Mais de 30 anos após o conceito de firewall de rede entrar na conversa de segurança, a tecnologia continua sendo uma ferramenta essencial no arsenal de segurança da rede corporativa. Um mecanismo para filtrar o tráfego malicioso antes de cruzar o perímetro da rede, o firewall provou seu valor ao longo das décadas. Mas, como em qualquer tecnologia essencial usada por um longo período de tempo, os desenvolvimentos ajudaram a avançar tanto as capacidades do firewall quanto suas opções de implantação.
O firewall remonta a um período inicial na era moderna da internet, quando os administradores de sistemas descobriram que seus perímetros de rede estavam sendo violados por invasores externos. Havia o destino de haver algum tipo de processo que examinasse o tráfego de rede em busca de sinais claros de incidentes.
Steven Bellovin, então bolsista da AT&T Labs Research e atualmente professor no departamento de ciência da computação da Universidade de Columbia, é geralmente creditado – embora não por si mesmo – com o primeiro uso do termo firewall para descrever o processo de filtragem do tráfego indesejado de rede. O nome era uma metáfora, comparando o dispositivo a partições que impedem um fogo de migrar de uma parte de uma estrutura física para outra. No caso da rede, a ideia era inserir um filtro entre a rede interna ostensivamente segura e qualquer tráfego entrando ou saindo da conexão dessa rede com a internet mais ampla.
O termo tem crescido gradualmente no uso familiar a ponto de nenhuma conversa casual sobre segurança de rede pode ocorrer sem pelo menos mencioná-lo. Ao longo do caminho, o firewall evoluiu para diferentes tipos de firewalls.
Este artigo argumenta arbitrariamente que existem cinco tipos-chave de firewalls que usam diferentes mecanismos para identificar e filtrar o tráfego malicioso, mas o número exato de opções não é tão importante quanto a ideia de que diferentes tipos de produtos de firewall fazem coisas bastante diferentes. Além disso, as empresas podem precisar de mais de um dos cinco firewalls para proteger melhor seus sistemas. Ou um único firewall pode fornecer mais de um desses tipos de firewall. Há também três diferentes opções de implantação de firewall a considerar, que vamos explorar com mais detalhes.
Cinco tipos de firewall incluem o seguinte:
- firewall de filtragem de pacotes
- gateway de nível de circuito
- gateway de nível de aplicativo (também conhecido como firewall proxy)
- firewall de inspeção imponente
- firewall de próxima geração (NGFW)
Dispositivos e serviços de firewall podem oferecer proteção além da função de firewall padrão — por exemplo, fornecendo um sistema de detecção ou prevenção de intrusões (IDS/IPS), proteção contra ataques de negação de serviço (DoS), monitoramento de sessões e outros serviços de segurança para proteger servidores e outros dispositivos dentro da rede privada. Embora alguns tipos de firewalls possam funcionar como dispositivos de segurança multifuncionais, eles precisam fazer parte de uma arquitetura multicamadas que executa políticas eficazes de segurança corporativa.
Como funcionam os diferentes tipos de firewalls?
Os firewalls são tradicionalmente inseridos em linha em uma conexão de rede e olham para todo o tráfego que passa por esse ponto. Ao fazê-lo, eles são encarregados de dizer qual tráfego de protocolo de rede é benigno e quais pacotes fazem parte de um ataque.
Os firewalls monitoram o tráfego contra um conjunto de regras predeterminadas que são projetadas para peneirar conteúdo nocivo. Embora nenhum produto de segurança possa prever perfeitamente a intenção de todo o conteúdo, os avanços na tecnologia de segurança tornam possível aplicar padrões conhecidos em dados de rede que sinalizaram ataques anteriores a outras empresas.
Todos os firewalls aplicam regras que definem os critérios sob os quais um determinado pacote – ou conjunto de pacotes em uma transação – pode ser encaminhado com segurança para o destinatário pretendido.
Aqui estão os cinco tipos de firewalls que continuam desempenhando papéis significativos em ambientes corporativos hoje.
