Primeiramente precisamos entender que Next Generation Firewall, conhecido também como NGFW, é um conceito recente de firewall, o qual vem com recursos adicionais quando comparado com o modelo tradicional, por exemplo, iptables e pfsense.
Nesse momento vem a pergunta, quais são as diferenças na prática?
Diferentemente de um modelo tradicional de firewall que faz controle de IP de origem, IP de destino, porta de origem, porta de destino e flags de protocolo somente, por exemplo a flag SYN do protocolo TCP. Um Next Generation Firewall vai além, com análises profundas (Deep Inspection) do pacote que é trafegado por ele. Vamos a alguns exemplos práticos:
- Em um NGFW, é possível analisar se um download que está sendo feito contém algum tipo de ameaça, tipo um ransomware, backdoor, minerador de bitcoin, ou outro malware qualquer, conhecido (que já tenha uma assinatura) ou desconhecido (zero day), esse último a análise é feita através de uma sandbox local ou na nuvem, e que é extremamente importante possuir técnicas anti-evasivas e emulação a nível de hardware / CPU para evitar ameaças como Spectre, Meltdown e Rowhammer.
- Em uma outra situação o NGFW agrega função de IPS (Intrusion Prevention System), ou seja, agrega funções que enxergam dentro dos pacotes de rede se existe alguém mal intencionado tentando explorar vulnerabilidades em algum serviço que rode na sua infraestrutura, por exemplo, apache, RDP, Oracle, Tomcat, JBoss, SSH, Nginx, SQL Server e muitos outros. Essa vulnerabilidade pode ser utilizada para derrubar algum serviço (Denial of Service – DOS), ganhar acesso indevido e roubar informações por exemplo (Data Loss – Vazamento de Dados).
- Outra funcionalidade extremamente importante é a de URL Filtering, onde é possível controlar o acesso a milhares de sites não desejados, com base nas políticas da empresa e evitar incidentes de segurança e uso indevido dos recursos de rede da empresa, por exemplo, uso de torrents, sites de Streaming (Netflix, Youtube, Vimeo, etc), Phising, Pornografia, Spyware, de alto risco a segurança, Facebook (é possível dar acesso somente a parte do facebook, evitando acesso ao chat e a likes por exemplo), Whatasapp, Telegram e outras situações não desejadas. Importante é salientar também que esse tipo de firewall possibilita o bloqueio de ferramentas utilizadas normalmente para burlar proxies e firewalls, os anonymizers, como Ultra Surf, web proxy e técnicas tunelamento por exemplo.
- Prevenção contra vazamento de dados (DLP) sensíveis para o negócio.
As features básicas de um Next Generation Firewall são essas:
- VPN and Mobile Device Connectivity
- Identity and Computer Awareness
- URL Filtering
- Application Control
- Intrusion and Threat Prevention
- HTTPS / SSL Inspection
- SandBox
- Data Loss Prevention
Indo um pouco mais além na parte técnica, esse tipo de firewall consegue chegar com sua inspeção na camada 7 do modelo OSI (veja https://pt.wikipedia.org/wiki/Modelo_OSI).
<Esse tipo de firewall é uma peça fundamental na segurança do negócio e na gestão da segurança da TI, devido aos relatórios avançados que fornecem informações extremamente relevantes aos analistas de rede e segurança e aos gestores do negócio, ajudando na identificação rápida de ameaças e consequentemente nas tomadas de decisão.
Diferenças entre firewall NGFW e UTM
O firewall UTM (Unified Threat Management) é uma plataforma onde é unificada diversas soluções de rede, incluindo soluções que não envolvem segurança, como proxy e anti-spam. Essas soluções são normalmente recomendadas para pequenas empresas por serem tudo em um. Em ambientes com exigências maiores esses firewall começam apresentar suas limitações na performance e no nível de efetividade na detecção de ameaças.
O NGFW já possui proteções contra ameaças avançadas (ATP), o que inclui Sandbox, Deep Inspection, tecnologias mais amadurecidas, relatórios avançados e resiliência. Os Next Generation Firewalls são desenvolvidos para suportar ambientes de alta demanda de tráfego e exigência de segurança superiores
Qual é o melhor para o seu cenário?
Isso depende do tamanho da sua rede, o nível de segurança que o negócio exige, a resiliência desejada e o nível de gestão que deseja realizar!
Quer saber como está a segurança da sua empresa? Agende agora seu Security CheckUP!
Check Pont atinte 100% de efetividade nos testes da NSS Labs. Veja!