3,4 层防火墙能做什么而第 7 层不能？

Question

我正在考虑与 VPS 上托管站点的安全供应商合作，但我很难理解某些内容。（是的，我知道这是 OSI 术语，有问题的网站是基本的牙科和医疗实践网站，没有电子商务和私人信息（SSN 等）。

他们的基本计划有一个第 7 层防火墙（我知道那是 HTTP、HTTPs 等），但他们的高级计划也有第 3,4 层覆盖（我知道那是 IP 和 TCP/UDP）。

1）我不明白的是大局——仅第 7 层的防火墙会忽略第 3/4 层的问题吗？是否跳过数据包检查？

2) 如果是这样，如果您已经部署了第 7 层，那么第 3/4 层防火墙的必要性有多大？

如果有我可以阅读的书籍或资源来理解这一点，那也很棒。我想在购买之前了解我在做什么！

Answer 1

听起来您好像遇到了一些误导性的行话。这些类型的防火墙的技术定义是：

• 第 3 层防火墙（即包过滤防火墙）仅根据源/目标 IP、端口和协议过滤流量。
• 第 4 层防火墙执行上述操作，并添加跟踪活动网络连接的能力，并根据这些会话的状态（即状态数据包检查）允许/拒绝流量。
• 第 7 层防火墙（即应用程序网关）可以完成上述所有任务，此外还包括智能检查这些网络数据包内容的能力。例如，第 7 层防火墙可以拒绝来自中国 IP 地址的所有 HTTP POST 请求。但是，这种级别的粒度会带来性能成本。

由于正确的定义与其定价方案不一致，我认为他们使用第 7 层作为（技术上不正确的）对在您的 VPS 上运行的软件防火墙的引用。想想iptables或Windows 防火墙。如果您支付额外费用，他们会将您的 VPS 置于适当的网络防火墙之后。也许。

如果他们在向潜在客户描述他们的 VPS 解决方案时懒得使用正确的术语，我也会质疑他们在其他领域的能力。