O que é um firewall dinâmico?

firewall stateful intercepta pacotes na camada de rede e, em seguida, deriva e analisa dados de todas as camadas de comunicação para melhorar a segurança. As informações sobre o estado da conexão e outros dados contextuais são armazenadas e atualizadas dinamicamente. Isto fornece um contexto valioso ao avaliar futuras tentativas de comunicação.

Get a Personal Firewall Demo Benchmark de segurança Miercom 2024 NGFW

Como funciona o firewall com estado?

Os computadores usam protocolos bem definidos para se comunicarem pela rede local e pela Internet.

Estes incluem protocolos de transporte de camada inferior, como TCP e UDP, e também protocolos de camada de aplicativo superior, como HTTP e FTP.

firewall stateful inspeciona pacotes de rede, rastreando o estado das conexões usando o que se sabe sobre os protocolos usados na conexão de rede. Por exemplo, TCP é um protocolo orientado a conexão com verificação de erros para garantir a entrega de pacotes.

Uma conexão TCP entre cliente e servidor começa primeiro com um handshake de três vias para estabelecer a conexão. Um pacote é enviado de um cliente com um sinalizador SYN (sincronização) definido no pacote. O servidor que recebe o pacote entende que se trata de uma tentativa de estabelecer uma conexão e responde com um pacote com os sinalizadores SYN e ACK (reconhecimento) definidos. Quando o cliente recebe esse pacote, ele responde com um ACK para iniciar a comunicação pela conexão.

Este é o início de uma conexão que outros protocolos usam para transmitir dados ou se comunicar.

Por exemplo, o navegador do cliente pode usar a conexão TCP estabelecida para transportar o protocolo web, HTTP GET, para obter o conteúdo de uma página web.

 

Quando a conexão é feita, diz-se que o estado foi estabelecido. No final da conexão, o cliente e o servidor interrompem a conexão usando sinalizadores no protocolo como FIN (terminar). À medida que a conexão muda de estado de aberta para estabelecida, firewall com estado armazena as informações de estado e contexto em tabelas e atualiza essas informações dinamicamente à medida que a comunicação avança. As informações armazenadas nas tabelas de estado fornecem dados cumulativos que podem ser usados para avaliar conexões futuras.

 

Para protocolos sem estado, como o UDP, o firewall com estado cria e armazena dados de contexto que não existem no próprio protocolo. Isso permite que o firewall rastreie uma conexão virtual sobre a conexão UDP, em vez de tratar cada pacote de solicitação e resposta entre um aplicativo cliente e servidor como uma comunicação individual.

Exemplo de FTP

As sessões FTP usam mais de uma conexão. Uma é uma conexão de comando e a outra é uma conexão de dados pela qual os dados passam.

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

Quando a conexão de dados for estabelecida, deverá utilizar os endereços IP e portas contidos nesta tabela de conexão. Um firewall com estado usará esses dados para verificar se qualquer tentativa de conexão de dados FTP é uma resposta a uma solicitação válida. Uma vez encerrada a conexão, o registro é retirado da tabela e as portas são bloqueadas, evitando tráfego não autorizado.

Com Estado vs. Sem Estado

Um firewall sem estado avalia cada pacote individualmente. Ele pode inspecionar os endereços IP e portas de origem e destino de um pacote e filtrá-lo com base em listas de controle de acesso (ACL) simples. Por exemplo, um firewall sem estado pode implementar uma política de “negação padrão” para a maior parte do tráfego de entrada, permitindo apenas conexões a sistemas específicos, como servidores web e de e-mail. Por exemplo, permitindo conexões com endereços IP específicos nas portas TCP 80 (HTTP) e 443 (HTTPS) para web e porta TCP 25 (SMTP) para email.

firewall com estado, por outro lado, rastreia e examina uma conexão como um todo. Eles rastreiam o estado atual de protocolos com estado, como TCP, e criam uma sobreposição de conexão virtual para conexões como UDP.

firewall com estado têm os mesmos recursos que os sem estado, mas também são capazes de detectar e permitir dinamicamente comunicações de aplicativos que os sem estado não permitiriam. firewall sem estado não reconhecem o aplicativo, ou seja, eles não conseguem entender o contexto de uma determinada comunicação.

firewall com estado com Check Point

O firewall stateful da Check Point está integrado à pilha de rede do kernel do sistema operacional. Ele fica na camada de software mais baixa entre a placa de interface de rede física (camada 2) e a camada mais baixa da pilha de protocolos de rede, normalmente IP.

Ao inserir-se entre os componentes físicos e de software da pilha de rede de um sistema, o firewall stateful da Check Point garante visibilidade total de todo o tráfego que entra e sai do sistema. Nenhum pacote é processado por qualquer uma das camadas superiores da pilha de protocolos até que o firewall verifique primeiro se o pacote está em conformidade com a política de controle de acesso de segurança da rede.

O firewall stateful da Check Point oferece vários benefícios valiosos, incluindo:

  • Extensível: A implementação de inspeção estatal da Check Point suporta centenas de aplicativos, serviços e protocolos predefinidos – mais do que qualquer outro fornecedor de firewall.
  • Performance: O design simples e eficaz do firewall Check Point alcança desempenho ideal ao ser executado dentro do kernel do sistema operacional. Isso reduz a sobrecarga de processamento e elimina a necessidade de alternância de contexto. Além disso, tabelas de cache e hash são usadas para armazenar e acessar dados com eficiência. Por fim, a inspeção de pacotes do firewall é otimizada para garantir a utilização ideal de interfaces de rede modernas, Unidade de processamento central (Unidade Central de Processamento, CPU) e designs de SO.
  • Escalável: A hiperescala, em poucas palavras, é a capacidade de uma arquitetura tecnológica escalar à medida que mais demanda é adicionada ao sistema. Check Point Maestro traz agilidade, escalabilidade e elasticidade da nuvem on-premises com clustering N+1 eficaz baseado na tecnologia Check Point HyperSync, que maximiza as capacidades do firewall existente. Vários firewalls Check Point podem ser empilhados juntos, adicionando ganhos de desempenho quase lineares com cada firewall adicional adicionado ao cluster.

Check Point’s next-generation firewalls (NGFWs) integram os recursos de um firewall com estado com outras funcionalidades essenciais de segurança de rede. Para saber mais sobre o que procurar em um NGFW, confira este guia do comprador. Você também é bem-vindo solicite uma demogratuita para ver os NGFWs da Check Point em ação.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK