O firewall de um roteador é suficiente para uso doméstico?

Para uso doméstico comum, sim – um roteador stateful com configurações padrão bloqueia o tráfego de entrada não solicitado, que é a principal ameaça externa. Combine-o com um firewall de sistema operacional razoável em cada dispositivo e você terá coberto o básico. Os firewalls de nível empresarial adicionam recursos (IPS, controle de aplicativos, concentrador VPN) que o uso doméstico normalmente não precisa.

Uma VPN contorna um firewall?

De dentro, sim – o tráfego de saída para o endpoint da VPN é um fluxo permitido; todo o resto passa dentro desse túnel. A maioria dos firewalls corporativos bloqueia portas VPN comuns especificamente por causa disso. Do lado de fora, não – o firewall ainda envia tráfego de entrada não solicitado para o serviço VPN, a menos que seja explicitamente permitido.

Qual é a diferença entre um firewall e um IPS?

Um firewall permite ou bloqueia com base em regras sobre cabeçalhos (e cada vez mais cargas úteis). Um IPS (Sistema de Prevenção de Intrusões) inspeciona ativamente o tráfego em busca de padrões de ataque ou anomalias conhecidas e pode bloquear a detecção. Os firewalls modernos agrupam a funcionalidade IPS; conceitualmente, são características distintas.

Posso simplesmente desligar o firewall para corrigir um problema de conexão?

Não faça isso, mesmo temporariamente. Se uma conexão exigir o desligamento do firewall, há uma porta ou regra específica que precisa ser aberta – descubra qual. Desativar o firewall durante a “depuração” foi o início de muitos incidentes reais.

O que é um firewall de aplicativo da Web?

Um WAF é um firewall especializado que entende HTTP. Ele inspeciona caminhos de URL, cabeçalhos, corpos de solicitação e cookies e aplica regras contra padrões de ataque conhecidos (injeção de SQL, XSS, injeção de comando). Ele é executado na frente de aplicativos da web, geralmente como parte de um CDN como Cloudflare ou AWS WAF. Ele complementa, em vez de substituir, os firewalls da camada de rede.

Firewalls explicados: filtragem de pacotes, inspeção de estado e o que a segurança de rede moderna realmente faz

Um firewall é a peça de segurança de rede mais antiga ainda em uso generalizado, e o termo se expandiu para abranger tudo, desde um roteador doméstico de US$ 30 até um dispositivo empresarial de um milhão de dólares. Compreender o que cada geração realmente faz – e o que não faz – explica por que “temos um firewall” quase nunca é uma resposta suficiente para uma questão de segurança.

O corpo completo do artigo é fornecido em inglês abaixo.

A firewall é um sistema que controla o tráfego de rede entre duas zonas com base em um conjunto de regras. O tráfego é permitido, negado ou transformado; as zonas são normalmente "dentro" (uma rede confiável) e "fora" (a Internet pública), embora a microssegmentação moderna tenha muitas zonas.

Gerações de firewalls

A capacidade de firewall evoluiu através de gerações identificáveis, cada uma adicionando-se à última:

Filtros de pacotes (década de 1980). Regras sem estado sobre endereços IP, números de porta e protocolos. Permitir TCP/443 para 198.51.100.0/24, negar todo o resto. Barato e rápido; não é possível identificar o tráfego de retorno de novas conexões.
Inspeção de estado (década de 1990). Rastreia o estado das conexões TCP. “Permitir tráfego de retorno para conexões estabelecidas” torna-se possível, melhorando drasticamente a precisão e a segurança das regras. O Check Point FireWall-1 foi pioneiro nisso em 1993.
Firewalls da camada de aplicação (década de 2000). Inspecione a carga útil, não apenas os cabeçalhos. Firewalls com reconhecimento de HTTP (firewalls de aplicativos da Web) entendem URLs, métodos, cookies e podem aplicar políticas como "somente POST é permitido para /api/login." Palo Alto, Fortinet, Check Point, Cisco vendem variantes.
Zero Confiança / reconhecimento de identidade (2020). A autorização é por solicitação, com base na identidade do usuário, postura do dispositivo e política dinâmica - não na zona da rede. A função de firewall se confunde com proxies de acesso mais amplos (Cloudflare Access, Zscaler, BeyondCorp).

A estrutura básica de regras

Cada regra de firewall tem aproximadamente os mesmos campos:

Fonte - IP ou intervalo, às vezes interface
Destino - IP ou intervalo
Protocol - TCP, UDP, ICMP, ESP, etc.
Porta de origem - geralmente any
Porta de destino — o serviço que está sendo acessado
Action — ALLOW, DENY, LOG, REJECT

As regras são avaliadas de cima para baixo. A primeira partida vence, então a ordem é importante. O padrão tradicional: permitir exceções específicas e, em seguida, negar padrão.

