第3,4层防火墙做什么而第7层没有做什么？

我正在考虑与安全供应商合作在我的VPS上托管网站，但我很难理解。（是的，我知道这是OSI术语，所涉及的站点是基本的牙科和医疗实践网站，没有电子商务，也没有私人信息（SSN等）。

他们的基本计划具有第7层防火墙（我知道这是HTTP，HTTP等），但他们的高级计划也有第3,4层覆盖（我知道是IP和TCP / UDP）。

1）我不了解的是全局图–仅第7层防火墙忽略了第3/4层的问题吗？是否跳过数据包检查？

2）如果是这样，那么如果您已经有第7层，那么第3/4层防火墙有何必要？

如果有书或资源，我可以阅读以了解其内容，那也很棒。我想在购买前了解自己在做什么！

听起来您似乎有点误导性行话。这些类型的防火墙的技术定义是：

• 第3层防火墙（即数据包过滤防火墙）仅根据源/目标IP，端口和协议过滤流量。
• 第4层防火墙可以执行上述操作，此外还可以跟踪活动的网络连接，并根据这些会话的状态允许/拒绝流量（即，有状态的数据包检查）。
• 第7层防火墙（即应用程序网关）可以完成上述所有操作，此外还可以智能地检查那些网络数据包的内容。例如，第7层防火墙可以拒绝来自中国IP地址的所有HTTP POST请求。但是，这种粒度级别是以性能为代价的。

由于正确的定义与它们的定价方案不符，我认为它们将第7层用作对VPS上运行的软件防火墙的（技术上不正确）引用。考虑一下iptables或Windows防火墙。如果您付了额外的费用，它们会把您的VPS放在适当的网络防火墙后面。也许。

如果在为潜在客户介绍他们的VPS解决方案时不打扰他们使用正确的术语，我也会质疑他们在其他领域的能力。

第一个是应用程序层防火墙。它可能作为HTTP代理，向代理发出请求，过滤所有请求并将其发送到您的服务器。如果您要购买的公司使用http代理，则您的服务器IP将从网络上完全隐藏，这真的很好。如果您只需要保护您的网站，这是您可以拥有的最简单的解决方案，并且“行之有效”。例如，这就是CloudFlare使用的方法。

第二个是网络层防火墙。它是更高级的防火墙，可在到达服务器之前过滤所有流量。到目前为止，这是最有效的一种，因为您可以保护任何一种应用程序，但是您需要使用BGP公告，过滤的IP块，隧道等进行非常大的设置。这通常与接收大DDoS攻击并托管关键应用程序，电子商务和游戏的服务一起使用。

保持射击：如果只需要保护您的网站安全，请使用第7层解决方案。如果您需要可过滤任何类型应用程序的高级防火墙，针对DDoS攻击的防护等，请使用3-4层解决方案。

在这里您可以阅读有关CloudFlare的更多信息，我认为这是适合您的解决方案：https : //www.quora.com/How-does-CloudFlare-work