well
Sob Ataque
Cibersegurança

Next Generation Firewall

Proteção de perímetro inteligente, on-premise ou em nuvem, com inspeção SSL, IPS, sandbox e Zero Trust.

Falar com consultor Voltar para soluções

Visão geral

Implantamos e operamos firewalls de próxima geração (NGFW) que vão muito além do tradicional stateful inspection. Nossa solução combina inspeção profunda de pacotes, descriptografia SSL/TLS, identificação de aplicações na camada 7, prevenção de intrusão (IPS), antivírus de gateway, sandbox em nuvem para análise de ameaças desconhecidas, filtro de URL, controle de usuários via integração com AD/SAML, VPN corporativa (IPsec e SSL), ZTNA e SD-WAN seguro. Trabalhamos como parceiros oficiais de Fortinet (FortiGate), Palo Alto Networks (PA-Series e Prisma), Check Point (Quantum) e Sophos (XGS), recomendando o fabricante ideal para o seu porte, regulamentação e roadmap. A operação é 24x7, com tuning contínuo de regras, resposta a incidentes e relatórios executivos mensais.

Recursos em destaque

Detalhamento aprofundado dos principais recursos desta solução — o que cada um faz, como funciona e por que importa para o seu negócio.

Inspeção profunda de pacotes (DPI)

A inspeção profunda de pacotes vai muito além do tradicional stateful inspection. Em vez de avaliar apenas IP, porta e estado da conexão, o NGFW abre cada pacote e analisa o conteúdo do payload, identificando o protocolo real (mesmo quando trafega em portas atípicas), assinaturas de ameaças, anomalias de protocolo, padrões de comportamento e até arquivos transferidos. Isso permite detectar ataques sofisticados que se camuflam em tráfego legítimo, como exfiltração via DNS, comando e controle disfarçado em HTTPS ou ransomware se propagando por SMB. Combinada com inspeção SSL/TLS 1.3, a DPI garante visibilidade total mesmo em tráfego criptografado, sem comprometer a performance graças a aceleração ASIC nos appliances.

  • Análise de payload de camada 7, não apenas cabeçalhos de camada 3/4
  • Identificação de protocolo independente da porta (ex.: SSH em porta 443)
  • Detecção de anomalias de protocolo e fragmentação maliciosa
  • Inspeção de tráfego SSL/TLS 1.3 com bypass de categorias sensíveis
  • Aceleração por hardware (ASIC) para throughput sem gargalo
  • Integração nativa com IPS, antivírus e sandbox para ações coordenadas

Controle de aplicações

O controle de aplicações identifica mais de 3.000 aplicações por assinatura comportamental — não apenas pela porta usada — permitindo políticas extremamente granulares. Você consegue, por exemplo, liberar o chat do Microsoft Teams para todos os colaboradores, mas bloquear o upload de arquivos para usuários fora do RH; permitir o acesso ao YouTube para o time de marketing dentro de uma quota diária de banda; ou restringir aplicações de transferência de arquivos pessoais (Dropbox pessoal, WeTransfer) sem afetar o OneDrive corporativo. Essa visibilidade na camada 7 transforma a forma como sua empresa governa o uso da banda, reduz superfície de ataque (Shadow IT) e atende exigências de compliance que pedem controle de aplicações de risco.

  • Mais de 3.000 aplicações reconhecidas por assinatura (App-ID, AppCtrl)
  • Políticas por funcionalidade da app (ex.: Teams chat liberado, upload bloqueado)
  • Controle por usuário ou grupo do Active Directory / Azure AD
  • Quotas de banda e tempo de uso por categoria de aplicação
  • Detecção e bloqueio de Shadow IT e aplicações não autorizadas
  • Relatórios de top aplicações, top usuários e tendências de consumo

VPN site-to-site

A VPN site-to-site cria túneis criptografados permanentes entre matriz, filiais, datacenters e parceiros, fazendo com que redes geograficamente distantes operem como se estivessem na mesma LAN — com segurança de nível bancário. Implementamos com IPsec/IKEv2, criptografia AES-256, perfect forward secrecy e autenticação por certificado ou PSK robusto. Suportamos topologias hub-and-spoke (centralizadas na matriz) e full-mesh (filiais conversam diretamente entre si para reduzir latência), com roteamento dinâmico (BGP/OSPF) sobre a VPN, redundância de gateways e monitoramento contínuo da saúde dos túneis. Para cenários híbridos, integramos com AWS Site-to-Site VPN, Azure VPN Gateway e Google Cloud VPN, mantendo política unificada entre on-premise e nuvem.

