O que é um firewall de última geração (NGFW)?

Um firewall de última geração (NGFW) tem capacidades adicionais que o distinguem de um firewall tradicional. Os NGFWs são muitas vezes melhores para identificar as ameaças mais recentes.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina firewall de próxima geração (NGFW)
  • Descreva as capacidades do NGFW
  • Diferencie entre filtragem de pacotes e inspeção profunda de pacotes (DPI)

Copiar o link do artigo

O que é um firewall de última geração (NGFW)?

Um firewall de última geração (NGFW) é um dispositivo de segurança que processa o tráfego de rede e aplica regras para bloquear tráfego potencialmente perigoso. Os NGFWs evoluem e ampliam as capacidades dos firewalls tradicionais . Eles fazem tudo o que os firewalls fazem, mas de forma mais poderosa e com recursos adicionais.

Considere duas agências de segurança aeroportuária. Uma delas verifica se os passageiros não estão incluídos em nenhuma lista no-fly (uma lista de passageiros proibidos de voar nos EUA por motivo de segurança), se suas identidades correspondem ao que está informado em suas passagens e se eles estão indo para destinos a que o aeroporto realmente serve. A segunda, além de verificar as listas no-fly e os demais itens, inspeciona o que os passageiros estão transportando, certificando-se de que eles não tenham itens perigosos ou proibidos. A primeira agência mantém os aeroportos protegidos contra ameaças óbvias; a segunda também identifica ameaças que podem ser menos óbvias.

Um firewall comum é como a primeira agência de segurança: ele bloqueia ou permite a transmissão de dados (passageiros) com base no local para onde serão encaminhados, façam parte ou não de uma conexão de rede legítima, e com base no local de onde vêm. Um NGFW é mais parecido com a segunda agência de segurança: ele inspeciona os dados em um nível mais profundo para identificar e bloquear ameaças que podem estar ocultas no tráfego normal.

Quais recursos um NGFW tem?

Os NGFWs podem fazer tudo o que os firewalls normais podem fazer. Isso inclui:

  • Filtragem de pacotes: inspecionar cada pacote de dados individual e bloquear os pacotes perigosos ou inesperados. A filtragem de pacotes é explicada mais abaixo.
  • Inspeção stateful: analisar os pacotes no contexto para garantir que eles façam parte de uma conexão de rede legítima.
  • VPN awareness: os firewalls são capazes de identificar o tráfego criptografado da VPN e permitir que ele passe.

Os NGFWs também incluem vários recursos que os firewalls mais antigos não possuem. Os NGFWs usam inspeção profunda de pacotes (DPI) além da filtragem de pacotes. E de acordo com a Gartner, uma empresa global de pesquisa e consultoria, um NGFW compreende:

  • Controle do aplicativo e application awareness
  • Prevenção de intrusões
  • Inteligência contra ameaças
  • Caminhos para atualização a fim de adicionar futuros feeds de informação
  • Técnicas para lidar com as ameaças à segurança em constante evolução

Esses recursos são explicados mais detalhadamente abaixo.

A maioria desses recursos é possível porque, ao contrário das firewalls normais, os NGFWs podem processar o tráfego em várias camadas no modelo OSI, não apenas nas camadas 3 (a camada de rede ) e 4 (a camada de transporte). Os NGFWs podem analisar o tráfego na camada 7 HTTP e identificar quais aplicativos estão sendo utilizados, por exemplo. Esse é um recurso importante porque a camada 7 (camada de aplicativos) é cada vez mais utilizada para ataques que visam contornar as políticas de segurança aplicadas nas camadas 3 e 4 pelos firewalls tradicionais.

(Para saber mais sobre as camadas OSI, veja O que é o modelo OSI?)

O que são filtragem de pacotes e inspeção profunda de pacotes (DPI)?

Filtragem de pacotes

Todos os dados que atravessam uma rede ou a internet são divididos em partes menores chamadas pacotes. Como esses pacotes abrangem o conteúdo que entra em uma rede, os firewalls inspecionam esses pacotes e os bloqueiam ou autorizam, a fim de evitar a passagem de conteúdo malicioso (como um ataque de malware, por exemplo). Todos os firewalls têm esse recurso de filtragem de pacotes.

A filtragem de pacotes funciona inspecionando os endereços de IP de origem e destino, as portas e os protocolos associados a cada pacote: em outras palavras, de onde cada pacote vem, para onde ele está indo e como chegará lá. Os firewalls autorizam ou bloqueiam pacotes com base nessa avaliação, filtrando os pacotes não autorizados.

