एक परत 3,4 फ़ायरवॉल क्या करता है कि एक परत 7 नहीं करता है?


17

मैं अपने VPS पर होस्ट की गई साइटों के लिए एक सुरक्षा विक्रेता के साथ जाने के बारे में सोच रहा हूं, और मुझे कुछ समझने में मुश्किल हो रही है। (हां मुझे पता है कि यह OSI शब्दावली है, और विचाराधीन साइटें बेसिक डेंटल और मेडिकल प्रैक्टिस वेबसाइट्स हैं, जिनमें कोई ईकामर्स नहीं है और कोई निजी जानकारी नहीं है (एसएसएन, आदि)।

उनकी मूल योजना में एक लेयर 7 फ़ायरवॉल है (और मुझे लगता है कि यह HTTP, HTTPs, आदि है), लेकिन उनकी उन्नत योजना में 3,4 कवरेज है (और मुझे लगता है कि वह आईपी और टीसीपी / यूडीपी है)।

1) जो मुझे समझ में नहीं आता वह बड़ी तस्वीर है - क्या लेयर 7-केवल फ़ायरवॉल लेयर 3/4 के साथ समस्याओं को अनदेखा करता है? पैकेट निरीक्षण छोड़ दिया है?

2) और यदि ऐसा है, तो 3/4 फ़ायरवॉल एक परत कितनी आवश्यक है यदि आपके पास पहले से ही 7 परत है?

अगर कोई पुस्तक या संसाधन है तो मैं इसे समझने के लिए पढ़ सकता हूं जो बहुत अच्छा होगा। मैं समझना चाहता हूं कि मैं खरीदारी करने से पहले क्या कर रहा हूं!


7
मुझे नहीं पता कि आप परत 3 फ़ायरवॉल के बिना एक लेयर 7 फ़ायरवॉल कैसे रख सकते हैं, लेकिन मेरा अनुमान है कि उनके पास एक WAF है और केवल WAF नियमों को आप तक उजागर करते हैं जब तक कि आप उन्हें अधिक भुगतान नहीं करते हैं।
मार्क हेंडरसन

3
मैं जाँच करूँगा कि भले ही आप लेयर 3/4 फ़ायरवॉल न लें, लेकिन आपका पूरा सर्वर नग्न और इंटरनेट पर उजागर नहीं है। वे अभी भी छोड़कर 80/443 सब कुछ फ़ायरवॉल चाहिए
मार्क हेंडरसन

1
बिल्कुल सही। यही कारण है कि मुझे नहीं मिलता है - क्योंकि मूल योजना परत 7 है। और प्रो योजना 3,4 परत है। 7. मैं समझ सकता हूं कि वे आपको आधार रेखा के रूप में 3,4 स्तर दे देंगे, और फिर जोड़ देंगे ऐड-ऑन के रूप में स्तर 7 WAF। लेकिन हुआ उलटा!
डेविड ए। वैंक

2
वे संभवतः आपकी साइट के क्लाउडफ़ेयर को फेंक देते हैं, जो मूल रूप से आपको मुफ्त में एक WAF देता है। अधिक जटिल ACL को अतिरिक्त सेवाओं की आवश्यकता होती है। बस मेरा अनुमान है। मैं स्पष्टीकरण के लिए उनकी बिक्री टीम से पूछूंगा।
मार्क हेंडरसन

जवाबों:


27

ऐसा लगता है कि आप थोड़ा भ्रामक शब्दजाल कर रहे हैं। इन प्रकार के फायरवॉल की तकनीकी परिभाषाएँ हैं:

  • लेयर 3 फायरवॉल (यानी पैकेट फ़िल्टरिंग फायरवॉल ) फिल्टर ट्रैफ़िक केवल स्रोत / गंतव्य आईपी, पोर्ट और प्रोटोकॉल पर आधारित है।
  • लेयर 4 फायरवॉल ऊपर करते हैं, साथ ही सक्रिय नेटवर्क कनेक्शन को ट्रैक करने की क्षमता जोड़ते हैं, और उन सत्रों की स्थिति (यानी स्टेटफुल पैकेट निरीक्षण ) के आधार पर यातायात को अनुमति / अस्वीकार करते हैं ।
  • लेयर 7 फायरवॉल (यानी एप्लिकेशन गेटवे ) उपरोक्त सभी कर सकते हैं, साथ ही उन नेटवर्क पैकेट की सामग्रियों का समझदारी से निरीक्षण करने की क्षमता शामिल है। उदाहरण के लिए, एक Layer 7 फ़ायरवॉल चीनी IP पतों से सभी HTTP POST अनुरोधों को अस्वीकार कर सकता है। इस स्तर की ग्रैन्युलैरिटी एक प्रदर्शन लागत पर आती है, हालांकि।

