firewall

Fortigate – reset de senha

Diego DiasLeave a comment

Para acessar um Fortigate em cenários que não se possui a senha de um usuário administrador, siga os seguintes passos:

  1. Acesse o equipamento via console
  2. Reinicie o equipamento
  3. Após o equipamento reiniciar e solicitar o usuário senha, você terá 30 segundos para digitar:

User: maintainer
Password: bcpb<serial-number>

Obs: Todas as letras do Serial Number devem ser maiúsculas (upper case)

Uma vez com acesso ao equipamento, você poderá editar a senha, como faremos com o usuário diego:

Fortigate # config system admin
Fortigate (admin) # show
config system admin
    edit "admin"
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH2rStUY1qj1l9OtWSt59p1VaWzLF3O7hHZLWKsnM7XKrOYAQWss12=
    next
    edit "diego"
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH2A7/GUDCIEUYkxbSXYJ522aNGyQPRTR/odp8FHprInkO2abnksdar=
    next 

Fortigate #
Fortigate # config system admin
Fortigate (admin) # edit diego
Fortigate (dinatech) # set password senha123456
Fortigate (dinatech) # end
Fortigate #

Caso seja necessário desabilitar o processo com o usuário maintainer por questões de risco e/ou compliance, configure os comandos abaixo via CLI:

 config sys global
 set admin-maintainer disabled
end

Se precisar resetar toda configuração, entre no equipamento com um usuário administrador e digite:

Fortigate # execute factoryreset
This operation will reset the system to factory default!
Do you want to continue? (y/n)y

Até logo!

IKE Fase 1: Resumo

Diego DiasLeave a comment

Quando você está tentando fazer a uma conexão segura entre 2 hosts através da Internet, um caminho seguro deverá ser estabelecido, como por exemplo, por uma conexão VPN IPSec. Além dos mecanismos de autenticação e validação da informação a VPN IPSec necessita de um mecanismo eficiente de gestão de chaves.

O processo de gestão de chaves diz respeito à criação, eliminação e alteração das chaves. A implementação de uma solução VPN IPSec  utliza-se de um processo de criptografia que envolve uma periódica troca de chaves, embora o IPSec não integre um mecanismo de gestão de chaves, o IETF definiu como norma de gestão o protocolo híbrido ISAKMP/Oakley também denominado IKE, Internet Key Exchange para autenticar os dispositivos e  gerar as chaves criptografadas. O protocolo IKE utiliza o termo security association (SA), que é um acordo entre os equipamentos pares para troca de tráfego IPSec utilizando os requerimentos necessários para estabelecer as proteções aplicadas em uma conexão.

No estabelecimento de uma comunicação segura, passa-se pelas seguintes fases IKE:

Fase 1: Ocorre num meio inseguro. Tem o objetivo de estabelecer um canal seguro que irá proteger as trocas da Fase 2. É executada uma vez para várias fases 2;
Fase 2: Ocorre no canal seguro criado na fase 1. As suas negociações têm o objetivo de estabelecer as associações de segurança que irão proteger a comunicação.

Após estas duas fases, encontra-se estabelecido um canal seguro através do qual ocorre comunicação segura. Nesse post abordaremos apenas a Fase 1.

IKE Fase 1

A principal finalidade dessa primeira troca é permitir que os equipamentos finais consigam definir os parâmetros SA para estabelecer um canal seguro para futuramente estabelecer uma conexão IPSec. Tal canal é chamado IKE SA. Esse canal tem a função de criar criptografia e autenticação bidirecional para as outras trocas IKE e passagem de pacotes IPSec.

O IKE SA pode ser realizado de duas formas:

  • Modo Principal (Main Mode): negocia a criação da conexão através da troca de três pares de mensagem.
    • primeira troca de mensagens é relativa as formas de criptografia, autenticação (escolha dos algoritmos) e criação de chaves assimétricas.
    • segunda troca de mensagens utiliza o algoritmo Diffie-Hellman para trocas das chaves criadas, da assinatura digital ou da chave pública, de acordo com os parâmetros definidos.
    • terceiro par de mensagens verifica a identidade do outro lado. O valor de identidade é o endereço IP do par IPSec na forma criptografada. A principal  função do main mode é combinar IKE SA (security association)  entre os pares para fornecer uma conexão protegidas para posteriores trocas ISAKMP entre os peers IKE. O IKE SA especifica valores para a troca IKE: o método de autenticação usado, a criptografia, os algoritmos de hash, o grupo Diffie-Hellman (DH) utilizado, a vida útil do IKE SA em segundos ou quilobytes, e os valores de chaves secretas compartilhadas para os algoritmos de criptografia. O IKE SA em cada par é bi-direcional.
  • Modo Agressivo(Agressive Mode): é uma alternativa mais rápida ao modo principal, já que negocia a criação IKE SA através de três mensagens, ao invés de três pares de mensagens. A primeira mensagem de um dos extremos manda os parâmetros de segurança, juntamente com sua porção da chave criada por Diffie-Hellman e sua identidade. O outro extremo envia sua parte da chave, parâmetros de segurança e sua autenticação (geralmente por assinatura digital). Na última mensagem o primeiro extremo envia sua autenticação ao outro. Com essas três mensagens a conexão IKE SA está criada. Se ganha em velocidade, mas perde-se em segurança, por exemplo, as chaves podem ser interceptadas e forjadas.

No cenário abaixo, utilizando o Cisco IOS como exemplo, com o estabelecimento de uma conexão segura entre roteadores de uma empresa para uma VPN IPsec, em vez de negociarmos cada protocolo para criptografia, autenticação, etc , individualmente; podemos agrupar os protocolos em conjunto de politicas IKE (IKE policy).

O comando crypto isakmp policy define o IKE Fase 1, com os parâmetros utilizados durante a negociação. A sintaxe do comando crypto isakmp policy “priority” define a prioridade da policy. Caso os valores de criptografia, hash, DH e lifetime não sejam configurados, serão escolhidos os valores default (des, sha, rsa-sig, 1 e 86400 respectivamente).

Para configurar a pre-shared key (PSK) utilize a sintaxe:

 crypto isakmp key “tipo de cifragem da senha na configuração”  senha hostnameaddress endereço.

Nos próximos posts daremos continuidade no script para a Fase 2 e modos IPSec.

Referência

http://www.gta.ufrj.br/grad/08_1/vpn/ipsecelementos.html#_Toc200023677

http://civil.fe.up.pt/acruz/Mi99/asr/IPSec.htm

Implementing Cisco IOS Network Security , Cisco press – Catherine Paquet
Network Security Technologies and Solutions, Cisco press – Yusuf Bhaiji

Fortigate: SSL-VPN

Diego DiasLeave a comment

A utilização de soluções de VPNs estende o acesso a redes privadas através da conectividade remota para o fornecimento de comunicação segura entre os dispositivos.

Uma VPN estabelece um túnel entre dois dispositivos, que estão separados por uma rede pública insegura, como a Internet por exemplo, entregando acesso seguro para a rede privada. A VPN pode também ser utilizada na comunicação entre uma matriz e suas filiais, entre empresas para fornecimento de serviços ou para o estabelecimento do teletrabalho.

Existem diversos mecanismos para estabelecimento de VPNs e os principais para conectividade para o acesso remoto utilizam o SSL ou IPsec.

O FortiOS suporta a utilização de VPNs IPsec e SSL, assim como outros métodos menos seguros.

Uma VPN deve utilizar métodos seguros para que somente usuários autorizados possam estabelecer a comunicação e acessar os recursos da rede. A comunicação deve ter como premissa a criptografia do tráfego ( que não poderá ser lido quando interceptado por usuários não autorizados).

Neste artigo  faremos um breve resumo sobre SSL-VPN no FortiOS.

Protocolo SSL

O protocolo SSL é uma aplicação para criptografia de camada 7, que fornece comunicação segura pela Internet através de um navegador web, e-mail e outros tipos de tráfego.

O principal objetivo é providenciar tanto a privacidade, quanto a integridade dos dados, oferecendo comunicação segura entre as aplicações.

Por padrão o SSL para o tráfego web utiliza a porta TCP 443.

SSL-VPN

A solução de VPN quando baseada em SSL, oferece conectividade a determinados recursos internos da empresa, através de acesso remoto por um computador conectado a Internet, através de um software cliente ou um navegador web com criptografia SSL nativa.

O FortiOS permite dois modos para o estabelecimento de SSL-VPN e a escolha dependerá  do uso das aplicações pela VPN, conhecimento técnico dos usuários e/ou permissões administrativas em seus computadores.

  • SSL-VPN Web Mode: Requer unicamente um navegador web, mas possui limitação no número de protocolos. É o modo mais fácil de configuração.
  • SSL-VPN Tunnel Mode: Oferece suporte a grande maioria dos protocolos, mas requer a instalação de um software cliente VPN, um virtual network adapter, que pode ser utilizado com o FortiClient ou o módulo FortiSSL-VPN client.

