레이어 3,4 방화벽은 레이어 7이하지 않는 기능을 무엇입니까?


17

VPS의 호스팅 사이트에 대한 보안 공급 업체와 함께 일하려고 생각하고 있으며 이해하는 데 어려움을 겪고 있습니다. (예, 이것이 OSI 용어라는 것을 알고 있으며 문제의 사이트는 전자 상거래 및 개인 정보 (SSN 등)가없는 기본 치과 및 의료 실무 웹 사이트입니다.

기본 계획에는 레이어 7 방화벽이 있으며 HTTP, HTTP 등이 있지만 고급 계획에는 레이어 3,4 적용 범위가 있습니다 (IP 및 TCP / UDP 임).

1) 내가 이해하지 못하는 것은 큰 그림입니다. Layer 7 전용 방화벽은 Layer 3/4의 문제를 무시합니까? 패킷 검사가 생략 되었습니까?

2) 그렇다면 레이어 7이 이미 있다면 레이어 3/4 방화벽이 얼마나 필요한가?

책이나 자료가 있다면 이것을 이해하여 읽을 수도 있습니다. 구매하기 전에 내가하고있는 일을 이해하고 싶습니다!


7
레이어 3 방화벽없이 레이어 7 방화벽을 사용할 수있는 방법을 모르겠지만 WAF가 있고 더 많은 비용을 지불하지 않으면 WAF 규칙 만 공개한다는 것이 추측 입니다.
Mark Henderson

3
그래도 전체 서버가 노출되어 인터넷에 노출되어 있지 않은 3/4 방화벽을 사용하지 않더라도 확인합니다. 그들은 여전히 ​​80/443을 제외한 모든 것을 방화벽으로 막아야합니다
Mark Henderson

1
바로 그거죠. 기본 계획은 레이어 7이므로 프로 계획은 레이어 3,4 및 7이기 때문에 얻을 수없는 것입니다. 나는 그들이 당신에게 3,4 레벨을베이스 라인으로 제공 한 다음 애드온 레벨 7 WAF 그러나 반대입니다!
David A. Wank

2
그들은 아마도 귀하의 사이트 앞에 Cloudflare를 던져서 기본적으로 WAF를 무료로 제공합니다. 보다 복잡한 ACL에는 추가 서비스가 필요합니다. 내 추측이야 영업 팀에 설명을 요청하겠습니다.
Mark Henderson

답변:


27

약간 오해의 소지가있는 것 같습니다. 이러한 유형의 방화벽에 대한 기술적 정의는 다음과 같습니다.

  • 계층 3 방화벽 (예 : 패킷 필터링 방화벽 )은 소스 / 대상 IP, 포트 및 프로토콜만을 기반으로 트래픽을 필터링 합니다.
  • 계층 4 방화벽 은 위의 작업을 수행하고 활성 네트워크 연결을 추적하고 해당 세션의 상태 (즉, 상태 저장 패킷 검사 )를 기반으로 트래픽을 허용 / 거부하는 기능을 추가합니다 .
  • 계층 7 방화벽 (예 : 응용 프로그램 게이트웨이 )은 위의 모든 작업을 수행 할 수 있으며 해당 네트워크 패킷의 내용을 지능적으로 검사하는 기능도 포함합니다. 예를 들어, 계층 7 방화벽은 중국어 IP 주소의 모든 HTTP POST 요청을 거부 할 수 있습니다. 그러나이 수준의 세분성은 성능 비용으로 발생합니다.

적절한 정의가 가격 체계와 일치하지 않기 때문에 VPS에서 실행되는 소프트웨어 방화벽에 대한 (기술적으로 잘못된) 참조로 계층 7을 사용하고 있다고 생각합니다. iptables 또는 Windows 방화벽을 따라 생각하십시오 . 추가 요금을 지불하면 VPS가 적절한 네트워크 방화벽 뒤에 배치됩니다. 아마도.

잠재 고객에게 VPS 솔루션을 설명 할 때 적절한 용어를 사용하지 않아도된다면 다른 분야에서도 그들의 역량에 의문을 갖습니다.


4
상태 저장 패킷 검사는 단순한 TCP가 아니라 모든 계층 4 통신 추적을 포함합니다. 53에서 XI에 대한 아웃 바운드 UDP 패킷이 보이면 가까운 시일 내에 53에서 X에서 인바운드 UDP 패킷을 가져 와서 허용 할 것입니다. 반대로 53의 일치하지 않는 인바운드 UDP 트래픽은 삭제됩니다.
Dev

5
부적절한 용어 외에도 사용자가 실제로 구매 한 제품을 파악할 수있는 방식으로 제공하는 서비스를 제공 할 필요가 없습니다. 또한 좋은 징조는 아닙니다.
jpmc26

1
@Dev, 당신은 TCP에 국한되지 않고 상태 저장 패킷 검사에 대해 정확합니다. 적절하게 답변을 업데이트했습니다.
불멸의 스 퀴시

1
예! 나는 회사와 대화를 나 and 다가 분명히 "마케팅"전문 용어가 있었는데, 모든 방화벽은 3,4,7입니다. 감사합니다!
David A. Wank

1
마지막 단락의 특성에 의문을 제기합니다. 가장 유능한 기술 부서조차도 정확한 용어를 사용하도록 마케팅을 설득하기가 어려울 수 있습니다.
Barmar

3

첫 번째는 응용 프로그램 계층 방화벽입니다. 프록시로 요청이 이루어지는 HTTP 프록시 역할을하며, 모든 요청을 필터링하여 서버로 보내는 것입니다. 구매하려는 회사가 http 프록시를 사용하는 경우 서버 IP가 웹에서 완전히 숨겨집니다. 웹 사이트를 보호해야하는 경우 이것이 가장 간단한 해결책이며 "작동하는 것"입니다. 예를 들어 CloudFlare가 사용하는 방법입니다.

두 번째는 네트워크 계층 방화벽입니다. 서버에 도달하기 전에 모든 트래픽을 필터링하는 고급 방화벽입니다. 이것은 모든 종류의 응용 프로그램을 보호 할 수 있기 때문에 가장 효과적이며 효율적이지만 BGP 알림, 필터링 된 IP 블록, 터널 등을 사용하여 실제로 큰 설정이 필요합니다. 이는 일반적으로 대규모 DDoS 공격을 받고 중요한 애플리케이션, 전자 상거래 및 게임을 호스팅하는 서비스에 사용됩니다.

웹 사이트 보안 유지 : 웹 사이트를 보호해야하는 경우 Layer 7 솔루션을 사용하십시오. 모든 종류의 응용 프로그램, DDoS 공격 등에 대한 보호 등을 필터링하는 고급 방화벽이 필요한 경우 계층 3-4 솔루션을 사용하십시오.

CloudFlare에 대한 자세한 내용은 https://www.quora.com/How-does-CloudFlare-work를 참조하십시오.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.