O que é um firewall e por que ele é importante? [Guia para iniciantes]

Em nossa sociedade, privacidade e segurança online são mercadorias raras. As estatísticas dizem isso.

Todos os anos, bilhões de registros são expostos . Não só isso, mas há mais de 900 milhões de malware solto no mundo online. Portanto, surge uma pergunta razoável - existe uma maneira de qualquer um de nós estar seguro?

Felizmente, VPNs e software anti-malware podem ajudar a proteger seu tráfego, mas às vezes eles não podem fazer muito. Você precisa de algo para liderar suas tropas defensivas contra as massas de inimigos no espaço online.

É aqui que entra o firewall.

Mas o que é um firewall ?

Na construção, um firewall é uma parede de concreto (na maioria dos casos) com um único propósito - impedir que um eventual incêndio se espalhe por todo o edifício.

A palavra “ firewall ” em computação deriva do termo usado em arquitetura. Seu objetivo é o mesmo - impedir que qualquer perigo se espalhe por uma rede.

É um dos elementos cruciais da segurança da rede .

Tudo bem, vamos descobrir o que é um firewall , como funciona e por que é importante ter um.

O que é um firewall?

Para definir um firewall , pense na Grande Muralha da China.

As pessoas vêm construindo muros há séculos para se protegerem dos inimigos. Seja mongóis, caminhantes brancos ou criminosos cibernéticos. Por exemplo, Genghis Khan do Império Mongol conseguiu romper a Grande Muralha da China não uma, mas várias vezes. O firewall, porém, é algo diferente. É eficiente .

Então, aqui está a definição de firewall :

Um firewall é um sistema de proteção que protege uma rede filtrando o tráfego de entrada e saída. O usuário do firewall define um conjunto de regras que o firewall segue. Essas regras definem qual tráfego é permitido dentro e fora do sistema. Os firewalls bloqueiam todos os pacotes de dados que não são explicitamente permitidos em sua configuração.

O firewall não é uma solução mágica, mas, combinado com outras soluções de segurança, pode tornar um sistema quase invencível a ataques. Se você deseja melhor segurança de rede , um firewall é essencial - ele pode bloquear a maioria dos ataques originados fora da rede.

Agora que você sabe o que é um firewall , podemos nos aprofundar para ver como ele realmente funciona.

O que um firewall faz?

Em essência, o trabalho de um firewall é relativamente simples. O usuário define qual tráfego pode passar e qual não pode. Geralmente, ele impõe três comandos simples - descartar , rejeitar ou aceitar / permitir acesso à rede.

Aqui está o que eles fazem:

• Drop - O pacote de dados que tenta entrar ou sair do sistema é bloqueado diretamente.
• Rejeitar - O mesmo que o comando drop, mas o remetente dos dados receberá uma mensagem de erro.
• Aceitar / Permitir - O pacote de dados poderá passar pelo firewall.

Esses três comandos funcionam graças a regras predefinidas. Quando os usuários estabelecem um novo firewall, eles configuram qual tráfego pode alcançar a rede ou sair dela.

O firewall pode bloquear (ou permitir) o acesso com base não apenas em endereços IP , mas também em nomes de domínio , palavras-chave , protocolos , portas e aplicativos .

Por exemplo, você pode definir as configurações de um firewall para aceitar tráfego apenas do endereço IP residencial de um funcionário. Dessa forma, se o mesmo funcionário tentasse se conectar à sua rede de um café, ele seria bloqueado.

O firewall verifica cada pacote de dados de acordo com as regras predefinidas. Se você adicionou 10 endereços IP confiáveis, o firewall bloqueará todos os pacotes vindos de IPs fora da lista . Caso existam várias regras, cada conexão deverá passar por todas elas com sucesso.

Geralmente, um usuário não pode prever todas as conexões possíveis. Portanto, para que um firewall funcione sempre que as regras específicas não se aplicam, existe uma política padrão em vigor.

Política padrão de firewall

Se sua solução de segurança de firewall receber um pacote de dados para o qual as regras geradas pelo usuário não se aplicam, a política padrão entra em ação. Nesse caso, ele executa apenas um dos três comandos mencionados acima.

Vamos supor que a política padrão do firewall esteja definida como “ permitir”. Isso significa que todas as conexões, exceto as explicitamente proibidas, são aprovadas. Na verdade, este é um protocolo de segurança péssimo, pois, nesse caso, pacotes de dados maliciosos podem facilmente se infiltrar na rede.

Se a política padrão for definida como “descartar”, ela negligenciará todas as conexões que não correspondem às regras.

Agora.

Há uma diferença em como um firewall reage ao tráfego. Há tráfego de entrada e saída , portanto, regras diferentes para ambos.