Web Mode

O modo Web  permite ao usuário conectar em um portal no Fortigate (que atua como um servidor de proxy reverso) e então comunicar-se com a rede ou aplicação.

O portal web permite a configuração de bookmarks que contém todos os recursos disponíveis para acesso ao usuário. A principal vantagem do modo web é que o usuário não necessitará instalar nenhum software adicional. A desvantagem é que toda interação acontecerá através do navegador para os protocolos mais populares como HTTP, FTP e compartilhamento Windows.

1 – Os usuários remotos estabelecem um túnel seguro ao Fortigate utilizando HTTPS.

2 – Uma vez conectado, os usuários fornecem as credenciais para autenticação.

3 – O Fortigate irá exibir um portal SSL-VPN que contém os serviços e recursos de rede para acesso ao usuário.

Para configurar a SSL-VPN no modo Web utilize o cookbook abaixo:

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/579694/ssl-vpn-web-mode-for-remote-user

Tunnel Mode

A opção Tunnel Mode requer a instalação de um cliente SSL-VPN (FortiClient) para conexão ao Firewall. O FortiClient adiciona um virtual network adapter identificado como fortissl para o usuário que recebe dinamicamente um endereço IP do Fortigate na conexão da VPN. O tráfego será enviado encapsulado em um túnel SSL/TLS.

O modo Tunnel permite a comunicação de qualquer aplicação (quando permitida nas políticas do firewall) através do túnel.

1 – Os usuários remotos solicitam um túnel seguro ao Fortigate utilizando FortiClient.

2 – Os usuários fornecem as credenciais para autenticação.

3 – O Fortigate estabelece um túnel e atribui um endereço IP ao software client com um virtual network adapter (fortissl), durante o tempo da conexão.

4 – Após o estabelecimento da conexão é possível acessar os recursos de rede através do túnel criptografado.

Para configurar a SSL-VPN no modo Web utilize o cookbook abaixo:

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/954097/ssl-vpn-tunnel-mode

O Forticlient  com a SSL-VPN estabelecida, fará a criptografia dos dados ao Fortigate que ao receber o tráfego removerá a criptografia e encaminhará a comunicação ao dispositivos de destino.

Tunnel mode também permite o split tunneling, que encaminhará todo o tráfego de Internet diretamente para a Internet (sem encaminhá-lo ao túnel). O tráfego para a rede privada continuará sendo enviado através da VPN.

Referências

FortiGate Security Study Guide for FortiOS 6.2

Network Security Technologies and Solutions, Cisco press – Yusuf Bhaiji

CheckPoint: Entendendo o Security Management Server

Diego DiasLeave a comment

O Security Management Server (SMS) da CheckPoint é um componente central da plataforma on-premises de segurança do fabricante. Ele fornece uma interface centralizada para gerenciar e monitorar os firewalls (security gateways). O Security Management Server permite aos administradores configurar, gerenciar e aplicar políticas de segurança consistentes em todos os dispositivos Check Point.

Existem duas opções para implementação do SMS:

  • Appliance Check Point Quantum Smart-1
  • Open Server (virtualizado e instalado em hardware de terceiros)

O SMS faz parte da arquitetura de 3 camadas utilizada pela CheckPoint que inclui 3 componentes principais com as suas responsabilidades especificas:

SmartConsole: O SmartConsole é uma interface gráfica de usuário (GUI) que permite configurar e monitorar seus dispositivos de segurança da CheckPoint. Ele fornece uma visão abrangente do status de segurança da rede, incluindo o tráfego de rede, os logs de eventos e as configurações de segurança. O SmartConsole é utilizado para criar e gerenciar políticas de segurança no Security Management Server (SMS), aplicar atualizações de software e solucionar problemas de segurança.

O SmartConsole pode ser instalado em um desktop, como também ser utilizado em uma versão portable ou ser acessado no modo clientless, através de browser.

SMS: O SMS ( Security Management Server) é um servidor de gerenciamento de segurança que fornece uma plataforma centralizada para configurar e monitorar os Security Gateways em uma rede local ou em uma rede distribuída.

Security Gateway: O Security Gateway é um firewall de próxima geração (NGFW) que fornece proteção de perímetro para redes corporativas com uma ampla gama de recursos de segurança, incluindo prevenção de intrusões, filtragem de conteúdo, controle de acesso à rede, sandbox e criptografia.

