O que é um firewall? Como funcionam os firewalls de rede

Um firewall fica entre uma rede e a internet, controlando o fluxo de dados dentro e fora da rede, a fim de impedir possíveis ameaças à segurança.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina um firewall
  • Explique por que um firewall precisa inspecionar tanto os dados de entrada quanto os de saída
  • Entenda as diferenças entre um firewall de proxy, um WAF e outros tipos de firewall

Copiar o link do artigo

O que é um firewall?

Um firewall é um sistema de segurança que monitora e controla o tráfego da rede com base em um conjunto de regras de segurança. Os firewalls geralmente ficam entre uma rede confiável e uma rede não confiável; muitas vezes, a rede não confiável é a internet. Por exemplo, redes de escritórios frequentemente usam um firewall para proteger sua rede contra ameaças on-line.

O que é um firewall?

Os firewalls decidem se permitem a passagem do tráfego de entrada e de saída. Eles podem ser integrados ao hardware, ao software ou a uma combinação de ambos. Na verdade, o termo "firewall" é emprestado de uma prática de construção de paredes entre edifícios ou no meio deles e projetadas para conter um incêndio. De forma semelhante, os firewalls de rede atuam para conter ameaças on-line.

Por que usar um firewall?

A principal justificativa para utilizar um firewall é a segurança. Os firewalls podem interceptar o tráfego malicioso recebido antes que ele chegue à rede, além de evitar que informações sensíveis saiam da rede.

Os firewalls também podem ser usados para filtragem de conteúdo. Por exemplo, uma escola pode configurar um firewall para evitar que os usuários da sua rede acessem conteúdo adulto. Da mesma forma, em alguns países, o governo usa um firewall que pode evitar que as pessoas dentro daquele país acessem determinadas partes da internet.

Esse artigo abordará os firewalls configurados para fins de segurança e seus vários tipos.

Quais são os diferentes tipos de firewall?

Firewalls baseados em proxy:

são proxies* que ficam entre clientes e servidores. Os clientes se conectam ao firewall e o firewall inspeciona os pacotes de saída. Em seguida ele criará uma conexão com o destinatário desejado (o servidor web ). Da mesma forma, quando o servidor web tenta enviar uma resposta ao cliente, o firewall interceptará essa solicitação, inspecionará os pacotes e então enviará essa resposta em uma conexão separada entre o firewall e o cliente. Um firewall baseado em proxy evita uma conexão direta entre o cliente e o servidor de forma eficaz.

Um firewall baseado em proxy é um tipo de segurança de bar. Esse segurança intercepta os convidados antes que eles entrem no bar para se assegurar que eles não são menores de idade, não estão armados ou não constituem uma ameaça para o bar e seus clientes. O segurança também para os clientes na saída para garantir que eles tenham uma maneira segura de chegar em casa e não estejam planejando beber e dirigir.

A desvantagem de ter um segurança no bar é que quando muitas pessoas estão tentando entrar ou sair do bar simultaneamente, haverá uma longa fila e várias pessoas terão que esperar. O mesmo acontece com o firewall: uma grande desvantagem de um firewall baseado em proxy é que ele pode causar latência, especialmente em momentos de tráfego intenso.

*Um proxy é um computador que atua como um gateway entre uma rede local e uma rede maior, como a internet.

Stateful firewalls:

Em ciências da computação, um aplicativo "stateful" é um aplicativo que salva dados de eventos e interações anteriores. Um stateful firewall salva informações sobre conexões abertas e usa essas informações para analisar o tráfego de entrada e saída, em vez de inspecionar cada pacote. Como eles não inspecionam todos os pacotes, os stateful firewalls são mais rápidos do que os firewalls baseados em proxy.

Stateful firewalls dependem de muito contexto na tomada de decisões. Por exemplo, se o firewall registrar pacotes de saída em uma conexão solicitando determinado tipo de resposta, ele só permitirá a entrada de pacotes nessa conexão se eles fornecerem o tipo de resposta solicitada.

Stateful firewalls também podem proteger as portas *, mantendo-as todas fechadas, a menos que os pacotes de entrada solicitem acesso a uma porta específica. Isso pode mitigar um ataque conhecido como varredura de porta.

Uma conhecida vulnerabilidade associada aos stateful firewalls é que eles podem ser manipulados e levar um cliente a solicitar um determinado tipo de informação. Assim que o cliente solicitar essa resposta, o invasor pode então enviar pacotes maliciosos que correspondam a esses critérios por meio do firewall. Por exemplo, sites não seguros podem usar código JavaScript para criar esses tipos de solicitação forjadas a partir de um navegador web.