चूंकि उचित परिभाषाएँ उनके मूल्य निर्धारण योजना के अनुरूप नहीं हैं, इसलिए मुझे लगता है कि वे Layer 7 का उपयोग आपके VPS पर चल रहे सॉफ़्टवेयर फ़ायरवॉल के लिए एक (तकनीकी रूप से गलत) संदर्भ के रूप में कर रहे हैं। Iptables या Windows फ़ायरवॉल की तर्ज पर सोचें । क्या आपको अतिरिक्त शुल्क का भुगतान करना चाहिए, वे आपके VPS को एक उचित नेटवर्क फ़ायरवॉल के पीछे रख देंगे। शायद।

यदि वे संभावित ग्राहकों के लिए अपने VPS समाधान का वर्णन करते समय उचित शब्दावली का उपयोग करने के लिए परेशान नहीं हो सकते हैं, तो मैं अन्य क्षेत्रों में भी उनकी क्षमता पर सवाल उठाऊंगा।


4
स्टेटफुल पैकेट इंस्पेक्शन सिर्फ टीसीपी नहीं है, इसमें सभी लेयर 4 संचार ट्रैकिंग शामिल हैं। अगर मुझे 53 से XDP पर एक आउटबाउंड UDP पैकेट दिखाई देता है, तो उम्मीद है कि निकट भविष्य में 53 पर X से एक इनबाउंड UDP पैकेट मिलेगा और वह इसकी अनुमति देगा। 53 पर उलटा यूएनडीपी ट्रैफ़िक को उलट दिया जाएगा।
देव

5
अनुचित शब्दावली के शीर्ष पर, वे उन सेवाओं को पेश करने के लिए भी परेशान नहीं हो सकते हैं जो वे इस तरह पेश कर रहे हैं कि उपयोगकर्ता वास्तव में यह पता लगा सकते हैं कि वे क्या खरीद रहे हैं। इसके अलावा एक अच्छा संकेत नहीं है।
jpmc26

1
@ क्या, आप स्टेटिक पैकेट निरीक्षण के बारे में सही हैं जो केवल टीसीपी तक सीमित नहीं हैं। मैंने उचित उत्तर दिया है।
अमर स्क्विश

1
हाँ! मैंने कंपनी के साथ बात की और जाहिरा तौर पर कुछ "मार्केटिंग" शब्दजाल था जो रास्ते में मिला - उनके सभी फायरवॉल 3,4,7 हैं। धन्यवाद!
डेविड ए। वैंक

1
मैं अंतिम पैराग्राफ में लक्षण वर्णन पर सवाल उठाता हूं। यहां तक ​​कि सबसे सक्षम तकनीकी विभागों को सटीक शब्दावली का उपयोग करने के लिए विपणन को समझाने में मुश्किल हो सकती है।
बरमार

3

पहला एक एप्लीकेशन लेयर फ़ायरवॉल है। यह संभवतः एक HTTP (एस) प्रॉक्सी के रूप में काम करता है जहां प्रॉक्सी के लिए अनुरोध किया जाता है, जो सभी अनुरोधों को फ़िल्टर करता है और उन्हें आपके सर्वर पर भेजता है। यदि आप जिस कंपनी का http प्रॉक्सी इस्तेमाल करने जा रहे हैं, आपका सर्वर आईपी पूरी तरह से वेब से छिपा होगा, तो व्हाट्सऐप वास्तव में अच्छा होगा। यदि आपको अपनी वेबसाइटों को सुरक्षित रखने की आवश्यकता है तो यह सबसे सरल उपाय है जो आपके पास हो सकता है और "बस काम करता है"। यह वह विधि है जिसका उपयोग CloudFlare उदाहरण के लिए करता है।

दूसरा एक नेटवर्क लेयर फ़ायरवॉल है। यह अधिक उन्नत फ़ायरवॉल है, जो आपके सर्वर तक पहुँचने से पहले सभी ट्रैफ़िक को फ़िल्टर करता है। यह अब तक सबसे प्रभावी एक कुशल है, जैसा कि आप किसी भी प्रकार की अपक्षय की रक्षा कर सकते हैं, लेकिन आपको बीजीपी की घोषणा, फ़िल्टर किए गए आईपी ब्लॉक, सुरंगों और इतने पर के साथ एक बहुत बड़ी सेटअप की आवश्यकता होगी। यह आमतौर पर उन सेवाओं के साथ उपयोग किया जाता है जो बड़े DDoS हमले प्राप्त करते हैं और महत्वपूर्ण बीमारियों, ईकॉमर्स और गेम की मेजबानी करते हैं।

इसे चालू रखना: यदि आपको अपनी वेबसाइटों को सुरक्षित करने की आवश्यकता है तो Layer 7 समाधान का उपयोग करें। यदि आपको एक उन्नत फ़ायरवॉल की आवश्यकता है जो किसी भी प्रकार के अनुप्रयोग को फ़िल्टर करे, DDoS हमलों से सुरक्षा और इतने पर, लेयर 3-4 समाधान का उपयोग करें।

यहां आप CloudFlare के बारे में अधिक पढ़ सकते हैं, मुझे लगता है कि यह आपके लिए सही समाधान है: https://www.quora.com/How-does-CloudFlare-work

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.