Entre as atribuições e funções do Security Management Server ele é responsável por:

  • Banco de dados
    • O SMS hospeda um banco de dados PostgreSQL centralizado que armazena com segurança todos os dados gerenciados e os disponibiliza mediante solicitação.
  • Internal Certificate Authority (ICA)
    • O SMS inclui uma ICA (Internal Certificate Authority) que pode ser usada para emitir e gerenciar certificados digitais para dispositivos de segurança e usuários. Os certificados digitais são usados para autenticação, criptografia e outros fins de segurança, como a comunicação SIC entre os dispositivos CheckPoint.
  • Servidor de Logs
    • O SMS pode ser usado também para coletar e armazenar logs de eventos de dispositivos de segurança. Os logs de eventos podem ser usados para rastrear o tráfego de rede, identificar ameaças e responder a incidentes. De forma opcional é possível instalar um servidor SMS exclusivo para os logs.
  • Repositório de Licenças e Contratos
    • O SMS pode ser usado para armazenar informações sobre licenças de software e contratos de serviços. Essas informações podem ser usadas para gerenciar o licenciamento e os custos de segurança.
  • Monitoração
    • O SMS pode ser usado para monitorar os Security Gateways e exibir informações em tempo real como contadores, estatísticas de tráfego, uso de disco, CPU e memória. O monitoramento pode ser usado para detectar problemas de segurança e responder a incidentes.
  • Security Automation
    • O SMS pode ser usado para automatizar tarefas de segurança e o uso de APIs, permitindo aos desenvolvedores criarem scripts e efetuarem mudanças nas políticas de segurança utilizando CLI e web services.

Cenários de implementação do SMS

A implementação do SMS pode ser executada em duas topologias, modo standalone e distributed.

No modo standalone deployment o SMS e o Security Gateway são instalados no mesmo computador ou appliance. O SmartConsole é instalado em uma máquina Windows que então conecta ao Security Management Server para configuração e gerenciamento do Security Gateway.

O modo standalone é recomendável apenas em ambientes small businesses, devido as limitações de performance que ele pode gerar no security gateway.

O modo distributed deployment, o SMS e o Security Gateway são instalados em diferentes computadores ou appliance. O SmartConsole é instalado em uma máquina Windows que então conecta ao Security Management Server para configuração e gerenciamento dos Security Gateway.

Um Security Management Server é requerido mesmo se a implementação consiste em apenas um Security Gateway. Já um servidor SMS pode gerenciar múltiplos NGFWs.

Resumindo…

Em resumo Security Management Server da CheckPoint é um software/aplicação que centraliza o gerenciamento e monitoramento de dispositivos de segurança da CheckPoint, sendo um elemento fundamental na configuração e gestão de dispositivos Quantum.

Os administradores interagem com o Security Management Server por meio de uma interface gráfica chamada SmartConsole, que fornece ferramentas para configuração, monitoramento e relatórios.

Fortigate – Configurando o envio de logs para um segundo servidor

Diego DiasLeave a comment

Em cenários que haja a necessidade de configuração de mensagens logs para um segundo servidor syslog por um Fortigate, acesse o Firewall via CLI e digite “config log syslogd2 setting“, para iniciar o setup.

Visualizando a configuração do serviço syslog no FortiOS

FGT # show log syslogd setting
config log syslogd setting
set status enable
set server "10.12.0.130"
set source-ip 10.12.0.1

Configurando o segundo serviço syslog no Fortinet

DNBRFGT # config log syslogd2 setting
set status enable
set server "192.168.0.130"
set source-ip 10.12.0.1

Até logo! 😉

VLAN DESIGN – COMO PLANEJAR MELHOR A SEGMENTAÇÃO DE REDES

Diego DiasLeave a comment

Nesse vídeo listamos alguns pontos para um melhor planejamento na segmentação de redes com a utilização de VLANs.

TOPOLOGIA DE REDE CAMPUS – NETWORK DESIGN – 2 E 3 CAMADAS

Diego DiasLeave a comment

A integração da rede campus utilizando dados, voz e vídeo torna-se essencial para a alta disponibilidade e impulsionamento dos negócios. Logo, uma rede local (LAN) projetada corretamente é um requisito fundamental, pois uma rede construída de forma hierárquica torna mais fácil o seu gerenciamento, expansão e troubleshooting para detecção de problemas. O design de rede hierárquico envolve a divisão da rede em camadas discretas, facilitando escalabilidade e desempenho.