1. Firewall de filtragem de pacotes
Firewalls de filtragem de pacotes operam em linha de junção em pontos de junção onde dispositivos como roteadores e switches fazem seu trabalho. No entanto, esses firewalls não roteiam pacotes; em vez disso, eles comparam cada pacote recebido a um conjunto de critérios estabelecidos, como os endereços IP permitidos, o tipo de pacote, o número da porta e outros aspectos dos cabeçalhos do protocolo do pacote. Os pacotes que são sinalizados como problemáticos são, em geral, sem cerimônias descartados – ou seja, eles não são encaminhados e, portanto, deixam de existir.
Vantagens do firewall de filtragem de pacotes
- Um único dispositivo pode filtrar o tráfego de toda a rede
- Extremamente rápido e eficiente na varredura do tráfego
- barato
- Efeito mínimo em outros recursos, desempenho da rede e experiência do usuário final
Desvantagens do firewall de filtragem de pacotes
- Como a filtragem de tráfego é baseada inteiramente em endereço IP ou informações de porta, a filtragem de pacotes carece de um contexto mais amplo que informa outros tipos de firewalls
- Não verifica a carga e pode ser facilmente falsificado
- Não é uma opção ideal para cada rede
- Listas de controle de acesso podem ser difíceis de configurar e gerenciar
A filtragem de pacotes pode não fornecer o nível de segurança necessário para cada caso de uso, mas há situações em que este firewall de baixo custo é uma opção sólida. Para organizações pequenas ou com restrições orçamentárias, a filtragem de pacotes fornece um nível básico de segurança que pode fornecer proteção contra ameaças conhecidas. Empresas maiores também podem usar filtragem de pacotes como parte de uma defesa em camadas para rastrear tráfego potencialmente prejudicial entre departamentos internos.
2. Gateway de nível de circuito
Usando outra maneira relativamente rápida de identificar conteúdo malicioso, os gateways de nível de circuito monitoram apertos de mão TCP e outras mensagens de iniciação de sessão de protocolo de rede em toda a rede à medida que são estabelecidas entre os hosts locais e remotos para determinar se a sessão que está sendo iniciada é legítima — se o sistema remoto é considerado confiável. Eles não inspecionam os pacotes sozinhos, no entanto.
Vantagens do gateway em nível de circuito
- Apenas processos solicitados de transações; todo o tráfego outro é rejeitado
- Fácil de configurar e gerenciar
- Baixo custo e impacto mínimo na experiência do usuário final
Desvantagens do gateway de nível de circuito
- Se eles não forem usados em conjunto com outras tecnologias de segurança, os gateways de nível de circuito não oferecem proteção contra vazamento de dados de dispositivos dentro do firewall
- Sem monitoramento de camadas de aplicativos
- Requer atualizações contínuas para manter as regras em dia
Embora os gateways de nível de circuito forneçam um nível de segurança mais alto do que firewalls de filtragem de pacotes, eles devem ser usados em conjunto com outros sistemas. Por exemplo, os gateways de nível de circuito são normalmente usados ao lado de gateways de nível de aplicativo. Essa estratégia combina atributos de firewalls de gateway em nível de pacote e circuito com filtragem de conteúdo.
3. Gateway de nível de aplicativo
Este tipo de dispositivo – tecnicamente um proxy e às vezes referido como um firewall proxy – funciona como o único ponto de entrada para e ponto de saída da rede. Os gateways de nível de aplicativo filtram pacotes não apenas de acordo com o serviço para o qual eles são destinados – conforme especificado pela porta de destino – mas também por outras características, como a sequência de solicitação HTTP.
Embora os gateways que filtram na camada de aplicativos forneçam considerável segurança de dados, eles podem afetar drasticamente o desempenho da rede e podem ser desafiadores de gerenciar.
