Firewall é um dispositivo de segurança de rede que concede ou rejeita (bloqueia) acesso de fluxos de tráfego à rede, entre uma zona não confiável (por exemplo, a internet) e uma zona confiável (por exemplo, uma rede
privada ou corporativa). Mais especificamente um Firewall é um dispositivo de segurança da rede que monitora o tráfego de rede, de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança.

Os firewalls têm sido a linha de frente da defesa na segurança de rede há mais de 25 anos. Eles colocam uma barreira entre redes internas protegidas e controladas que podem ser redes externas confiáveis ou não, como a Internet. Um firewall pode ser um hardware, software ou ambos.

Lista de Controle de Acesso

Antes, a função de firewall era realizada pelas listas de controle de acesso, frequentemente em routers. As ACLs são essencialmente regras escritas para determinar que o acesso à rede seja concedido ou negado a endereços IP
específicos. Por exemplo, uma ACL pode ter uma linha que define que todo o tráfego do IP 172.168.2.2 deve ser rejeitado e que permita todo o tráfego na porta 80 do 172.168.2.2 para o servidor da web em 10.10.10.201.
As ACLs têm uma grande vantagem devido à escalabilidade e alto desempenho, mas não podem ler além dos títulos dos pacotes, o que oferece apenas uma informação rudimentar sobre o tráfego. Portanto, a filtragem de
pacote da ACL sozinha não tem a capacidade de manter as ameaças fora da rede.

O que um Firewall pode fazer?

Um firewall é um checkpoint; ou seja, ele é um foco para as decisões referentes à segurança, é o ponto de conexão com o mundo externo, tudo o que chega à rede interna passa pelo firewall;
– Um firewall pode aplicar a política de segurança;
– Pode gravar requisições;
– Limita a exposição da rede;

Agora algumas tarefas que um Firewall não pode realizar (pelo menos até o momento que este artigo está sendo escrito)

– Um Firewall não pode proteger contra vírus;
– Um Firewall não pode proteger contra
ameaças completamente novas: qual será o próximo “furo” descoberto?

Alguns tipos de Firewall

1° – Firewall de Proxy:

Os Firewalls de Proxy agem como “intermediários”; eles aceitam todas as solicitações de tráfego que entra na rede personificando o receptor real do tráfego dentro da rede. Depois de uma inspeção, se ele decidir conceder acesso, o firewall de Proxy envia a informação ao computador de destino. A resposta do computador de destino é enviada ao proxy, que “reempacota” a informação com o endereço de origem do servidor proxy. Através desse processo, o
firewall de Proxy interrompe (ou conclui) a conexão entre os dois computadores, de forma que fica sendo a única máquina que fala com o mundo exterior.

Cada firewall de Proxy pode inspecionar o conteúdo completamente e tomar decisões com base em um nível mais específico e granular de informação. O controle de acesso com essa nuance é atraente para os administradores de rede, no entanto cada  aplicativo precisa de seu próprio proxy ao nível de aplicativo. Redes com firewall de
Proxy também sofrem de um desempenho de tráfego degradado e muitas limitações em suporte de aplicativos e funcionalidade geral.

2° – Firewall de Última Geração

Os Firewalls de última geração foram criados  em resposta à evolução em sofisticação dos aplicativos e Malwares. Os desenvolvedores de aplicativos e Malwares têm conseguido ludibriar a duradoura classificação de tráfego baseada em portas integrando técnicas de evasão de portas em seus programas. Hoje, os Malwares montam nas costas desses aplicativos para entrar nas redes e eles mesmos estão formando uma rede (conectados uns aos outros, nos computadores que eles infectam individualmente).

3° – Firewall com Inspeção de Estado

Atualmente conhecido como o firewall tradicional, um firewall com inspeção de estado permite ou bloqueia tráfego de acordo com o estado, a porta e o protocolo. Ele monitora toda atividade desde o momento em que uma conexão é aberta até que ela seja fechada.

As decisões de filtragem são tomadas de acordo com as regras definidas pelo administrador e com o contexto, o que significa o uso de informações de conexões e pacotes anteriores que pertencem à mesma conexão.

4° – Firewall de Gerenciamento Unificado de Ameaças

Normalmente, um dispositivo UTM combina, de maneira flexível, as funções de um firewall com inspeção de estado e prevenção contra intrusões e antivírus. Ele também pode incluir serviços adicionais e, às vezes, gerenciamento em nuvem. O UTM concentra-se em simplicidade e facilidade de uso.

Firewall UTM e NGFW, principais diferenças

1° Unified Threat Management (UTM) ou Gerenciamento Unificado de Ameaças:
O conceito de Firewall UTM surgiu de forma natural, ao longo do tempo, de acordo com a necessidade e evolução do próprio mercado de segurança. A medida que novos ataques ou vulnerabilidades eram descobertas, incrementava-se o firewall com novos recursos e funcionalidades.

Por conta disso, um UTM pode ser facilmente identificado como um ativo de software e hardware, ou uma combinação entre os dois, que centraliza em plataforma única características de filtragem Stateful, VPN, Proxy Web, Antivírus, IDS/IPS, Inspeção Profunda de Pacote (DPI) etc.

Como limitação ao Firewall UTM, podemos destacar problemas associados a performance, uma vez que todas as funções de segurança estão centralizadas em um único produto. O Problema é evidenciado em ambientes corporativos, com alto volume de pacotes e hardware insuficiente, trazendo prejuízos no que tange processamento das regras de segurança aplicadas no ambiente.

Por outro lado, a centralização pode ser incrivelmente positiva para pequenos e médios negócios, onde um único dispositivo atenderá grande parte das necessidades de segurança, com valores altamente competitivos se comparados a aquisição de produtos individuais para atender separadamente as necessidades.

2° Next Generation Firewall (NGFW) ou Firewall de Próxima Geração:
Firewall de Próxima Geração ou NGFW foram desenvolvidos com a motivação de resolver a deficiência de performance apresentada nos UTMs, entregando recursos de controle de aplicação e inspeção profunda de pacotes em uma arquitetura altamente performática e coesa. Recursos complementares como Proxy Web, proteção contra vírus e Malwares e outros presentes em Firewall UTM não fazem parte da arquitetura de um NGFW, estas
características foram removidas e terceirizadas, garantindo altas taxas de escalabilidade para grandes ambientes.

A principal contribuição do NGFW, esta nos avanços tecnológicos gerados a partir da inspeção profunda de pacotes e na visibilidade de aplicações, independente de protocolos e portas. Esses recursos, em conjunto, permitem não somente que ataques possam ser evitados, mas principalmente criam políticas de controle de acesso mais dinâmicas e eficientes para os desafios atuais de segurança.

É isso!
– Gabriel Santos