Firewall 101- Introdução

Diego DiasLeave a comment

Um firewall possui a função de proteger a rede impedindo que o tráfego externo não autorizado acesse a rede interna. Os firewalls são projetados para manter as coisas ruins fora da rede local e, ao mesmo tempo, impedir que dados importantes ou confidenciais escapem para o mundo externo.

Um firewall, que pode ser tanto hardware ou software inspeciona cada pacote de entrada ou saída e assim determina se esses pacotes devem serão descartados, modificados ou encaminhados.

Um firewall deve ser resistente a ataques cibernéticos, suportar o roteamento entre as redes, suportar as sessões TCP/UDP e o throughput para os serviços oferecidos do tráfego da rede.

No exemplo abaixo, o firewall está posicionado entre a rede interna e externa para limitar o acesso da rede externa à rede local, enquanto permite aos usuários da rede interna acesso aos recursos da rede externa.

| Rede interna |—– Firewall —–| Rede externa |

Pelo fato de um firewall ser uma das primeiras linhas de defesa de uma rede, as empresas efetuam investimentos constantes em firewalls e licenças, com os seguintes objetivos;

• Redução da exposição de serviços e sistemas para redes e usuários não confiáveis: Um firewall pode permitir a configuração para o mínimo de conectividade para um determinado sistema.
• Redução da área de exploração de protocolos: É possível configurar um firewall para inspecionar protocolos e certificar que eles estão de acordo com o padrão e assim filtrar a quantidade de requisições de conexões que atuam de maneira anormal.
• Limitar o acesso de usuários não autorizados através do firewall.
• Bloquear o trafego com conteúdo malicioso.

Políticas de segurança do firewall

A base de uma implementação de firewall bem-sucedida não é apenas o firewall em si, mas também a política de segurança que orienta e regula a maneira como o firewall se comportará.

As políticas de segurança para firewalls modernos são configuráveis para acomodar as circunstâncias específicas, ou necessidades, que uma organização possa ter.

Uma política de segurança de firewall é um conjunto de regras que um firewall depende para determinar qual tráfego deve ter permissão para passar para além dos limites da rede administrada pela empresa, como por exemplo o acesso entre o tráfego interno de uma corporação e à Internet, por exemplo. Ou então a permissão de acesso externo de acordo com serviços essenciais para os negócios da empresa.

Exemplos de regras de diretiva de segurança de um firewall:

• Bloquear todo o acesso do lado de fora e permitir todo o acesso interno ao exterior.
• Permitir acesso do lado de fora:
 –  apenas para determinadas atividades predefinidas.
 – apenas para determinadas sub-redes, hosts, aplicativos, usuários etc.

Os firewalls podem ter uma política de segurança padrão como:

Default permit: Qualquer coisa que não seja expressamente proibida é permitida.
Default deny: Tudo o que não é expressamente permitido é negado (a mais comum)

Quando olhamos para as regras do firewall, geralmente estamos tomando as decisões de permitir ou negar tráfego, com base em critérios predefinidos:

Por exemplo. IP de origem, IP de destino, número da porta, hora do dia, aplicações, etc.

As regras podem ser muito gerais ou específicas:

 Geral: Navegar na internet pela rede
• Específicas: departamento administrativo, endereço IP de origem específico → IP de destino

Normalmente as regras são lidas em fila, visualmente as regras são exibidas na configuração do firewall no sentido de cima para baixo, uma vez que o firewall compara o cabeçalho com a base de regras e uma vez que uma condição é encontrada o restante das regras não é mais lido e o firewall executará a ação ao trafego, descartando ou permitindo o pacote.

Tipos de Firewall
Uma rede baseada em firewall oferece funcionalidades para segurança do perímetro da rede.

A primeira tarefa de um firewall é permitir ou negar o trafego que tenta entrar ou deixar a rede baseado na configuração de regras e políticas. Os firewalls são geralmente implementados em diversas partes da rede, fornecendo segmentação dentro da infraestrutura corporativa e proteção de acessos externos a rede. Podemos listar os seguintes tipos de firewalls:
• Packet filter
• Proxy Firewall (proxy servers ou application layer gateway)
• Stateful inspection firewalls

Packet filter
Um firewall operando como um packet filter, pode permitir ou bloquear o trafego baseado em informações da Camada 3 e 4 do modelo OSI. Um exemplo de aplicação de packet filter é a utilização de ACLs aplicada nas interfaces de roteadores e switches. Um dos desafios do packet filtering é que o administrador deve saber exatamente quais são as necessidades do trafego da rede. O firewall packet filter é comumente chamado de firewall stateless pois não monitora as sessões do trafego permitido.

