20 votes

Bren avatar

Que fait un pare-feu de couche 3,4 que la couche 7 ne fait pas?

Demandé el 28 de Juillet, 2016
Quand la question a-t-elle été
34694 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je pense à opter pour un fournisseur de sécurité pour les sites hébergés sur mon VPS, et j'ai du mal à comprendre quelque chose. (Oui je sais que c'est la terminologie OSI, et les sites en question sont des sites web de pratiques dentaires et médicales de base sans eCommerce et sans informations privées (SSN, etc).

Leur plan de base comprend un pare-feu de couche 7 (et je comprends que c'est HTTP, HTTPs, etc), mais leur plan avancé comprend également une couverture de la couche 3,4 (et je comprends que c'est IP et TCP/UDP).

1) Ce que je ne comprends pas c'est le tableau d'ensemble - est-ce qu'un pare-feu de couche 7 seulement ignore les problèmes avec la couche 3/4? L'inspection des paquets est-elle ignorée?

2) Et si c'est le cas, dans quelle mesure un pare-feu de couche 3/4 est-il nécessaire si vous avez déjà une couche 7 en place?

Si il y a un livre ou une ressource que je peux lire pour comprendre cela, ce serait aussi génial. Je veux comprendre ce que je fais avant de faire un achat!

Demandé el 28 de Juillet, 2016 par Bren

Réponses

Trop de publicités?

32voto

theShadow89 avatar
theShadow89 Points 215

Il semble que vous recevez un peu de jargon trompeur. Les définitions techniques de ces types de pare-feu sont :

  • Pare-feu de couche 3 (c'est-à-dire pare-feu de filtrage de paquets) filtrent le trafic uniquement en fonction de l'IP source/destination, du port et du protocole.
  • Pare-feu de couche 4 font ce qui précède, en plus d'ajouter la capacité de suivre les connexions réseau actives, et autoriser/refuser le trafic en fonction de l'état de ces sessions (c'est-à-dire inspection de paquets étatique).
  • Pare-feu de couche 7 (c'est-à-dire passerelles d'application) peuvent faire tout ce qui précède, ainsi que inclure la capacité d'inspecter intelligemment le contenu de ces paquets réseau. Par exemple, un pare-feu de couche 7 pourrait refuser toutes les requêtes HTTP POST provenant d'adresses IP chinoises. Ce niveau de granularité a un coût en termes de performance, cependant.

Étant donné que les définitions appropriées ne correspondent pas à leur modèle de tarification, je pense qu'ils utilisent la couche 7 comme une référence (techniquement incorrecte) à un pare-feu logiciel s'exécutant sur votre VPS. Pensez à des choses comme iptables ou Windows Firewall. Si vous payez des frais supplémentaires, ils placeront votre VPS derrière un pare-feu réseau approprié. Peut-être.

S'ils ne prennent pas la peine d'utiliser le bon vocabulaire pour décrire leur solution VPS aux clients potentiels, je remettrais en question leur compétence dans d'autres domaines également.

Répondu el 28 de Juillet, 2016 par theShadow89 (215 Points )

3voto

Aldemaro Campos avatar
Aldemaro Campos Points 44

Le premier est un pare-feu de couche d'application. Il fonctionne probablement comme un proxy HTTP(s) où les requêtes sont faites au proxy, qui filtre toutes les requêtes puis les envoie à votre serveur. Si l'entreprise que vous allez acheter utilise un proxy HTTP, votre adresse IP de serveur sera totalement cachée du web, ce qui est vraiment bien. Si vous avez juste besoin de protéger vos sites web, c'est la solution la plus simple que vous puissiez avoir et cela fonctionne simplement. C'est la méthode utilisée par CloudFlare, par exemple.

Le deuxième est un pare-feu de couche réseau. C'est un pare-feu plus avancé, qui filtre tout le trafic avant d'atteindre votre serveur. Celui-ci est de loin le plus efficace et efficace, car vous pouvez protéger tout type d'application, mais vous auriez besoin d'une configuration vraiment importante avec des annonces BGP, des blocs d'adresses IP filtrées, des tunnels, etc. C'est couramment utilisé avec des services qui subissent de grosses attaques DDoS et hébergent des applications critiques, du commerce électronique et des jeux.

En résumé : Si vous avez juste besoin de sécuriser vos sites web, utilisez la solution de couche 7. Si vous avez besoin d'un pare-feu avancé qui filtre tout type d'application, une protection contre les attaques DDoS, etc., utilisez la solution de couche 3-4.

Ici vous pouvez en savoir plus sur CloudFlare, que je pense être la bonne solution pour vous : https://www.quora.com/How-does-CloudFlare-work

Répondu el 28 de Juillet, 2016 par Aldemaro Campos (44 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X