*Uma porta de rede é um local para onde as informações são enviadas; não é um lugar físico, mas sim o ponto final de uma comunicação. Saiba mais sobre portas >>

Firewalls de próxima geração (NGFW):

NGFWs são firewalls que têm os recursos dos firewalls tradicionais, mas também empregam uma série de recursos adicionais para lidar com as ameaças em outras camadas do modelo OSI. Alguns recursos específicos do NGFW incluem:

  • Inspeção profunda de pacotes (DPI) - Os NGFWs realizam uma inspeção muito mais profunda de pacotes do que os firewalls tradicionais. Essa inspeção profunda pode procurar coisas como payloads de pacotes e qual aplicativo está sendo acessado pelos pacotes. Isso permite que o firewall aplique regras de filtragem mais minuciosas.
  • Application awareness - Habilitar esse recurso torna o firewall ciente de quais aplicativos estão sendo executados e quais portas esses aplicativos estão usando. Isso pode proteger contra determinados tipos de malware que têm como objetivo encerrar um processo em execução e depois assumir o controle de sua porta.
  • Identity awareness - Esse recurso permite que um firewall aplique regras baseadas na identidade, tais como qual computador está sendo usado, qual usuário está conectado, etc.
  • Sandboxing - Firewalls podem isolar pedaços de código associados aos pacotes recebidos e executá-los em um ambiente "sandbox" para garantir que não estejam se comportando de forma maliciosa. Os resultados desse teste em sandbox podem então ser usados como critério ao decidir se os pacotes devem ou não entrar na rede.

Firewalls de aplicativos web (WAF)

Enquanto os firewalls tradicionais ajudam a proteger as redes privadas contra aplicativos web maliciosos, os WAFs ajudam a proteger os aplicativos web contra usuários maliciosos. Um WAF ajuda a proteger aplicativos web filtrando e monitorando o tráfego HTTP entre um aplicativo web e a internet. Normalmente eles protegem os aplicativos web contra ataques como cross-site forgery, cross-site-scripting (XSS), inclusão de arquivos, e injeção de SQL, entre outros.

Ao implantar um WAF na frente de um aplicativo web, coloca-se um escudo entre o aplicativo web e a internet. Enquanto um firewall de proxy protege a identidade da máquina cliente com o uso de um intermediário, o WAF é um tipo de proxy reverso que protege o servidor contra a exposição, já que seus clientes passam pelo WAF antes de chegar ao servidor.

Um WAF opera por meio de um conjunto de regras frequentemente chamadas de políticas. Essas políticas visam proteger contra vulnerabilidades do aplicativo por meio de filtragem do tráfego malicioso. O valor de um WAF decorre em parte da velocidade e da facilidade com que a modificação de políticas pode ser implementada, permitindo uma resposta mais rápida a diversos vetores de ataque; durante um ataque DDoS, o rate limiting pode ser implementado rapidamente modificando as políticas de WAF. Produtos comerciais WAF como o Web Application Firewall da Cloudflare protegem milhões de aplicativos web contra ataques todos os dias.

Firewall como serviço (FWaaS):

Firewall como serviço (FWaaS) é um modelo mais recente para oferecer recursos de firewall pela nuvem. Esse serviço também pode ser chamado de "firewall na nuvem". O FWaaS forma uma barreira virtual em torno das plataformas, da infraestrutura e do aplicativos na nuvem, da mesma forma que os firewalls tradicionais formam uma barreira em torno da rede interna de uma organização. O FWaaS normalmente é mais adequado para proteger os ativos da nuvem e da multinuvem do que os firewalls tradicionais.

O que é um "firewall de rede"?

Um "firewall de rede" é qualquer firewall que defende uma rede. Por definição, quase todos os firewalls de segurança são firewalls de rede, embora os firewalls também possam proteger máquinas individuais.

Embora os firewalls sejam um componente importante da segurança de rede, essa área também tem muitos outros aspectos, incluindo controle de acesso, autenticação de usuários e mitigação de DDoS. Saiba mais sobre segurança de rede.

Os firewalls são baseados em software ou em hardware?

Originalmente, os firewalls eram dispositivos de hardware (consulte a seção de história dos firewalls abaixo). Embora alguns firewalls de hardware ainda estejam em uso, muitos firewalls modernos são baseados em software, o que significa que podem ser executados em vários tipos diferentes de hardware. O FWaaS, por sua vez, está hospedado na nuvem.

Qual é a história dos firewalls?

Os firewalls datam do final dos anos 1980. Os primeiros firewalls permitiam ou bloqueavam pacotes de dados individuais. Eles decidiam quais pacotes seriam permitidos e quais seriam bloqueados inspecionando sua camada de rede e seus cabeçalhos da camada de transporte para ver o endereço de IP de origem e de destino deles e a porta (como ver as seções "Para" e "De" de um e-mail). Isso evitou o tráfego ilegítimo e impediu muitos ataques de malware.

A última geração de firewalls acrescentou recursos stateful. E as gerações mais novas (como as NGFWs) acrescentaram a capacidade de inspecionar o tráfego na camada de aplicativos.

Assim como as capacidades de firewall evoluíram com o tempo, também evoluiu a forma como os firewalls são implantados. Originalmente, os firewalls eram dispositivos físicos de hardware que se conectavam à infraestrutura de rede de uma empresa. Mas à medida que os processos de negócios se deslocaram para a nuvem, a canalização de todo o tráfego de rede por uma caixa física se tornou ineficiente. Atualmente, os firewalls também podem ser executados em softwares ou virtualmente na nuvem.

O que é Magic Firewall?

O Magic Firewall é um firewall em nível de rede implantado a partir da rede da Cloudflare. Ele foi desenvolvido para substituir os firewalls baseados em hardware para redes locais. Os firewalls baseados em hardware só podem ser expandidos se a TI comprar mais hardware; o Magic Firewall pode ser expandido mais facilmente para lidar com grandes quantidades de tráfego. Saiba mais sobre o Magic Firewall.