我正在考虑与一家安全供应商合作,在我的 VPS 上托管网站,但我有些难以理解。(是的,我知道这是 OSI 术语,所讨论的网站是基本的牙科和医疗实践网站,没有电子商务,也没有私人信息(SSN 等)。
他们的基本计划有一个第 7 层防火墙(我知道那是 HTTP、HTTPs 等),但他们的高级计划也有第 3、4 层覆盖(我知道那是 IP 和 TCP/UDP)。
1) 我不明白的是总体情况——仅支持第 7 层的防火墙会忽略第 3/4 层的问题吗?会跳过数据包检查吗?
2)如果是这样,如果已经存在第 7 层防火墙,那么第 3/4 层防火墙的必要性有多大?
如果有一本书或资源可以帮助我理解这一点,那就太好了。我想在购买之前了解自己在做什么!
答案1
听起来你听上去有些误导性术语。这些类型的防火墙的技术定义如下:
- 第 3 层防火墙(IE包过滤防火墙) 仅根据源/目标 IP、端口和协议过滤流量。
- 第 4 层防火墙执行上述操作,并添加跟踪活动网络连接的功能,并根据这些会话的状态允许/拒绝流量(即状态包检测)。
- 第 7 层防火墙(IE应用程序网关) 可以完成上述所有任务,此外还能够智能检查这些网络数据包的内容。例如,第 7 层防火墙可以拒绝来自中国 IP 地址的所有 HTTP POST 请求。不过,这种精细度级别需要以性能为代价。
由于正确的定义与他们的定价方案不一致,我认为他们使用第 7 层作为(技术上不正确的)在 VPS 上运行的软件防火墙的参考。请考虑一下iptables或者Windows 防火墙。如果您支付额外费用,他们会将您的 VPS 置于适当的网络防火墙后面。也许吧。
如果他们在向潜在客户描述他们的 VPS 解决方案时不愿意使用正确的术语,我也会质疑他们在其他领域的能力。
答案2
第一个是应用层防火墙。它可能充当 HTTP(s) 代理,请求发送到代理,代理会过滤所有请求,然后将其发送到您的服务器。如果您要购买的公司使用 http 代理,您的服务器 IP 将完全隐藏在网络上,这真的很好。如果您只需要保护您的网站,这是您可以拥有的最简单的解决方案,并且“有效”。例如,这是 CloudFlare 使用的方法。
第二种是网络层防火墙。它是一种更高级的防火墙,可以在所有流量到达您的服务器之前对其进行过滤。这是迄今为止最有效、最高效的防火墙,因为您可以保护任何类型的应用程序,但您需要一个非常大的设置,其中包括 BGP 公告、过滤 IP 块、隧道等。这通常用于接收大型 DDoS 攻击并托管关键应用程序、电子商务和游戏的服务。
重点:如果您只需要保护您的网站,请使用第 7 层解决方案。如果您需要高级防火墙来过滤任何类型的应用程序、防御 DDoS 攻击等,请使用第 3-4 层解决方案。
在这里您可以阅读有关 CloudFlare 的更多信息,我认为这是适合您的解决方案:https://www.quora.com/How-does-CloudFlare-work