Como este tema funciona na sua empresa
Firewall simples perimetral. Típico: router ISP com firewalling nativo ou appliance small-form-factor (
Firewall estateful perimetral com IPS integrado (ex: Fortigate, Palo Alto entry). Múltiplas WAN (redundância, load-balancing). VPN site-to-site para escritórios remotos. Segmentação interna básica (DMZ separada). Throughput médio (1-5Gbps). Redundância de firewall (failover ativo-passivo). Investimento: R$ 50-150k.
NGFW perimetral com inspeção aplicação-layer. Múltiplas WAN com failover automático. VPN para milhares de usuários remotos. Segmentação interna granular. Zero Trust com micro-segmentação. Throughput alto (=10Gbps). Redundância ativa-ativa e distribuição geográfica. Integração com SIEM. Investimento: R$ 500k+.
Firewall corporativo é controle perimetral que filtra tráfego de rede baseado em regras predefinidas (origem, destino, protocolo, porta). Não elimina risco, mas reduz superfície de ataque. Tipos: stateful (rastreia conexão), NGFW (inspeção de aplicação), Zero Trust (micro-segmentação). Escolha depende de infraestrutura, ameaça e orçamento.
Tipos de firewall: evolução e diferenças
Firewall Stateless (obsoleto): Verifica cada pacote isoladamente contra regras. Sem memória de conexão. Computacionalmente barato, mas inseguro (spoof de pacotes é trivial). Praticamente não existe mais em produção.
Firewall Stateful (norma): Rastreia estado de conexão. Permite resposta legítima de servidor porque "conexão foi iniciada internamente". Mais caro computacionalmente, mas seguro. Padrão desde anos 2000.
NGFW (Next-Generation Firewall): Adiciona inspeção de aplicação (Layer 7). Não só bloqueia IP/porta, mas analisa payload: detecta malware em HTTP, bloqueia aplicação (ex: bloqueia Netflix mesmo se usa porta 80 legítima). Custo operacional alto (análise de payload é computacionalmente cara).
Zero Trust Firewall: Micro-segmentação. Toda conexão é validada (mesmo interna). Nenhuma confiança implícita. Paradigma novo de segurança: em vez de "criar firewall perimetral e confiar em todos internamente", é "desconfiar de todos, sempre". Complexidade alta, mas reduz risco de insider threat e lateral movement.
Dimensionamento de firewall: throughput, conexões simultâneas
Throughput esperado: <1Gbps (downloads até 500Mbps). Conexões simultâneas: <1000. Firewall básico suficiente. Recomendação: não subestimar crescimento; dimensionar para 2-3x do uso atual.
Throughput: 1-5Gbps. Conexões simultâneas: 5-50k. NGFW com IPS suporta sem saturação. Considerar redundância (ativo-passivo).
Throughput: =10Gbps. Conexões simultâneas: 100k+. NGFW cluster (ativo-ativo) ou distribuído geograficamente. Inspeção SSL (decrypt de HTTPS) adiciona 15-30% overhead.
Regras de firewall: princípio de least privilege
Firewall é efetivo apenas com regras bem-configuradas. Princípio de design: default-deny (bloqueia tudo, exceto explicitamente permitido). Oposto é default-allow (permite tudo, exceto explicitamente bloqueado), que oferece menos segurança.
Exemplo de regra bem-design: "Permite conexão TCP porta 443 (HTTPS) de qualquer origem para 10.0.1.0/24 (servidor web). Bloqueia tudo mais." versus regra fraca: "Permite conexão de qualquer origem para qualquer destino em qualquer porta (exceto alguns bloqueios)". Primeira é segura, segunda oferece false sense.
Firewall de software vs. hardware
Hardware (appliance): Dispositivo físico na borda da rede. Protege toda rede. Geralmente perimetral. Vantagem: uma proteção para todos. Desvantagem: single point of failure, requer design cuidadoso de redundância.
Software (host-based): Agente em cada máquina. Diferente de hardware. Protege máquina individual. Vantagem: granular (regras por máquina), funciona fora da rede corporativa (laptop em casa). Desvantagem: overhead de CPU/memória, gerenciamento complexo em grande escala (N máquinas = N políticas).
