第 7 層是指 OSI 網路模型中的應用程式層。 它是此網路模型的頂層,處理使用者直接互動的標準協議,例如用於 Web 瀏覽的 HTTP 流量。
開放系統互連 (OSI) 模型是網路流量結構的概念模型。 OSI 模型的七層包括:
第 7 層是 OSI 模型的最高層,處理與使用者直接互動的應用程式。
OSI 模型的較低應用程式層級涉及確保資料到達所需的位置並進行適當的格式化。 第 7 層是與使用者互動的應用程式運行的地方。 例如,當瀏覽網頁時,使用者將使用 HTTPS 網路通訊協定與遠端網頁伺服器進行通訊。
HTTPS 是一種第 7 層通訊協定,其流量封裝在下層通訊協定中,例如:
這些協定負責確保資料從客戶端電腦上的特定應用程式獲取到伺服器上的特定應用程序,而 HTTPS 則攜帶使 Web 瀏覽會話正常工作的實際資料。
組織可以選擇在 OSI 模型的第 7 層上實作負載平衡。 這意味著單一應用程式的合法流量分佈在多個不同的伺服器上,確保它們不會過載。
因此,負載平衡可以提高應用程式的整體效能。 從用戶的角度來看,Layer 7 負載平衡器後面的所有服務器都是無法區分,因為它們具有相同的公開 IP 地址和通訊埠號碼。 但是,負載平衡器可以根據使用率將流量路由到服務器。
此外,負載平衡器可以使用請求中包含的cookies或其他資訊來確保來自相同會話的流量到達同一伺服器,從而實現快取和最佳化服務。
負載平衡也可以在 OSI 模型的傳輸層 4 中發生。 在這種情況下,不同的上游伺服器會使用不同的 TCP/ UDP 連接埠,使負載平衡器能夠快速將流量從相同工作階段傳送到相同的伺服器,而不檢查其實際內容。 但是,這種方法對傳送到每個後端伺服器的工作階段作業提供較少的精細控制。
第 7 層也與分散式阻斷服務(DDoS) 攻擊相關。 在 DDoS 應用程式層攻擊中,攻擊者控制的殭屍網路嘗試使用戶和客戶無法使用目標服務。 DDoS 攻擊可以在 OSI 模型的多個不同層次發生。 一種方法是嘗試用大量的請求壓倒系統。
這些攻擊在 OSI 模型的第 3 層(網路)和第 4 層(傳輸)進行操作。 例如,SYN 洪水攻擊會消耗服務器一次保持開放的 TCP 工作階段數量。
SYN Flood 是一種類型的 DDoS 攻擊,它會以連線要求壓倒伺服器,使伺服器不可供合法客戶使用。
但是,在 SYN Flood 攻擊的情況下,DDoS 攻擊者會向伺服器發送一大量 SYN 請求,但目的是不會以最終 ACK 回覆伺服器傳送的任何 SYN-ACK 訊息。 因此,服務器卡住在等待大量從客戶端不到來的 ACK 響應。
這個程序會壓倒伺服器的有限運算資源,因為它們在嘗試管理大量的半開放連線時,而這個程序會壓倒了伺服器的有限運算資源。 這就是為什麼 SYN 洪水攻擊也被稱為「半開放攻擊」的原因。
第 7 層 DDoS 攻擊旨在利用特定應用程式或服務的脆弱性和瓶頸。 例如,HTTP 洪水攻擊會嘗試傳送網頁伺服器的 HTTP 要求超過它能處理的多。 這可能大大小於它可以處理的同時 TCP 工作階段數量,使此攻擊更有效率。
不同類型的 DDoS 攻擊必須在不同的 OSI 層處理。 雖然許多應用程式防火牆可以處理第 3/4 層攻擊,但防範第 7 層攻擊需要第 7 層防火牆來檢查和理解應用程式層資料。
公司可能會受到在 OSI 模型的多個不同層次運作的網絡攻擊。 例如,DDOS 攻擊可以在層 3、4 或 7 中執行。 每種類型的攻擊的運作方式都不同,僅在第 3 層和第 4 層提供保護的網路安全解決方案將無法察覺第 7 層發生的攻擊。
Check Point次世代防火牆 (NGFW)在 OSI 模型的多個層提供保護,包括檢查和理解網路封包有效負載以提供應用程式層保護的能力。 透過 註冊免費演示, 詳細了解 Force NGFW 提供的第 7Check PointQuantum 層保護。
反映意見