레이어 3,4 방화벽은 레이어 7이하지 않는 기능을 무엇입니까?

VPS의 호스팅 사이트에 대한 보안 공급 업체와 함께 일하려고 생각하고 있으며 이해하는 데 어려움을 겪고 있습니다. (예, 이것이 OSI 용어라는 것을 알고 있으며 문제의 사이트는 전자 상거래 및 개인 정보 (SSN 등)가없는 기본 치과 및 의료 실무 웹 사이트입니다.

기본 계획에는 레이어 7 방화벽이 있으며 HTTP, HTTP 등이 있지만 고급 계획에는 레이어 3,4 적용 범위가 있습니다 (IP 및 TCP / UDP 임).

1) 내가 이해하지 못하는 것은 큰 그림입니다. Layer 7 전용 방화벽은 Layer 3/4의 문제를 무시합니까? 패킷 검사가 생략 되었습니까?

2) 그렇다면 레이어 7이 이미 있다면 레이어 3/4 방화벽이 얼마나 필요한가?

책이나 자료가 있다면 이것을 이해하여 읽을 수도 있습니다. 구매하기 전에 내가하고있는 일을 이해하고 싶습니다!

약간 오해의 소지가있는 것 같습니다. 이러한 유형의 방화벽에 대한 기술적 정의는 다음과 같습니다.

• 계층 3 방화벽 (예 : 패킷 필터링 방화벽 )은 소스 / 대상 IP, 포트 및 프로토콜만을 기반으로 트래픽을 필터링 합니다.
• 계층 4 방화벽 은 위의 작업을 수행하고 활성 네트워크 연결을 추적하고 해당 세션의 상태 (즉, 상태 저장 패킷 검사 )를 기반으로 트래픽을 허용 / 거부하는 기능을 추가합니다 .
• 계층 7 방화벽 (예 : 응용 프로그램 게이트웨이 )은 위의 모든 작업을 수행 할 수 있으며 해당 네트워크 패킷의 내용을 지능적으로 검사하는 기능도 포함합니다. 예를 들어, 계층 7 방화벽은 중국어 IP 주소의 모든 HTTP POST 요청을 거부 할 수 있습니다. 그러나이 수준의 세분성은 성능 비용으로 발생합니다.

적절한 정의가 가격 체계와 일치하지 않기 때문에 VPS에서 실행되는 소프트웨어 방화벽에 대한 (기술적으로 잘못된) 참조로 계층 7을 사용하고 있다고 생각합니다. iptables 또는 Windows 방화벽을 따라 생각하십시오 . 추가 요금을 지불하면 VPS가 적절한 네트워크 방화벽 뒤에 배치됩니다. 아마도.

잠재 고객에게 VPS 솔루션을 설명 할 때 적절한 용어를 사용하지 않아도된다면 다른 분야에서도 그들의 역량에 의문을 갖습니다.

첫 번째는 응용 프로그램 계층 방화벽입니다. 프록시로 요청이 이루어지는 HTTP 프록시 역할을하며, 모든 요청을 필터링하여 서버로 보내는 것입니다. 구매하려는 회사가 http 프록시를 사용하는 경우 서버 IP가 웹에서 완전히 숨겨집니다. 웹 사이트를 보호해야하는 경우 이것이 가장 간단한 해결책이며 "작동하는 것"입니다. 예를 들어 CloudFlare가 사용하는 방법입니다.

두 번째는 네트워크 계층 방화벽입니다. 서버에 도달하기 전에 모든 트래픽을 필터링하는 고급 방화벽입니다. 이것은 모든 종류의 응용 프로그램을 보호 할 수 있기 때문에 가장 효과적이며 효율적이지만 BGP 알림, 필터링 된 IP 블록, 터널 등을 사용하여 실제로 큰 설정이 필요합니다. 이는 일반적으로 대규모 DDoS 공격을 받고 중요한 애플리케이션, 전자 상거래 및 게임을 호스팅하는 서비스에 사용됩니다.

웹 사이트 보안 유지 : 웹 사이트를 보호해야하는 경우 Layer 7 솔루션을 사용하십시오. 모든 종류의 응용 프로그램, DDoS 공격 등에 대한 보호 등을 필터링하는 고급 방화벽이 필요한 경우 계층 3-4 솔루션을 사용하십시오.

CloudFlare에 대한 자세한 내용은 https://www.quora.com/How-does-CloudFlare-work를 참조하십시오.