レイヤー3,4ファイアウォールは何をしますか、レイヤー7はしませんか？

VPSでホストされているサイトのセキュリティベンダーに行くことを考えていますが、何かを理解するのに苦労しています。（はい、これはOSIの用語であり、問​​題のサイトは基本的な歯科および医療行為のWebサイトであり、eコマースや個人情報（SSNなど）はありません。

基本計画にはレイヤー7ファイアウォールがあります（これはHTTP、HTTPなどです）が、高度な計画にはレイヤー3,4のカバレッジもあります（そして、それはIPとTCP / UDPです）。

1）私が理解していないのは全体像です-レイヤー7のみのファイアウォールはレイヤー3/4の問題を無視しますか？パケット検査はスキップされますか？

2）その場合、すでにレイヤー7を設置している場合、レイヤー3/4ファイアウォールはどの程度必要ですか？

本や資料があれば、これを読んで理解することもできます。購入する前に何をしているのかを理解したい！

あなたは少し誤解を招く専門用語を取得しているように聞こえます。これらのタイプのファイアウォールの技術的な定義は次のとおりです。

• レイヤ3ファイアウォール（パケットフィルタリングファイアウォールなど）は、送信元/宛先IP、ポート、およびプロトコルのみに基づいてトラフィックをフィルタリングします。
• レイヤー4ファイアウォールは上記を実行し、さらにアクティブなネットワーク接続を追跡し、それらのセッションの状態に基づいてトラフィックを許可/拒否する機能を追加します（つまり、ステートフルパケットインスペクション）。
• レイヤー7ファイアウォール（アプリケーションゲートウェイなど）は上記のすべてを実行でき、さらにこれらのネットワークパケットのコンテンツをインテリジェントに検査する機能を備えています。たとえば、レイヤー7ファイアウォールは、中国のIPアドレスからのすべてのHTTP POST要求を拒否できます。ただし、このレベルの細分性にはパフォーマンスコストがかかります。

適切な定義は価格体系と一致しないため、VPSで実行されているソフトウェアファイアウォールへの（技術的に不適切な）参照としてレイヤー7を使用していると思います。iptablesまたはWindows Firewallの行に沿って考えてください。追加料金が発生した場合、VPSは適切なネットワークファイアウォールの背後に配置されます。多分。

潜在的な顧客にVPSソリューションを説明するときに適切な用語を使用することに煩わされない場合は、他の分野でも彼らの能力を疑います。

1つ目は、アプリケーションレイヤーファイアウォールです。おそらく、リクエストがプロキシに対して行われるHTTP（s）プロキシとして機能し、すべてのリクエストをフィルタリングしてからサーバーに送信します。購入しようとしている会社がhttpプロキシを使用している場合、サーバーIPはWebから完全に隠されます。あなたがあなたのウェブサイトを保護する必要がある場合、これはあなたが持つことができる最も簡単な解決策であり、「うまくいく」。これは、たとえばCloudFlareが使用するメソッドです。

2番目は、ネットワーク層ファイアウォールです。これはより高度なファイアウォールで、サーバーに到達する前にすべてのトラフィックをフィルタリングします。これは、あらゆる種類のアプリケーションを保護できるため、群を抜いて最も効果的かつ効率的ですが、BGPアナウンス、フィルタリングされたIPブロック、トンネルなどを備えた非常に大きなセットアップが必要になります。これは一般に、大きなDDoS攻撃を受け、重要なアプリケーション、eコマース、およびゲームをホストするサービスで使用されます。

狙いを定める：Webサイトを保護する必要がある場合は、レイヤー7ソリューションを使用します。あらゆる種類のアプリケーションをフィルタリングする高度なファイアウォール、DDoS攻撃に対する保護などが必要な場合は、レイヤー3-4ソリューションを使用してください。

ここでは、CloudFlareについての詳細を読むことができます。CloudFlareは適切なソリューションだと思います。https：//www.quora.com/How-does-CloudFlare-work