¿Qué hace un firewall de capa 3,4 que no hace una capa 7?

17

Estoy pensando en ir con un proveedor de seguridad para sitios alojados en mi VPS, y me está costando entender algo. (Sí, sé que esta es la terminología de OSI, y los sitios en cuestión son sitios de práctica médica y dental básica sin comercio electrónico y sin información privada (SSN, etc.).

Su plan básico tiene un firewall de Capa 7 (y entiendo que es HTTP, HTTP, etc.), pero su plan avanzado también tiene cobertura de capa 3,4 (y entiendo que eso es IP y TCP / UDP).

1) Lo que no entiendo es el panorama general: ¿un firewall de solo capa 7 ignora los problemas con la capa 3/4? ¿Se omite la inspección de paquetes?

2) Y si es así, ¿qué tan necesario es un firewall de capa 3/4 si ya tiene una capa 7 en su lugar?

Si hay un libro o recurso que puedo leer para entender esto, eso también sería genial. ¡Quiero entender lo que estoy haciendo antes de hacer una compra!

firewall website David A. Wank
fuente
77
No sé cómo puedes tener un firewall de capa 7 sin tener un firewall de capa 3, pero supongo que tienen un WAF y solo te exponen las reglas de WAF a menos que les pagues más.
Mark Henderson
3
Sin embargo, comprobaría que incluso si no toma el firewall de capa 3/4, todo su servidor no está desnudo y expuesto en Internet. Todavía deberían cortafuegos, excepto 80/443
Mark Henderson
1
Exactamente. Eso es lo que no entiendo, porque el plan básico es la capa 7. Y el plan profesional es la capa 3,4 y 7. Me imagino que te darían el nivel 3,4 como línea de base, y luego agregaría el nivel 7 WAF como complemento. Pero se invierte!
David A. Wank
2
Probablemente arrojen Cloudflare delante de su sitio, lo que básicamente le proporciona un WAF gratis. Las ACL más complicadas requieren servicios adicionales. Solo mi suposición. Le pediría a su equipo de ventas la explicación.
Mark Henderson

Respuestas:

27

Parece que estás recibiendo un poco de jerga engañosa. Las definiciones técnicas para estos tipos de firewall son:

  • Los cortafuegos de capa 3 (es decir, los cortafuegos de filtrado de paquetes ) filtran el tráfico basándose únicamente en el IP, el puerto y el protocolo de origen / destino.
  • Los firewalls de capa 4 hacen lo anterior, además de agregar la capacidad de rastrear conexiones de red activas y permitir / denegar el tráfico en función del estado de esas sesiones (es decir, inspección de paquetes con estado ).
  • Los firewalls de capa 7 (es decir , las puertas de enlace de aplicaciones ) pueden hacer todo lo anterior, además de incluir la capacidad de inspeccionar de manera inteligente el contenido de esos paquetes de red. Por ejemplo, un firewall de capa 7 podría denegar todas las solicitudes HTTP POST de direcciones IP chinas. Sin embargo, este nivel de granularidad tiene un costo de rendimiento.

Dado que las definiciones correctas no se alinean con su esquema de precios, creo que están usando Layer 7 como referencia (técnicamente incorrecta) a un firewall de software que se ejecuta en su VPS. Piense en las líneas de iptables o Windows Firewall . Si paga las tarifas adicionales, pondrán su VPS detrás de un firewall de red adecuado. Tal vez.

Si no pueden molestarse en usar la terminología adecuada al describir su solución VPS a clientes potenciales, también cuestionaría su competencia en otras áreas.

squish inmortal
fuente
44
La inspección de paquetes con estado no es solo TCP, abarca todo el seguimiento de comunicación de capa 4. Si veo un paquete UDP saliente en 53 a X, espero obtener un paquete UDP entrante de X en 53 en un futuro próximo y lo permitiré. Por el contrario, se eliminará el tráfico UDP entrante no coincidente en 53.
Dev
55
Además de la terminología inadecuada, tampoco pueden molestarse en presentar los servicios que están ofreciendo de una manera que los usuarios puedan descubrir lo que están comprando. Tampoco es una buena señal.
jpmc26
1
@Dev, tienes razón sobre la inspección de paquetes con estado que no solo se limita al TCP. He actualizado la respuesta adecuadamente.
squish inmortal
1
¡Si! Hablé con la compañía y aparentemente hubo una jerga de "marketing" que se interpuso en el camino: todos sus firewalls son 3,4,7. ¡Gracias!
David A. Wank
1
Cuestiono la caracterización en el último párrafo. Incluso los departamentos técnicos más competentes pueden tener dificultades para convencer al marketing de que utilice una terminología precisa.
Barmar
3

El primero es un firewall de capa de aplicación. Probablemente funciona como un proxy HTTP (s) donde las solicitudes se realizan al proxy, que filtra todas las solicitudes y luego las envía a su servidor. Si la empresa que va a comprar utiliza un proxy http, la IP de su servidor estará totalmente oculta de la web, lo que es realmente bueno. Si solo necesita proteger sus sitios web, esta es la solución más simple que puede tener y "simplemente funciona". Este es el método que utiliza CloudFlare, por ejemplo.

El segundo es un firewall de capa de red. Es un firewall más avanzado, que filtra todo el tráfico antes de llegar a su servidor. Este es, con mucho, el más eficaz y eficiente, ya que puede proteger cualquier tipo de aplicación, pero necesitaría una configuración realmente grande con anuncios de BGP, bloques de IP filtrados, túneles, etc. Esto se usa comúnmente con servicios que reciben grandes ataques DDoS y alojan aplicaciones críticas, comercio electrónico y juegos.

Mantener el tiro: si solo necesita proteger sus sitios web, use la solución Layer 7. Si necesita un firewall avanzado que filtre cualquier tipo de aplicación, protección contra ataques DDoS, etc., use la solución de Capa 3-4.

Aquí puede leer más sobre CloudFlare, que creo que es la solución adecuada para usted: https://www.quora.com/How-does-CloudFlare-work

Aldemaro Campos
fuente