Por exemplo, os invasores às vezes tentam explorar vulnerabilidades associadas ao Protocolo de Desktop Remoto (RDP), enviando pacotes especialmente criados para a porta utilizada por esse protocolo, a porta 3389. Entretanto, um firewall pode inspecionar um pacote, ver para qual porta ele vai e bloquear todos os pacotes direcionados a essa porta, a menos que sejam de um endereço de IP com permissão específica. Isso envolve inspecionar o tráfego de rede nas camadas 3 (para ver os endereços de IP de origem e destino) e 4 (para ver a porta).

Inspeção profunda de pacotes (DPI)

Os NGFWs melhoram a filtragem de pacotes ao realizar uma inspeção profunda de pacotes (DPI). Assim como a filtragem de pacotes, a DPI envolve a inspeção de cada pacote individual para ver o endereço de IP de origem e destino, a porta de origem e destino, e assim por diante. Todas essas informações estão contidas nos cabeçalhos da camada 3 e da camada 4 de um pacote.

Mas a DPI também inspeciona o corpo de cada pacote, não apenas o cabeçalho. Especificamente, a DPI verifica os corpos dos pacotes em busca de assinaturas de malware e de outras ameaças em potencial. Durante essa inspeção, o conteúdo de cada pacote é comparado com o conteúdo de ataques maliciosos conhecidos.

O que é application awareness e controle de aplicativo?

Os NGFWs bloqueiam ou autorizam pacotes com base em para qual aplicativo eles estão sendo encaminhados. Os NGFWs fazem isso analisando o tráfego na camada 7, a camada de aplicativos. Os firewalls tradicionais não têm esse recurso, pois só analisam o tráfego nas camadas 3 e 4.

O application awareness permite que os administradores bloqueiem aplicativos potencialmente arriscados. Se os dados de um aplicativo não conseguem passar pelo firewall, então não podem introduzir ameaças na rede.

De acordo com as definições de termos da Gartner, tanto essa capacidade como a prevenção de intrusões (descrita abaixo) são elementos da DPI.

O que é prevenção de intrusões?

A prevenção de intrusões analisa o tráfego de entrada, identifica ameaças conhecidas, ameaças em potencial e bloqueia essas ameaças. Esse recurso é chamado muitas vezes de sistema de prevenção de intrusões (IPS). Os NGFWs incluem os IPSs como parte de suas capacidades de DPI.

Os IPSs podem usar vários métodos para detectar ameaças, incluindo:

  • Detecção de assinaturas: verifica as informações dentro dos pacotes recebidos e as compara com ameaças conhecidas
  • Detecção de anomalias estatísticas: verifica o tráfego para detectar mudanças incomuns de comportamento, em comparação com uma base de referência
  • Detecção de análise de protocolos stateful: semelhante à detecção de anomalias estatísticas, mas com foco nos protocolos de rede em uso, comparando-os com o uso normal dos protocolos

O que é inteligência de ameaças?

Inteligência de ameaças são as informações sobre possíveis ataques. Como as técnicas de ataque e as cepas de malware estão mudando continuamente, uma inteligência de ameaças atualizada é crucial para bloquear esses ataques. Os NGFWs são capazes de receber e agir com base em informações de inteligência de ameaças provenientes de fontes externas.

A inteligência de ameaças mantém a eficácia da detecção de assinaturas do provedor ao fornecer as assinaturas de malware mais recentes.

A inteligência de ameaças também pode fornecer informações sobre a reputação de IP. "A reputação de IP" identifica os endereços de IP de onde os ataques (especialmente ataques de bot) frequentemente vêm. Um feed de inteligência de ameaças de reputação de IP fornece os últimos endereços de IP ruins conhecidos, os quais um NGFW pode então bloquear.

Os firewalls de última geração são baseados em hardware ou software?

Alguns NGFWs são aparelhos de hardware desenvolvidos para defender uma rede privada interna. Os NGFWs também podem ser implantados como software, mas não precisam ser baseados em software para serem considerados de última geração.

Por fim, um NGFW pode ser implantado como um serviço na nuvem; isso se chama firewall na nuvem ou firewall como serviço (FWaaS). O FWaaS é um componente importante dos modelos de rede da borda de serviço de acesso seguro (SASE). (Compare NGFW e FWaaS de forma mais aprofundada.)

O que é Cloudflare Magic Firewall?

O Cloudflare Magic Firewall é um firewall em nível de rede fornecido por meio da rede global Cloudflare. Ele protege usuários, redes de escritório e infraestrutura de nuvem, e foi desenvolvido para substituir firewalls baseados em hardware com proteção avançada e escalável.

O Magic Firewall está firmemente integrado à Cloudflare One, uma plataforma SASE que combina serviços de rede e de segurança.