Normalmente, o tráfego de saída é sempre permitido, uma vez que vem de uma fonte presumivelmente confiável - seu servidor.

No entanto, deve haver algumas limitações, uma vez que um cibercriminoso pode, em teoria, ultrapassar o servidor. Se você acha que pode ser o caso, não vai querer comunicação não confiável (como o compartilhamento de dados confidenciais).

O firewall da rede trata o tráfego de entrada de uma maneira diferente - é necessário um monte de regras para cada caso específico. Maximizar os benefícios de segurança de um firewall pode ser um trabalho cansativo.

Como você já tem um conhecimento bastante razoável do que é um firewall , vamos ver as diferenças entre os vários tipos de firewalls .

Tipos de firewalls

Não existe um firewall para controlar todos eles. Os firewalls vêm em embalagens diferentes e têm maneiras diferentes de filtrar o tráfego.

Existem três tipos mais comuns de firewalls - filtragem de pacotes , com monitoração de estado e nível de aplicativo .

Filtragem de Pacotes

A filtragem de pacotes é a primeira geração de firewalls .

Quando um firewall usa esse método, ele verifica cada pacote de dados que entra ou sai da rede. Este firewall oferece proteção aceitando ou descartando pacotes com base nas regras definidas pelo usuário.

A filtragem de pacotes é uma opção de segurança decente, mas definitivamente não é a melhor. Além disso, requer muito tempo e esforço para configurar.

Stateful Firewall

Firewalls com estado, também conhecidos como firewalls de segunda geração , podem comparar pacotes de dados com os anteriores. Isso faz com que este tipo de firewall mais flexível do que os pacotes de filtragem (também conhecidos como sem estado). Firewalls com estado, em essência, trocam velocidade por segurança melhor.

Em palavras simples, os firewalls com monitoramento de estado podem “lembrar” as transferências de dados de ou para uma rede confiável, aplicando assim as regras de firewall a toda a comunicação . A filtragem de pacotes, por outro lado, deve medir cada pacote de dados em relação às suas regras.

Gateway de nível de aplicativo / Firewall de servidor proxy

Agora você sabe que os dois tipos anteriores de firewall controlam o tráfego de entrada e saída. O firewall de terceira geração - camada de aplicativo vai um passo além e analisa os dados, permitindo ou negando o acesso a aplicativos específicos (daí seu nome). Ele tem a capacidade de bloquear aplicativos e serviços que não atendam à política definida pelo usuário.

Tudo bem, então esses eram os três principais tipos de firewalls .

No entanto, isso não significa que um firewall use apenas uma dessas técnicas. Na verdade, um bom firewall de rede combina dois ou todos esses métodos para fornecer um nível mais alto de segurança.

Essas abordagens estão no centro de todo firewall de software . Além disso, pode haver um firewall de hardware também, para melhorar a segurança do firewall .

Firewall de Hardware

Os firewalls de hardware geralmente são dispositivos com tecnologia de filtragem de pacotes embutida. Eles podem ser um dispositivo autônomo ou ser implementados em um roteador de banda larga . Por serem a primeira linha de defesa contra dados maliciosos, os firewalls de hardware visam proteger todos os sistemas em uma rede local, cobrindo seus pontos de entrada e saída .

Um dos benefícios dos firewalls de hardware é que eles são fáceis de configurar. Depois de configurado, você pode testá-lo com qualquer uma destas ferramentas gratuitas: NMap , Tenable e Personal Firewall .

Firewall de software

O firewall de software , também conhecido como firewall baseado em host, é o método mais comum de proteção para indivíduos. Ao contrário do firewall de hardware , um firewall de software protege apenas o dispositivo em que está instalado, não toda a rede. Para melhor segurança, é melhor usar ambos, que é chamado de firewall baseado em rede .

Os firewalls de software permitem que os usuários definam alguns de seus recursos, mas não oferecem as opções de personalização total que um firewall de hardware oferece.

A maioria dos firewalls de software não protege você apenas de ameaças externas, mas também de alguns dos aplicativos maliciosos mais comuns. GlassWire é um exemplo perfeito de tal aplicativo de segurança.

Como acontece com a maioria dos elementos de segurança, é vital manter seu firewall atualizado.

Firewall de última geração

Em 2009, a empresa de consultoria Gartner definiu o termo “firewall de próxima geração”. Como o nome sugere, é uma versão aprimorada dos firewalls tradicionais .

Firewalls de última geração (NGFW) aplicam suas políticas para aplicativos, protocolos e também portas.

Ao contrário dos firewalls tradicionais, o NGFW executa o que é chamado de inspeção profunda de pacotes (DPI). Esse método difere da filtragem de pacotes convencional, que verifica apenas o cabeçalho do pacote. O DPI, por outro lado, examina os dados dentro de um pacote para verificar se o pacote é seguro ou não.

