Que fait un pare-feu de couche 3,4 que ne fait pas une couche 7?

17

Je pense aller avec un fournisseur de sécurité pour les sites hébergés sur mon VPS, et j'ai du mal à comprendre quelque chose. (Oui, je sais que c'est la terminologie OSI, et les sites en question sont des sites Web de pratique dentaire et médicale de base sans commerce électronique et sans informations privées (SSN, etc.).

Leur plan de base a un pare-feu de couche 7 (et je comprends que c'est HTTP, HTTPs, etc.), mais leur plan avancé a également une couverture de couche 3,4 (et je comprends que c'est IP et TCP / UDP).

1) Ce que je ne comprends pas, c'est la vue d'ensemble - un pare-feu de couche 7 uniquement ignore-t-il les problèmes de couche 3/4? L'inspection des paquets est-elle ignorée?

2) Et si oui, dans quelle mesure un pare-feu de couche 3/4 est-il nécessaire si vous avez déjà une couche 7 en place?

S'il y a un livre ou une ressource que je peux lire pour comprendre cela, ce serait aussi bien. Je veux comprendre ce que je fais avant de faire un achat!

David A. Wank
la source
7
Je ne sais pas comment vous pouvez avoir un pare-feu de couche 7 sans avoir un pare-feu de couche 3, mais je suppose qu'ils ont un WAF et ne vous exposent que les règles WAF à moins que vous ne les payiez plus.
Mark Henderson
3
Je vérifierais cependant que même si vous ne prenez pas le pare-feu de couche 3/4, l'ensemble de votre serveur n'est pas nu et exposé sur Internet. Ils devraient toujours pare-feu tout sauf 80/443
Mark Henderson
1
Exactement. C'est ce que je ne comprends pas - parce que le plan de base est la couche 7. Et le plan pro est les couches 3,4 et 7. Je suppose qu'ils vous donneraient le niveau 3,4 comme ligne de base, puis ajouter le WAF de niveau 7 comme module complémentaire. Mais c'est inversé!
David A. Wank
2
Ils jettent probablement Cloudflare devant votre site, ce qui vous donne essentiellement un WAF gratuit. Des listes de contrôle d'accès plus complexes nécessitent des services supplémentaires. Juste ma conjecture. Je demanderais à leur équipe de vente l'explication.
Mark Henderson

Réponses:

27

Il semble que vous ayez un peu de jargon trompeur. Les définitions techniques de ces types de pare-feu sont les suivantes:

  • Les pare-feu de couche 3 (c'est-à-dire les pare-feu de filtrage de paquets ) filtrent le trafic uniquement en fonction de l'IP source / destination, du port et du protocole.
  • Les pare - feu de couche 4 font ce qui précède, en plus d'ajouter la possibilité de suivre les connexions réseau actives et d'autoriser / refuser le trafic en fonction de l'état de ces sessions (c.-à-d . Inspection des paquets avec état ).
  • Les pare-feu de couche 7 (c'est-à-dire les passerelles d'application ) peuvent faire tout ce qui précède, ainsi que la possibilité d'inspecter intelligemment le contenu de ces paquets réseau. Par exemple, un pare-feu de couche 7 pourrait refuser toutes les demandes HTTP POST provenant d'adresses IP chinoises. Ce niveau de granularité a cependant un coût de performance.

Étant donné que les définitions appropriées ne correspondent pas à leur schéma de tarification, je pense qu'ils utilisent la couche 7 comme référence (techniquement incorrecte) à un pare-feu logiciel fonctionnant sur votre VPS. Pensez à la manière d' iptables ou du pare-feu Windows . Si vous payez les frais supplémentaires, ils mettront votre VPS derrière un pare-feu réseau approprié. Peut être.

S'ils ne peuvent pas être dérangés d'utiliser une terminologie appropriée lors de la description de leur solution VPS à des clients potentiels, je remettrais également en question leurs compétences dans d'autres domaines.

squish immortel
la source
4
Le Stateful Packet Inspection n'est pas seulement TCP, il englobe tout le suivi des communications de couche 4. Si je vois un paquet UDP sortant sur 53 vers XI, attendez-vous à recevoir un paquet UDP entrant de X sur 53 dans un proche avenir et le permettra. Inversement, le trafic UDP entrant inégalé sur 53 sera supprimé.
Dev
5
En plus d'une terminologie incorrecte, ils ne peuvent pas non plus être dérangés de présenter les services qu'ils offrent de manière à ce que les utilisateurs puissent réellement comprendre ce qu'ils achètent. Ce n'est pas non plus un bon signe.
jpmc26
1
@Dev, vous avez raison de dire que l'inspection dynamique des paquets ne se limite pas à TCP. J'ai mis à jour la réponse de manière appropriée.
squish immortel du
1
Oui! J'ai parlé avec la société et apparemment, il y avait un jargon "marketing" qui a gêné - tous leurs pare-feu sont 3,4,7. Je vous remercie!
David A. Wank
1
Je remets en question la caractérisation du dernier paragraphe. Même les services techniques les plus compétents peuvent avoir du mal à convaincre le marketing d'utiliser une terminologie précise.
Barmar
3

Le premier est un pare-feu de couche application. Il fonctionne probablement comme un proxy HTTP (s) où les requêtes sont faites au proxy, qui filtre toutes les requêtes et les envoie à votre serveur. Si la société que vous allez acheter utilise un proxy http, l'adresse IP de votre serveur sera totalement cachée du Web, ce qui est vraiment bien. Si vous avez juste besoin de protéger vos sites Web, c'est la solution la plus simple que vous puissiez avoir et qui "fonctionne tout simplement". C'est la méthode que CloudFlare utilise, par exemple.

Le second est un pare-feu de couche réseau. C'est un pare-feu plus avancé, qui filtre tout le trafic avant d'atteindre votre serveur. Celui-ci est de loin le plus efficace et le plus efficace, car vous pouvez protéger tout type d'application, mais vous auriez besoin d'une très grande configuration avec des annonces BGP, des blocs IP filtrés, des tunnels, etc. Ceci est couramment utilisé avec des services qui reçoivent de grosses attaques DDoS et hébergent des applications, du commerce électronique et des jeux critiques.

Garder le cap: si vous avez juste besoin de sécuriser vos sites Web, utilisez la solution Layer 7. Si vous avez besoin d'un pare-feu avancé qui filtre tout type d'application, d'une protection contre les attaques DDoS, etc., utilisez la solution Layer 3-4.

Ici, vous pouvez en savoir plus sur CloudFlare, que je pense que c'est la bonne solution pour vous: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
la source