Vantagens do gateway em nível de aplicativo
- Examina todas as comunicações entre fontes externas e dispositivos atrás do firewall, verificando não apenas informações de endereço, porta e cabeçalho TCP, mas o conteúdo em si antes de permitir que qualquer tráfego passe pelo proxy
- Fornece controles de segurança finos que podem, por exemplo, permitir o acesso a um site, mas restringir quais páginas nesse site o usuário pode abrir
- Protege o anonimato do usuário
Desvantagens do gateway de nível de aplicativo
- Pode inibir o desempenho da rede
- Mais caro do que algumas outras opções de firewall
- Requer um alto grau de esforço para obter o benefício máximo do gateway
- Não funciona com todos os protocolos de rede
Firewalls em camadas de aplicativos são mais usados para proteger os recursos corporativoscontra ameaças de aplicativos web . Ambos podem bloquear o acesso a sites prejudiciais e evitar que informações confidenciais sejam vazadas dentro do firewall. Eles podem, no entanto, introduzir um atraso nas comunicações.
4. Firewall de inspeção estatal
Os dispositivos com reconhecimento de estado não apenas examinam cada pacote, mas também acompanham se esse pacote faz parte ou não de um TCP estabelecido ou de outra sessão de rede. Isso oferece mais segurança do que filtragem de pacotes ou monitoramento de circuito sozinho, mas exige um maior pedágio no desempenho da rede.
Outra variante da inspeção imponente é o firewall de inspeção multicamadas, que considera o fluxo de transações em processo em várias camadas de protocolo do modelo DE INTERCONexão de Sistemas Abertos (OSI)de sete camadas.
Vantagens do firewall de inspeção imponente
- Monitora toda a sessão para o estado da conexão, ao mesmo tempo em que verifica endereços IP e cargas para obter uma segurança mais completa
- Oferece um alto grau de controle sobre o conteúdo que é deixado dentro ou fora da rede
- Não precisa abrir inúmeras portas para permitir o tráfego dentro ou fora
- Oferece recursos de registro substantivos
Desvantagens do firewall de inspeção imponente
- Recursos intensivos e interfere na velocidade das comunicações de rede
- Mais caro do que outras opções de firewall
- Não fornece recursos de autenticação para validar que as fontes de tráfego não são falsificadas
A maioria das organizações se beneficia do uso de um firewall de inspeção imponente. Esses dispositivos servem como um gateway mais completo entre computadores e outros ativos dentro do firewall e recursos além da empresa. Eles também podem ser altamente eficazes na defesa de dispositivos de rede contra ataques específicos, como o DoS.
5. Firewall de última geração
Um NGFW típico combina inspeção de pacotes com inspeção imponente e também inclui alguma variedade dedPI(deep packet inspection, bem como outros sistemas de segurança de rede), como um IDS/IPS, filtragem de malware e antivírus.
Enquanto a inspeção de pacotes em firewalls tradicionais olha exclusivamente para o cabeçalho do protocolo do pacote, o DPI olha para os dados reais que o pacote está carregando. Um firewall DPI rastreia o progresso de uma sessão de navegação na Web e pode notar se uma carga de pacote, quando montada com outros pacotes em uma resposta de servidor HTTP, constitui uma resposta legítima em formato HTML.
Vantagens do NGFW
- Combina DPI com filtragem de malware e outros controles para fornecer um nível ideal de filtragem
- Rastreia todo o tráfego da Camada 2 até a camada do aplicativo para obter insights mais precisos do que outros métodos
- Pode ser atualizado automaticamente para fornecer contexto atual
Desvantagens da NGFW
- Para obter o maior benefício, as organizações precisam integrar NGFWs com outros sistemas de segurança, o que pode ser um processo complexo
- Mais caro do que outros tipos de firewall
As NGFWs são uma salvaguarda essencial para organizações em indústrias fortemente regulamentadas, como saúde ou finanças. Esses firewalls fornecem capacidade multifuncional,o que atrai aqueles com uma forte compreensão sobre o quão virulento é o ambiente de ameaças. As NGFWs funcionam melhor quando integradas com outros sistemas de segurança, o que, em muitos casos, requer um alto grau de experiência.