Stateful vs stateless: por que a distinção é importante

Um filtro stateless deve permitir ambas as direções de uma conexão TCP separadamente. Permitir TCP/443 de saída; permitir respostas TCP/443 de entrada com o bit ACK definido. A regra de entrada permite qualquer pacote com ACK – incluindo pacotes de sondagem não solicitados criados com esse bit. Atacantes reais usam isso há anos.

Um firewall com estado rastreia cada conexão por sua tupla de 5 (IP de origem, porta de origem, IP de destino, porta de destino, protocolo) e lembra em que direção a iniciou. O tráfego de retorno é comparado com a tabela de conexão; pacotes não solicitados que fingem ser respostas não têm entrada e são descartados. Efetivamente, todos os firewalls modernos são stateful.

Firewalls host versus firewalls de rede

A firewall host é executado no próprio endpoint – Firewall do Windows, pf no macOS, nftables/iptables no Linux. Filtra o tráfego na pilha de rede do sistema operacional antes que os aplicativos o vejam. Fácil de ignorar se o endpoint estiver comprometido, mas interrompe a verificação de rede oportunista.

A firewall de redeO é executado em um dispositivo dedicado ou roteador virtual entre zonas de rede. Vê todo o tráfego cruzando a fronteira. Não pode ser contornado sem comprometer o próprio firewall. Os dois são complementares; defesa em profundidade usa ambos.

Erros comuns de firewall

Permissão implícita. Uma lista de regras que termina sem uma negação explícita herda a política padrão, que em alguns produtos é "permitir". Catastrófico.
Permitindo tudo de "interno". Quando um invasor está dentro do perímetro, o firewall não tem mais nada a fazer. A confiança zero pressupõe que o perímetro já foi violado.
Regras obsoletas. Regras acumuladas ao longo dos anos, referenciando IPs que foram alterados e projetos encerrados. Toda regra é uma superfície de ataque; audite-os.
Confiança nas portas de origem. As portas de origem são efêmeras e escolhidas pelo cliente. As regras que permitem uma porta de origem específica podem ser acionadas por qualquer pessoa que escolher essa porta.
ICMP cobertor-bloco. Elimina as mensagens do caminho do qual a descoberta de MTU depende, quebrando pacotes grandes em alguns caminhos. Permitir ICMP tipos 3 (destino inacessível) e 11 (tempo excedido) no mínimo.

Onde os firewalls falham hoje

As cargas de trabalho da nuvem mudam de IP com frequência, o tráfego criptografado resiste ao DPI, os aplicativos usam a porta 443 para tudo e os usuários se conectam a partir de cafeterias e hotéis em vez de escritórios corporativos. O firewall de perímetro clássico não vê mais a maior parte do tráfego importante. A resposta é em camadas: proxies com reconhecimento de identidade para usuários, malha de serviço para serviço a serviço, microssegmentação em nível de host em todos os lugares. O firewall não desapareceu; ele se multiplicou e se aproximou de cada carga de trabalho.

Perguntas frequentes

O firewall de um roteador é suficiente para uso doméstico?: Para uso doméstico comum, sim – um roteador stateful com configurações padrão bloqueia o tráfego de entrada não solicitado, que é a principal ameaça externa. Combine-o com um firewall de sistema operacional razoável em cada dispositivo e você terá coberto o básico. Os firewalls de nível empresarial adicionam recursos (IPS, controle de aplicativos, concentrador VPN) que o uso doméstico normalmente não precisa.
Uma VPN contorna um firewall?: De dentro, sim – o tráfego de saída para o endpoint da VPN é um fluxo permitido; todo o resto passa dentro desse túnel. A maioria dos firewalls corporativos bloqueia portas VPN comuns especificamente por causa disso. Do lado de fora, não – o firewall ainda envia tráfego de entrada não solicitado para o serviço VPN, a menos que seja explicitamente permitido.
Qual é a diferença entre um firewall e um IPS?: Um firewall permite ou bloqueia com base em regras sobre cabeçalhos (e cada vez mais cargas úteis). Um IPS (Sistema de Prevenção de Intrusões) inspeciona ativamente o tráfego em busca de padrões de ataque ou anomalias conhecidas e pode bloquear a detecção. Os firewalls modernos agrupam a funcionalidade IPS; conceitualmente, são características distintas.
Posso simplesmente desligar o firewall para corrigir um problema de conexão?: Não faça isso, mesmo temporariamente. Se uma conexão exigir o desligamento do firewall, há uma porta ou regra específica que precisa ser aberta – descubra qual. Desativar o firewall durante a “depuração” foi o início de muitos incidentes reais.
O que é um firewall de aplicativo da Web?: Um WAF é um firewall especializado que entende HTTP. Ele inspeciona caminhos de URL, cabeçalhos, corpos de solicitação e cookies e aplica regras contra padrões de ataque conhecidos (injeção de SQL, XSS, injeção de comando). Ele é executado na frente de aplicativos da web, geralmente como parte de um CDN como Cloudflare ou AWS WAF. Ele complementa, em vez de substituir, os firewalls da camada de rede.