Zpedia 

/ Firewall de rede vs. firewall de nova geração vs. firewall zero trust

Firewall de rede vs. firewall de nova geração vs. firewall zero trust

Descubra as principais diferenças entre firewalls de rede tradicionais, firewalls de última geração (NGFW) e Firewall Zero Trust.

Leia a ficha técnica
Zero Trust
  1. VISÃO GERAL
  2. Comparação de firewalls
  3. Qual você deve escolher?
  4. Zscaler Advanced Zero Trust Firewall
  5. Tópicos relacionados

Os firewalls não são todos iguais

Firewalls são sinônimos de segurança cibernética. Mas, à medida que as redes e as ameaças cibernéticas evoluíram e as tendências de nuvem e mobilidade assumiram o controle, o que as organizações precisam dos firewalls mudou.

Não há duas soluções de firewall exatamente iguais, mas você pode dividi-las em três tipos básicos: o firewall de rede tradicional, o firewall de nova geração e o firewall zero trust.

A segurança do perímetro e a inspeção incompleta oferecem proteção incompleta.

  • Mais de 3 em cada 10 violações envolvem o uso de credenciais roubadas (Verizon)
  • Mais de 85% das ameaças são entregues por canais criptografados (Zscaler)
  • Mais de 78% das organizações estão implementando ativamente a confiança zero (Zscaler)

Comparação de firewalls

Critérios de filtragem

Firewall de rede

Filtra o tráfego com base em regras estáticas para endereços IP, portas e protocolos

Firewall de nova geração

Incorpora conhecimento de aplicativos e prevenção contra invasões (além de filtragem baseada em IP, porta e protocolo)

Firewall zero trust

Filtros baseados em políticas sensíveis ao contexto e verificação dinâmica, incluindo IPs de origem e destino, portas e protocolos, identidade do usuário, risco e políticas comerciais

Profundidade de inspeção

Firewall de rede

Filtragem de pacotes superficiais com base na inspeção de cabeçalhos (somente cabeçalhos L2, L3, L4)

Firewall de nova geração

Inspeção profunda de pacotes (DPI) para análise de aplicativos e carga útil (L2, L3, L4, L7)

Firewall zero trust

Adiciona ao DPI com microssegmentação adicional e verificação contínua

Conhecimento de aplicativos

Firewall de rede

Não compatível

Firewall de nova geração

Compatível

Firewall zero trust

Compatível, com controles de acesso de privilégio mínimo

Integração de identidade do usuário

Firewall de rede

Não compatível

Firewall de nova geração

Compatível por meio da integração com provedores de identidade (LDAP, AD, etc.)

Firewall zero trust

Recurso principal, profundamente integrado ao gerenciamento de identidade e acesso (IAM)

Recursos de segurança

Firewall de rede

Básico (bloqueio de IP/porta, tradução de endereço de rede [NAT])

Firewall de nova geração

Geralmente inclui IPS, sandbox, antivírus, filtragem de URL

Firewall zero trust

IDS/IPS, Controle de DNS, verificação de dispositivo do usuário

Dimensionamento

Firewall de rede

Ruim

  • Propenso a gargalos devido à inspeção de TLS/SSL com uso intensivo do processador
  • Requer hardware dedicado em cada local
  • Precisa ser substituído conforme as necessidades de processamento aumentam

Firewall de nova geração

Restritivo

  • Problemas semelhantes aos firewalls de rede
  • Frequentemente limitado por fluxos de tráfego e capacidade de inspeção, como acontece com firewalls de rede

Firewall zero trust

Ilimitado

  • Nativo da nuvem; sem dispositivos para gerenciar ou dimensionar
  • Pode provisionar instantaneamente novos recursos e capacidade
Gerenciamento

Firewall de rede

Oneroso

  • Projetado para proteger no local, não na nuvem
  • As políticas devem ser recriadas para cada local
  • Deve ser reconfigurado se a arquitetura da rede mudar
  • As ACLs exigem atualizações manuais complicadas

Firewall de nova geração

Complexas

  • Ainda fundamentalmente construído para redes estáticas
  • As políticas estáticas não são flexíveis ou dimensionáveis o suficiente para nuvens dinâmicas e distribuídas
  • Aplicação inconsistente de políticas em vários ambientes

Firewall zero trust

Simples

  • Defina, implante e aplique políticas centralmente para todos os usuários e locais
  • Regras centralizadas e granulares baseadas em usuário, aplicativo, local, grupo e departamento
  • Registros forenses completos melhoram a investigação e a resposta
Custos

Firewall de rede

Volátil

  • Altos custos de capital para compra inicial, implantação e atualização
  • Dependência contínua de uma grande pilha de segurança

Firewall de nova geração

Inconsistente

  • Altos custos iniciais e custos contínuos moderados devido à assinatura
  • O dimensionamento requer hardware adicional ou dispositivos virtuais na nuvem

Firewall zero trust

Estável

  • Baseado em Opex; modelo de assinatura previsível
  • Sem limitações de escala
  • Elimine NGFWs físicos e virtuais, dispositivos de IPS e sistemas de registro e monitoramento​
Casos de uso

Firewall de rede

Básico

Proteção de ambientes internos de baixo risco que exigem defesa perimetral básica

Firewall de nova geração

Nicho

Proteção de redes locais complexas que exigem defesa de perímetro

Firewall zero trust

Plataforma

Proteção de ativos críticos, serviços de nuvem e redes híbridas que exigem controles zero trust dinâmicos, independentemente de onde os usuários, dispositivos e ativos estejam localizados

Firewalls de hardware vs. firewalls virtualizados vs. firewalls nativos da nuvem

Os firewalls virtuais estendem sua rede para recursos de nuvem e têm as mesmas limitações de capacidade que os firewalls físicos.

Qual você deve escolher?

Somente um firewall zero trust é desenvolvido especificamente para o mundo digital de hoje, para garantir acesso seguro à internet e proteger todo o tráfego dentro e fora da web, em todas as portas e protocolos, com capacidade de dimensionamento infinita e alto desempenho.

Os usuários obtêm proteção consistente em qualquer dispositivo, em qualquer local (em casa, no escritório ou na estrada) sem os custos, a complexidade e as limitações de desempenho da segurança de rede tradicional e dos firewalls de nova geração.

Zscaler Advanced Zero Trust Firewall

Mais de mil regras de firewall e DNS

Defina parâmetros precisos para interromper uma gama maior de ataques com regras adicionais​

Detecção e categorização de túnel DNS​

Detecte e bloqueie ataques baseados em DNS antes que eles comprometam a rede​

Compatível com assinaturas de IPS personalizadas​

Use assinaturas de IPS personalizadas específicas para os requisitos da sua organização​

Controles de política de identidade do usuário

Defina políticas de segurança com base no usuário, identidade, função, departamento, grupo e localização​

Inspeção profunda de pacotes (DPI)/​Aplicação de rede L7

Vá além da inspeção do cabeçalho do pacote de dados para o conteúdo real dos dados que trafegam pela rede​

Registro detalhado​

Obtenha visibilidade profunda da atividade de rede com uma visão de 360 graus de todas as ações e funções (ID do usuário, ID do aplicativo, IPS, etc.)​

Otimização de custos de tecnologia

Elimine NGFWs físicos e virtuais, dispositivos de IPS e sistemas de registro e monitoramento​