Métodos de entrega de firewall
À medida que os modelos de consumo de TI evoluíram, as opções de implantação de segurança também evoluíram. Firewalls hoje podem ser implantados como um aparelho de hardware, ser baseado em software ou ser entregue como um serviço.
Firewalls baseados em hardware
Um firewall baseado em hardware é um aparelho que atua como um gateway seguro entre dispositivos dentro do perímetro da rede e aqueles fora dele. Por serem aparelhos autônomos, firewalls baseados em hardware não consomem energia de processamento ou outros recursos dos dispositivos host.
Às vezes chamados de firewalls baseados em rede,esses aparelhos são ideais para organizações médias e grandes que buscam proteger muitos dispositivos. Firewalls baseados em hardware exigem mais conhecimento para configurar e gerenciar do que seus homólogos baseados em host.
Firewalls baseados em software
Um firewall baseado em software ou firewall de hosté executado em um servidor ou outro dispositivo. O software de firewall host precisa ser instalado em cada dispositivo que necessita de proteção. Como tal, firewalls baseados em software consomem alguns dos recursos de CPU e RAM do dispositivo host.
Firewalls baseados em software fornecem aos dispositivos individuais proteção significativa contra vírus e outros conteúdos maliciosos. Eles podem discernir diferentes programas em execução no host, enquanto filtram o tráfego de entrada e saída. Isso fornece um nível de controle fino, possibilitando permitir comunicações de/para um programa, mas impedi-lo de/de outro.
Firewalls em nuvem/hospedados
Os MSSPs (Managed Security Service Providers, provedores de serviços de segurança gerenciados) oferecem firewalls baseados em nuvem. Este serviço hospedado pode ser configurado para acompanhar tanto a atividade interna da rede quanto ambientes sob demanda de terceiros. Também conhecido como firewall como serviço,firewalls baseados em nuvem podem ser totalmente gerenciados por um MSSP, tornando-se uma boa opção para grandes ou altamente distribuídas empresas com lacunas nos recursos de segurança. Firewalls baseados em nuvem também podem ser benéficos para organizações menores com funcionários e conhecimentos limitados.
Qual firewall é melhor para sua empresa?
Escolher o tipo certo de firewall significa responder perguntas sobre o que o firewall está protegendo, quais recursos a organização pode pagar e como a infraestrutura é arquiteta. O melhor firewall para uma organização pode não ser adequado para outra.
As questões a serem consideradas incluem as seguintes:
- Quais são os objetivos técnicos para o firewall? Um produto mais simples pode funcionar melhor do que um firewall com mais recursos e recursos que podem não ser necessários?
- Como o firewall em si se encaixa na arquitetura da organização? Considere se o firewall pretende proteger um serviço de baixa visibilidade exposto na internet ou em um aplicativo web.
- Que tipos de inspeção de trânsito são necessárias? Alguns aplicativos podem exigir o monitoramento de todos os conteúdos do pacote, enquanto outros podem simplesmente classificar pacotes com base em endereços de origem/destino e portas.
Muitas implementações de firewall incorporam recursos de diferentes tipos de firewalls, por isso, escolher um tipo de firewall raramente é uma questão de encontrar um que se encaixe perfeitamente em qualquer categoria específica. Por exemplo, um NGFW pode incorporar novos recursos,juntamente com alguns daqueles de firewalls de filtragem de pacotes, gateways de nível de aplicativo ou firewalls de inspeção imponentes.
A escolha do firewall ideal começa com a compreensão da arquitetura e funções da rede privada que está sendo protegida, mas também exige a compreensão dos diferentes tipos de firewalls e políticas de firewall que são mais eficazes para a organização.
Qualquer tipo(s) de firewalls que você escolher, tenha em mente que um firewall mal configurado pode, de certa forma, ser pior do que nenhum firewall, porque ele empresta a perigosa falsa impressão de segurança, ao mesmo tempo em que fornece pouca ou nenhuma proteção.
FONTE: TECHTARGET