O que é um firewall?

Firewalls e sua evolução

Um firewall é um dispositivo de segurança de rede que concede ou rejeita acesso de fluxos de tráfego à rede, entre uma zona não confiável (por exemplo, a Internet) e uma zona confiável (por exemplo, uma rede privada ou corporativa). O firewall atua como o ponto de demarcação ou "guarda de trânsito" na rede, já que todas as comunicações precisam fluir através dele e é nele que o tráfego é autorizado ou não. Os firewalls aplicam os controles de acesso através de um modelo de controle positivo, que estabelece que somente o tráfego definido na política de firewall seja permitido na rede; qualquer outro tráfego é negado (isso é conhecido como "negar por padrão").

Listas de controle de acesso

Antes, a função de firewall era realizada pelas listas de controle de acesso (ACLs, na sigla em inglês), frequentemente em routers. As ACLs são essencialmente regras escritas para determinar que o acesso à rede seja concedido ou negado a endereços IP específicos. Por exemplo, uma ACL pode ter uma linha que define que todo o tráfego do IP 172.168.2.2 deve ser rejeitado e que permita todo o tráfego na porta 80 do 172.168.2.2 para o servidor da web em 10.10.10.201.

As ACLs são vantajosas devido à escalabilidade e alto desempenho, mas não podem ler além dos títulos dos pacotes, o que oferece apenas uma informação rudimentar sobre o tráfego. Portanto, a filtragem de pacote da ACL sozinha não tem a capacidade de manter as ameaças fora da rede.

Firewalls de proxy

Os firewalls de proxy agem como intermediários; eles aceitam todas as solicitações de tráfego que entra na rede personificando o receptor real do tráfego dentro da rede. Depois de uma inspeção, se ele decidir conceder acesso, o firewall de proxy envia a informação ao computador de destino. A resposta do computador de destino é enviada ao proxy, que reempacota a informação com o endereço de origem do servidor proxy. Através desse processo, o firewall de proxy interrompe (ou conclui) a conexão entre os dois computadores, de forma que fica sendo a única máquina que fala com o mundo exterior.

Cada firewall de proxy pode inspecionar o conteúdo completamente e tomar decisões com base em um nível mais específico e granular de informação. O controle de acesso com essa nuance é atraente para os administradores de rede, no entanto cada aplicativo precisa de seu próprio proxy ao nível de aplicativo. Redes com firewall de proxy também sofrem de um desempenho de tráfego degradado e muitas limitações em suporte de aplicativos e funcionalidade geral. Isso leva, em última análise, a problemas de escalabilidade que fazem com seja complicado fazer uma implementação bem-sucedida. Por essa razão os firewalls de proxy não têm sido amplamente adotados. De fato, mesmo no pico da popularidade dos firewalls de proxy, nos anos 90, problemas de desempenho e de escalabilidade limitaram a adoção para selecionar verticais em nichos de desenvolvimento.

Firewalls Stateful Inspection

A stateful inspection ou "filtragem multiestado" é considerada como a terceira geração de firewalls. A stateful inspection faz duas coisas: primeiro, classifica o tráfego olhando na porta de destino (por exemplo, tcp/80 = HTTP). Segundo, ele acompanha o estado do tráfego monitorando todas as interações de cada conexão em particular, até que a conexão seja fechada.

Essas propriedades adicionam mais funcionalidade ao controle de acesso: firewalls stateful inspection têm a capacidade de conceder ou negar acesso com base não apenas em porta e protocolo, mas também no histórico do pacote na tabela de estados. Quando um firewall stateful inspection recebe um pacote, ele verifica a tabela de estados para descobrir se uma conexão já foi estabelecida ou se uma solicitação para o pacote que entra foi feita por um host interno. Se nenhuma das duas for encontrada, o acesso do pacote fica sujeito às regras da política de segurança do firewall.

Embora a filtragem "multiestado" seja expansível e transparente para os usuários, a camada extra de proteção agrega complexidade à infraestrutura de segurança de rede e os firewalls stateful inspection enfrentam dificuldades para lidar com aplicativos dinâmicos como o SIP ou H.323.

Gerenciamento de ameaças unificado

Soluções de gerenciamento de ameaças unificado (UTM, na sigla em inglês) foram inicialmente definidas como a consolidação dos firewalls stateful inspection, antivírus e IPS em um único dispositivo. Ao longo do tempo, a definição de UTM se ampliou para incluir muitas outras funções de segurança de rede.

É importante notar que o sucesso do UTM depende da eficácia da decisão do firewall stateful inspection que precede todas as funções de seus componentes. Isso ocorre porque os componentes do UTM, embora estejam em um único dispositivo, são efetivamente serviços de segurança que atuam no final do processo. Portanto, a carga de trabalho de todos os componentes de segurança por trás do firewall (dentro da rede) será determinada pela potência do seu controle de acesso. Embora o UTM ofereça várias funções de segurança em um produto, a tecnologia de controle de acesso fundamental do firewall permanece a mesma.

Firewall de ultima geração

Os firewalls de última geração (NGFWs, na sigla em inglês) foram criados em resposta à evolução em sofisticação dos aplicativos e malwares. Os desenvolvedores de aplicativos e malwares têm conseguido ludibriar a duradoura classificação de tráfego baseada em portas integrando técnicas de evasão de portas em seus programas. Hoje, os malwares montam nas costas desses aplicativos para entrar nas redes e eles mesmos estão formando uma rede (conectados uns aos outros, nos computadores que eles infectam individualmente).

Os NGFWs atuam como uma plataforma para a aplicação de políticas de rede e inspeção de tráfego de rede. Segundo a empresa de pesquisa tecnológica Gartner Inc, eles são definidos pelos seguintes atributos:

  • Recursos padrão do firewall de primeira geração: isso inclui filtragem de pacotes, inspeção de protocolo "multiestado", tradução de endereço de rede (NAT, na sigla em inglês), conectividade VPN, etc.
  • Prevenção de intrusão realmente integrada: isso inclui suporte para enfrentar assinaturas para vulnerabilidade e ameaças e sugerir regras (ou realizar ações) com base na atividade de IPS. A soma dessas duas funções colaborando através do NGFW é maior do que as partes individuais.
  • Visibilidade e identificação de aplicativos em todas as camadas: capacidade para aplicar políticas ao nível da camada de aplicativo, independentemente de porta e protocolo.
  • Inteligência extrafirewall: capacidade para obter informações de fontes externas e tomar melhores decisões. Os exemplos incluem a criação de listas negras e listas brancas e ser capaz de mapear o tráfego para usuários e grupos que usam o active directory.
  • Adaptabilidade ao cenário de ameaças modernas: caminhos de atualização de suporte para a integração de novas informações e técnicas para abordar as ameaças futuras.
  • Suporte em linha com degradação mínima de desempenho ou interrupções nas operações de rede.
CHAT
Perguntas?
Converse com quem tem as respostas.
Converse agora