O packet filter não analisa os dados do pacote, ele faz suas decisões baseado apenas nas informações do cabeçalho, como endereço IP de origem e destino, portas e flags TCP/UDP.

Há duas preocupações sérias com a filtragem stateless:

• A conexão iniciada por um host interno é provavelmente uma conversa legítima (pro-va-vel-men-te) para um servidor externo. Como a principal função do firewall é permitir ou negar o acesso, o firewall não tem ciência se uma conexão é existente ou se ela é o início de uma comunicação entre dois dispositivos e isso é muito importante para nós quando se trata de um firewall.

• O uso de algumas aplicações que trabalham com portas TCP/UDP de forma dinâmica dificultam a criação de regras de filtragem stateless. As ACLs (listas de controle de acesso) são ótimas para permitir e negar o trafego usando como base números de porta estáticas nas regras de filtragem, mas não tanto com portas dinâmicas. Com a filtragem stateless no firewall, os aplicativos que usam números de porta dinâmicos terão dificuldades operacionais.

Proxy Firewall
Os ‘proxy firewalls’ também chamados de application layer gateway (ALG), atuam como intermediários entre duas redes sendo específicos para determinadas aplicações e protocolos. O proxy intercepta todos os pacotes e os reprocessa para uso interno, criando uma nova sessão para o servidor de destino. Nenhuma conexão direta é efetuada entre o cliente e o servidor de destino.

A implementação de proxy firewall permite controle e analise do tráfego na camada de aplicação, com controles bem específicos e detalhados, assim como os registros das sessões (logging).

Stateful packet filtering
A filtragem de pacotes stateful é uma das tecnologias de firewall mais importantes atualmente em uso. E é chamado stateful porque monitora o estado das sessões que estão passando pelo firewall. O firewall monitora toda a conexão TCP, incluindo os números de sequência e mensagens TCP. Basicamente, os firewalls stateful permitem que hosts internos iniciem conversas com hosts externos, mas não permitem que hosts externos iniciem conversas com hosts internos.

Toda essa mágica é executada com a utilização da tabela de sessão que é populada pelo firewall. Também conhecida como stateful table.

Outros sabores de firewalls
Baseado nos conceitos acima há uma variedade de firewalls que trabalham de forma similar à aos firewalls stateful, stateless e proxy ou em muitos casos incorporante outras funcionalidades como:

Personal Firewall – As políticas de firewall podem ser definidas via software na máquina do usuário ou individualmente para a máquina do usuário.
Transparent Firewall – O firewall no modo transparente pode trabalhar inicialmente com duas interfaces, sem endereço IP configurado, atuando como uma bridge (ou switch). Mesmo atuando como um dispositivo L2 as políticas podem ser aplicadas normalmente como um firewall L3, incluindo a tabela de sessão e ou inspeção de aplicações.

Next-Generation Firewall (NGFW) – Protege a rede de ameaças avançadas, agregando funções como IPS, sandbox, antivírus, controle e inspeção de aplicações, Filtro de URL e conteúdo web, entre outras.

Concluíndo

Os principais fabricantes do mercado têm oferecido os mais diversas funcionalidades para proteção da rede contra os ataques cibernéticos como também facilitando a administração e visualização das regras que compõe o firewall. As interfaces para gerenciamento estão cada vez mais intuitivas de fácil configuração e troubleshooting, gerando relatórios e logs de fácil visualização.

É possível adquirir e implantar firewalls tanto com appliances, VMs ou versões em cloud.

Os firewalls NGFW estão cada vez mais acessíveis as pequenas e medias empresas, enquanto os fabricantes oferecem licenças para atualização automática de sua base de assinaturas de antivírus, IPS, URL, app control, sandbox e mais.

O gerenciamento de diversos firewalls também pode ser executado através de um software do próprio fabricante ou em versões agnósticas que ajudam a manter a base de regras em conformidade, limpa (sem regras repetidas [shadow rules], não utilizadas ou muito permissivas) e com melhor desempenho.

Os firewalls também incluem atribuições de VPNs, que permitem que o tráfego de uma empresa flua de forma segura sobre uma rede insegura (como a Internet por exemplo) – entre dois pontos, fornecendo confidencialidade, integridade e disponibilidade, uma outra atribuição que os firewalls possuem é a tradução (NAT) de endereços da rede local, muitas vezes para o acesso à Internet.