A inspeção profunda de pacotes combina um sistema de detecção de intrusão (IDS), um sistema de prevenção de intrusão (IPS) e o firewall com estado tradicional.

A maioria das empresas usa um firewall de rede de última geração , pois oferece melhor segurança geral. É uma solução mais complexa, que fornece não apenas filtragem de pacotes de dados, mas também detecta aplicativos maliciosos.

Alguns firewalls de última geração podem até detectar e bloquear ataques de ransomware como WannaCry, NotPetya, etc. Eles também podem impedir e-mails de phishing e outros tipos de ataques cibernéticos .

Este último também é conhecido como NGFW focado na ameaça . Esses firewalls oferecem todas as possibilidades dos firewalls comuns de nova geração - além da detecção avançada de ameaças. Os modelos de potência de fogo da Cisco são um exemplo típico de NGFW focado em ameaças.

Fornecedores populares de firewall

As empresas hoje preferem drasticamente o NGFW como um elemento central em sua estrutura de segurança.

O que diferencia esses produtos é como qualquer outro dispositivo de segurança. Atributos como preço, desempenho, facilidade de uso - a empresa leva tudo isso e muito mais em consideração ao adquirir uma solução NGFW.

Portanto, revisaremos os fornecedores de firewall pelo tamanho do mercado que controlam.

Cisco Firepower Next-Generation Firewall

O firewall de próxima geração da Cisco se orgulha de sua proteção de espectro completo contra ameaças. (Ou seja, antes, durante e depois de um ataque.)

Suas soluções de hardware vêm com proteção contra malware avançada integrada, sandbox e um sistema de prevenção de intrusão de última geração. Sandboxing significa que o firewall coloca aplicativos potencialmente perigosos em uma ”sandbox”, isolando-os em um ambiente mais seguro de onde não podem alcançar a rede.

O que é ainda mais legal é que a empresa afirma que seu NGFW pode detectar uma infecção em menos de um dia .

Esse é um recurso útil, pois a pesquisa mostra uma média de 100 dias desde a infecção até a detecção.

Todos esses extras não são baratos, no entanto. Seus preços podem chegar a mais de US $ 175.000 para um Cisco Firepower 4150.

Palo Alto Networks

O NGFW da Palo Alto Networks oferece a seus usuários uma rede rápida com “pouco ou nenhum impacto na latência da rede”. Seu firewall de rede pode proteger todos os dispositivos que se conectam à rede de qualquer parte do globo , graças ao seu sistema GlobalProtect.

Naturalmente, ele vem com proteção contra vírus, worms e outros aplicativos maliciosos.

Os preços de seus produtos estão no alto escalão, mas também a qualidade da segurança que você obtém em troca.

FortiGate by Fortinet

Uma opção mais acessível, mas sem comprometer a segurança, o Fortinet NGFW é uma excelente opção. Batizado de FortiGate, esse firewall de rede vem com automação que pode reduzir a necessidade de uma equipe de segurança real.

O FortiGate também afirma fornecer latência “ultrabaixa” e atualizações de inteligência de ameaças certificadas independentemente.

Seus modelos são um pouco mais baratos do que os de seus concorrentes, embora alguns modelos ainda possam custar até US $ 500.000 por ano.

Check Point Software Technologies

Os NGFWs da Check Point se destacam por seu console de gerenciamento unificado. Ele oferece controle de gerenciamento centralizado sobre todas as redes (incluindo as baseadas em nuvem). Isso facilita o gerenciamento da segurança da rede.

Este firewall de rede protege contra ransomware , exploits de dia zero e muitos outros ataques cibernéticos. O firewall de próxima geração da Checkpoint se baseia em recursos NGFW tradicionais, como IPS, VPN e controle de aplicativo. Além disso, o Checkpoint adiciona melhorias importantes, como firewalls virtuais em nuvens públicas e privadas .

Um dos outros benefícios da Fortinet é que seus produtos são mais acessíveis .

Essas quatro empresas se destacam como " líderes " na indústria de firewall,

Embrulhar

Abordamos os princípios básicos do que é um firewall , como funciona e os diferentes tipos de firewalls . Qualquer que seja o tipo de firewall de rede que você escolher - é o que fica nos pontos de entrada e saída do seu sistema.

Não importa se você é o responsável por uma empresa, o proprietário de uma SMB ou apenas um funcionário comum - ter um firewall é essencial. Sem ele, sua rede fica vulnerável a todos os tipos de ataques cibernéticos.

Felizmente, você tem muitas opções para escolher - seja software, hardware ou ambos.

Fique seguro online e vejo você na próxima vez.