Firewall de rede ou Firewall de aplicação?

Toda informação que entra ou sai da sua empresa é avaliada por um firewall antes de seguir para o destino final. A não ser que sua empresa não adote esse tipo de controle.

Se esse for o caso, o que garante que os dados estratégicos estão em segurança?

Qualquer usuário externo poderia acessar um sistema corporativo, por exemplo. Imagine sua plataforma de gestão financeira, com todas as informações de clientes, produtos, meios de pagamentos disponível etc. para exploração de um agente malicioso. Qual o prejuízo caso esses dados sejam vazados ou até destruídos?

Por isso, adotar um firewall é a etapa número 1 para construir seu esquema de segurança. Mas qual é a melhor forma de implementar o seu dispositivo?

A função do firewall será sempre a mesma (definir regras para permissão de tráfego), mas você pode implementá-lo de forma de duas formas diferentes.

Seguindo a arquitetura padrão de redes, que é formada por 7 camadas definidas pelo modelo OSI, um firewall pode ser implementado na camada de rede ou na camada de aplicações.

Firewall de rede

A camada de rede é responsável pelo tráfego de dados dentro seu ambiente. As rotas são definidas a partir de regras que escolhem os caminhos que cada pacote de dados deve percorrer até chegar ao destino final. Consequentemente, desempenho dos recursos em seu ambiente dependem do bom funcionamento nessa camada.

Para enviar um pacote de uma origem A até um destino B, as decisões são baseadas em protocolos de endereçamento (IP), portas, tipos de serviço etc.

A presença de um firewall otimiza esse funcionamento. Porém, as tecnologias mais novas adicionam a capacidade de avaliar o estado dos pacotes. Isso significa investigar não apenas informações de cabeçalho, mas também o conteúdo dos pacotes e estabelecer padrões a partir da comparação entre o tráfego e o seu resultado esperado.

Esse tipo de implementação assegura a segurança e a qualidade de serviços dentro de uma rede local, por exemplo. Por isso, nessa camada os firewalls são mais rápidos e transparentes.

Mas a comunicação entre a rede local e a rede externa (internet) tem um caráter diferente.

Firewall de aplicação

Quando falamos da web e de seus protocolos (HTTP, SMTP, FTP, SSH, Telnet, POP3, DNS etc.), o firewall de aplicação é o mais indicado.

O firewall de aplicação intermedia a comunicação entre a rede local e a web. Ou seja, basicamente todas as empresas precisam de uma implementação desse tipo para habilitar serviços de e-mail, aplicativos de mensageria, websites, comunicação com a nuvem etc.

O funcionamento é um pouco diferente. Se o firewall de rede trata as requisições diretamente na infraestrutura local, o firewall de aplicação funciona como um host que avalia as requisições antes de entregar para a sua rede.

Por isso, esse tipo de implementação é também conhecida como proxy, pois não permite o tráfego direto entre redes (web e a sua empresa). O host recebe a requisição de tráfego externo, avalia de forma independente e autoriza a entrega para a rede local apenas após a validação de todas as regras.

Na prática, o proxy é um software que funciona dentro do firewall. Além do filtro de tráfego, também oferece a vantagem de registrar informações de atividades na web e controlar acesso remoto.

Como escolher?

Não há certo ou errado em como implementar o seu firewall. Em termos de funcionalidades, ambas as implementações são cruciais para garantir mais segurança e qualidade de serviço.

O que muda é o objetivo. Se sua necessidade é gerir recursos críticos, garantindo qualidade de tráfego no local, a implementação da camada de rede atenderá.

Por outro lado, o firewall na camada de aplicações traz vantagens a mais. Ainda que as implementações em rede sejam capazes de avaliar protocolos de aplicações críticas (webservers, sistemas em datacenters, aplicações de infraestrutura), não é sua finalidade filtrar a infinidade de endereços, serviços e aplicativos que utilizam os protocolos web – e que as empresas acessam como parte de suas ferramentas de produtividade.

Vale lembrar que independente do local onde você vai implementar o seu firewall, ainda é importante avaliar o modelo da implementação. Os serviços de gestão de redes da Blockbit podem utilizar hardware ou software. Conheça as diferenças e vantagens.

Sugestões de leitura