Que fait un pare-feu de couche 3,4 que ne fait pas une couche 7?

Je pense aller avec un fournisseur de sécurité pour les sites hébergés sur mon VPS, et j'ai du mal à comprendre quelque chose. (Oui, je sais que c'est la terminologie OSI, et les sites en question sont des sites Web de pratique dentaire et médicale de base sans commerce électronique et sans informations privées (SSN, etc.).

Leur plan de base a un pare-feu de couche 7 (et je comprends que c'est HTTP, HTTPs, etc.), mais leur plan avancé a également une couverture de couche 3,4 (et je comprends que c'est IP et TCP / UDP).

1) Ce que je ne comprends pas, c'est la vue d'ensemble - un pare-feu de couche 7 uniquement ignore-t-il les problèmes de couche 3/4? L'inspection des paquets est-elle ignorée?

2) Et si oui, dans quelle mesure un pare-feu de couche 3/4 est-il nécessaire si vous avez déjà une couche 7 en place?

S'il y a un livre ou une ressource que je peux lire pour comprendre cela, ce serait aussi bien. Je veux comprendre ce que je fais avant de faire un achat!

Il semble que vous ayez un peu de jargon trompeur. Les définitions techniques de ces types de pare-feu sont les suivantes:

• Les pare-feu de couche 3 (c'est-à-dire les pare-feu de filtrage de paquets ) filtrent le trafic uniquement en fonction de l'IP source / destination, du port et du protocole.
• Les pare - feu de couche 4 font ce qui précède, en plus d'ajouter la possibilité de suivre les connexions réseau actives et d'autoriser / refuser le trafic en fonction de l'état de ces sessions (c.-à-d . Inspection des paquets avec état ).
• Les pare-feu de couche 7 (c'est-à-dire les passerelles d'application ) peuvent faire tout ce qui précède, ainsi que la possibilité d'inspecter intelligemment le contenu de ces paquets réseau. Par exemple, un pare-feu de couche 7 pourrait refuser toutes les demandes HTTP POST provenant d'adresses IP chinoises. Ce niveau de granularité a cependant un coût de performance.

Étant donné que les définitions appropriées ne correspondent pas à leur schéma de tarification, je pense qu'ils utilisent la couche 7 comme référence (techniquement incorrecte) à un pare-feu logiciel fonctionnant sur votre VPS. Pensez à la manière d' iptables ou du pare-feu Windows . Si vous payez les frais supplémentaires, ils mettront votre VPS derrière un pare-feu réseau approprié. Peut être.

S'ils ne peuvent pas être dérangés d'utiliser une terminologie appropriée lors de la description de leur solution VPS à des clients potentiels, je remettrais également en question leurs compétences dans d'autres domaines.

Le premier est un pare-feu de couche application. Il fonctionne probablement comme un proxy HTTP (s) où les requêtes sont faites au proxy, qui filtre toutes les requêtes et les envoie à votre serveur. Si la société que vous allez acheter utilise un proxy http, l'adresse IP de votre serveur sera totalement cachée du Web, ce qui est vraiment bien. Si vous avez juste besoin de protéger vos sites Web, c'est la solution la plus simple que vous puissiez avoir et qui "fonctionne tout simplement". C'est la méthode que CloudFlare utilise, par exemple.

Le second est un pare-feu de couche réseau. C'est un pare-feu plus avancé, qui filtre tout le trafic avant d'atteindre votre serveur. Celui-ci est de loin le plus efficace et le plus efficace, car vous pouvez protéger tout type d'application, mais vous auriez besoin d'une très grande configuration avec des annonces BGP, des blocs IP filtrés, des tunnels, etc. Ceci est couramment utilisé avec des services qui reçoivent de grosses attaques DDoS et hébergent des applications, du commerce électronique et des jeux critiques.

Garder le cap: si vous avez juste besoin de sécuriser vos sites Web, utilisez la solution Layer 7. Si vous avez besoin d'un pare-feu avancé qui filtre tout type d'application, d'une protection contre les attaques DDoS, etc., utilisez la solution Layer 3-4.

Ici, vous pouvez en savoir plus sur CloudFlare, que je pense que c'est la bonne solution pour vous: https://www.quora.com/How-does-CloudFlare-work