O termo "Next Generation Firewall" ganhou força recentemente quando o Gartner Group indicou, no relatório da última versão do Quadrante Mágico para firewalls, esse tipo de solução. Segundo o Gartner as empresas devem, já na próxima mudança de sistema de segurança, procurar uma solução de Next Generation Firewall e não perder a oportunidade de partir para esse tipo de sistema.Obviamente todos os fabricantes passaram a usar, de uma maneira ou outra, esse termo para definir seus novos produtos, mas será que são todos mesmo Next Generation Firewalls?
A grande diferença entre um firewall tradicional e um Next Generation é a forma como o administrador indica o que pode ou não pode ser feito. No Next Generation Firewall a configuração das regras e políticas de segurança utiliza uma forma diferente, que torna o trabalho do administrador mais intuitivo e simples.
No firewall tradicional as regras são baseadas principalmente nos parâmetros do TCP/IP: endereço de origem e destino, tipo de protocolo, porta, etc. Tudo isso é uma linguagem técnica complexa, que exige um bom conhecimento de redes por parte dos administradores.
Cabe ao administrador compreender como cada protocolo funciona e criar uma regra. Além de trabalhoso é algo que exige do administrador experiência e muitas empresas sofre com falta de profissionais capazes de manter apropriadamente as regras.
Por outro lado a forma como se acessa a Internet está mudando. Por questão de redundância e eficiência um mesmo site fica hospedado em vários servidores espalhados pela Internet (diversos endereços IPs) e um site pode conter serviços importantes e inúteis/perigosos ao mesmo tempo (ex.: Facebook pode conter informações importantes sobre concorrentes para comparação e ao mesmo tempo jogos que apenas distraem o usuário).
Um outro problema é que estão surgindo aplicações cujo objetivo é driblar essas regras de firewall, usando as regras permitidas como brecha para acessar serviços não permitidos.
O grande efeito prático é que custa caro para as empresas (salário de profissionais ou valores de consultoria) manterem os firewalls tradicionais funcionando apropriadamente e mesmo assim nem sempre estão conseguindo implementar uma política adequada.
Dessa forma os Next Generation Firewall chegam para tentar resolver esses problemas.
Em primeiro lugar o administrador de um Next Generation Firewall não precisa mais saber a porta TCP ou endereço IP de um serviço. O Next Generation Firewall "conhece" os serviços e permite ao administrador liberar ou não baseado no nome desses serviço.
Por exemplo, um administrador quer liberar acesso ao Linkedin e aos sites corporativos do Facebook, mas quer proibir jogos do Facebook. Para isso o administrador indica "liberar Linkedin", "liberar Facebook corporativo", proibir "Facebook jogos". O Next Generation Firewall conhece todos esses serviços e já tem pronta as regras.
Além disso o Next Generation Firewall inspeciona todos os pacotes, procurando por mecanismos que tentem burlar as regras.
Outra característica do Next Generation Firewall é a capacidade de identificar cada usuário, independentemente de onde ele esteja e de qual equipamento esteja utilizando (hoje em dia é comum o mesmo usuário se conectar na rede através do seu computador, tablet e smartphone, tudo ao mesmo tempo). Assim o Next Generation Firewall identifica o usuário (e não apenas o seu endereço IP) para saber o que ele pode ou não fazer.
Em resumo, o Next Generation Firewall é mais simples de configurar. Sendo mais simples ele acaba trazendo algumas vantagens importantes:
- a empresa não necessita de um profissional tão especializado. Isso significa redução de custos em consultorias ou certificação de pessoal.
- por "absorver" as complexidades cada vez maiores dos tipos de acessos feitos pelos usuários.
Meu Twitter: http://twitter.com/mlrodrig
Comentários