Solução típica: hardware perimetral + software em endpoints críticos (combinação em profundidade).
UTM vs. NGFW vs. Zero Trust
UTM (Unified Threat Management): Tudo em um box: firewall + antivírus + IPS + controle de aplicação. Simplifica administração (um device, uma console). Desvantagem: se device falha, todas proteções falham. Tendência: UTM está em declínio em favor de NGFW.
NGFW (Next-Generation Firewall): Focado em detecção de ameaça sofisticada. Inspeção de aplicação, IPS, sandboxing de arquivo. Melhor que UTM em detecção. Custo operacional alto (análise de payload).
Zero Trust: Arquitetura completa, não só firewall. Rejeita perímetro corporativo; assume que qualquer coisa, mesmo interna, pode ser comprometida. Requer micro-segmentação (múltiplas "zonas" de confiança), autenticação forte, auditoria contínua.
Sinais de que firewall corporativo precisa melhorar
Se você se reconhece em dois ou mais cenários abaixo, upgrade é recomendado.
- Firewall está saturado (performance degradado, latência alta)
- Incidentes de segurança revelam tráfego malicioso que firewall não detectou
- Regras de firewall são mantenidas manualmente em spreadsheet (impossível auditar)
- Não há visibilidade de aplicação (firewall bloqueia por IP/porta, não por aplicação)
- Redundância de firewall é ativa-passivo (failover lento) ou inexistente
- VPN de usuários remoto é baseada em firewall deprecated (sem suporte de vendor)
Caminhos para selecionar firewall corporativo
Viável se TI tem expertise em firewall e networking.
- Etapas: Dimensionar throughput/conexões, definir política de segurança, selecionar tipo (stateful, NGFW, Zero Trust)
- Tempo: 4-8 semanas
- Risco: Subdimensionamento ou policies inseguras
Recomendado para upgrade significativo ou primeira implementação complexa.
- Escopo: Design de arquitetura firewall, seleção de vendor, implementação, validação de segurança
- Tempo: 8-16 semanas
- Vantagem: Expertise em design de segurança, validação de requisitos
Precisa de ajuda para dimensionar firewall corporativo?
Se sua empresa está avaliando firewall ou NGFW, o oHub conecta você gratuitamente a especialistas em segurança perimetral e design de rede. Em menos de 3 minutos, descreva sua infraestrutura e receba recomendações.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso.
Perguntas frequentes
Qual é a diferença entre firewall stateful e stateless?
Stateful rastreia estado de conexão (memória). Permite resposta legítima. Seguro. Stateless verifica cada pacote isoladamente. Sem memória. Inseguro (spoof trivial). Stateless é obsoleto; use sempre stateful.
Como escolher firewall corporativo?
Considere: throughput esperado, número de conexões simultâneas, nível de segurança requerido (NGFW vs. stateful), orçamento, redundância necessária. Dimensione 2-3x do uso atual. Valide com prova de conceito.
Qual é o melhor firewall para pequenas empresas?
Fortigate entry-level, Palo Alto PA-200, ou até router ISP com firewalling nativo. Foco: simplicidade, custo baixo, SLA de vendor. Não precisa de NGFW sofisticado; stateful básico é suficiente.
Como dimensionar firewall para minha rede?
Meça: throughput atual (Gbps de tráfego), conexões simultâneas (número de fluxos ativas). Dimensione para 2-3x do pico atual. Considere crescimento futuro. Teste com PoC antes de compra final.
Firewall de software vs. hardware: qual escolher?
Hardware protege toda rede (perimetral). Software protege máquina individual (host-based). Use ambos em profundidade: hardware no perímetro + software em endpoints críticos.
O que é UTM e como diferencia de NGFW?
UTM integra firewall + antivírus + IPS em um box. NGFW é focado em detecção sofisticada com inspeção de aplicação. NGFW é melhor em ameaça; UTM é melhor em simplicidade. Tendência: NGFW está substituindo UTM.