exemplo , gateways de aplicativos ) podem executar todas as ações acima, além de incluir a capacidade de inspecionar inteligentemente o conteúdo desses pacotes de rede. Por exemplo, um firewall da camada 7 pode negar todas as solicitações HTTP POST dos endereços IP chineses. Esse nível de granularidade tem um custo de desempenho.

Como as definições adequadas não estão alinhadas com o esquema de preços, acho que eles estão usando a Camada 7 como uma referência (tecnicamente incorreta) a um firewall de software em execução no seu VPS. Pense nas linhas do iptables ou do Firewall do Windows . Se você pagar as taxas extras, eles colocarão seu VPS atrás de um firewall de rede adequado. Talvez.

Se eles não puderem se incomodar em usar a terminologia adequada ao descrever sua solução VPS para clientes em potencial, eu questionaria sua competência em outras áreas também.

squish imortal
fonte
4
A Inspeção de Pacotes com Estado não é apenas o TCP, abrange todo o rastreamento de comunicação da camada 4. Se eu vir um pacote UDP de saída de 53 a X, espero obter um pacote UDP de entrada de X em 53 em um futuro próximo e o permitirá. Inversamente, o tráfego UDP de entrada sem correspondência em 53 será eliminado.
Dev
5
Além da terminologia imprópria, eles também não podem se incomodar em apresentar os serviços que estão oferecendo, de maneira que os usuários possam realmente descobrir o que estão comprando. Também não é um bom sinal.
Jpmc26 29/07
11
@ Dev, Você está correto sobre a inspeção de pacotes com estado, não se limitando apenas ao TCP. Atualizei a resposta adequadamente.
squish imortal 29/07
11
Sim! Conversei com a empresa e, aparentemente, houve algum jargão de "marketing" que atrapalhou - todos os firewalls são 3,4,7. Obrigado!
David A. Wank
11
Eu questiono a caracterização no último parágrafo. Mesmo os departamentos técnicos mais competentes podem achar difícil convencer o marketing a usar terminologia precisa.
Barmar
3

O primeiro é um firewall da camada de aplicação. Provavelmente funciona como um proxy HTTP (s) em que as solicitações são feitas ao proxy, que filtra toda a solicitação e depois as envia ao seu servidor. Se a empresa que você vai comprar usar um proxy http, o IP do servidor ficará totalmente oculto na Web, o que é realmente bom. Se você só precisa proteger seus sites, esta é a solução mais simples que você pode ter e "simplesmente funciona". Este é o método que o CloudFlare usa, por exemplo.

O segundo é um firewall da camada de rede. É um firewall mais avançado, que filtra todo o tráfego antes de chegar ao seu servidor. Este é de longe o mais eficaz e eficiente, pois você pode proteger qualquer tipo de aplicação, mas você precisaria de uma configuração muito grande com anúncios do BGP, blocos de IPs filtrados, túneis e assim por diante. Isso é comumente usado com serviços que recebem grandes ataques DDoS e hospedam aplicativos críticos, comércio eletrônico e jogos.

Mantendo o foco: se você só precisa proteger seus sites, use a solução da Camada 7. Se você precisar de um firewall avançado que filtre qualquer tipo de aplicativo, proteção contra ataques DDoS e assim por diante, use a solução Camada 3-4.

Aqui você pode ler mais sobre o CloudFlare, que eu acho que é a solução certa para você: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
fonte