  • IPsec/IKEv2 com AES-256 e perfect forward secrecy (PFS)
  • Topologias hub-and-spoke e full-mesh entre filiais
  • Roteamento dinâmico (BGP/OSPF) sobre o túnel para failover automático
  • Redundância de gateways e múltiplos provedores de internet
  • Integração com AWS, Azure e Google Cloud para cenários híbridos
  • Monitoramento de latência, jitter e disponibilidade de cada túnel

IPS/IDS integrado

O sistema de prevenção e detecção de intrusão (IPS/IDS) integrado ao NGFW analisa todo o tráfego em tempo real contra mais de 20.000 assinaturas mantidas pelos labs dos fabricantes (FortiGuard, Unit 42, ThreatCloud, SophosLabs), bloqueando exploits conhecidos, CVEs recém-divulgados, ataques de força bruta, varreduras de porta, tentativas de SQL injection, XSS e movimentação lateral. Além das assinaturas, aplicamos análise comportamental e heurística para detectar variações zero-day, com correlação automática entre eventos para reduzir falsos positivos. As assinaturas são atualizadas várias vezes ao dia e cada deploy passa por tuning específico para o seu ambiente — eliminando ruído sem perder cobertura — e os incidentes confirmados são escalados ao SOC 24x7 com playbooks de resposta documentados.

  • Mais de 20.000 assinaturas IPS atualizadas continuamente
  • Proteção contra exploits de CVEs recentes e ataques zero-day
  • Análise comportamental e heurística além das assinaturas
  • Tuning específico do ambiente para minimizar falsos positivos
  • Correlação automática de eventos e priorização por severidade
  • Escalonamento ao SOC 24x7 com playbooks de resposta

Benefícios

Visibilidade total na camada 7

Identificação de mais de 3.000 aplicações por assinatura, não apenas por porta. Você sabe quem usa o quê, quando e quanto consome — incluindo apps em SSL.

Bloqueio proativo de ameaças

IPS com mais de 20.000 assinaturas, antivírus de gateway, sandbox para zero-day, proteção contra C2, DGA e DNS tunneling. Ameaças param no perímetro, não no endpoint.

Inspeção SSL/TLS sem perder performance

Descriptografia seletiva por política, com bypass de categorias sensíveis (saúde, financeiro). Hardware com aceleração ASIC garante throughput sem gargalo.

Conexões seguras para qualquer cenário

VPN site-to-site IPsec entre matriz e filiais, VPN SSL para usuários remotos e ZTNA para acesso granular por aplicação — substituindo VPN legada.

SD-WAN seguro integrado

Roteamento inteligente entre múltiplos links (MPLS, fibra, 4G/5G) com failover sub-segundo, QoS por aplicação e segurança full-stack na borda.

Zero Trust por identidade

Políticas baseadas em usuário e grupo do AD/Azure AD, não em IP. Acesso mínimo necessário, com MFA e verificação contínua de postura do dispositivo.

Alta disponibilidade real

Cluster ativo-ativo ou ativo-passivo com sincronização de sessões. Failover transparente em caso de falha de hardware, link ou energia.

Conformidade auditável

Logs detalhados de tráfego, ameaças e acessos administrativos retidos por 6+ meses. Relatórios prontos para LGPD, PCI-DSS, ISO 27001 e BACEN.

O que entregamos

  • Assessment de tráfego e mapeamento de aplicações críticas

    Coleta de NetFlow/sFlow por 7 a 15 dias com relatório de aplicações, usuários top consumidores, picos de banda, dependências externas e exposição atual do perímetro.

  • Dimensionamento técnico do appliance

    Cálculo de throughput firewall, throughput com IPS/SSL ativados, número de sessões concorrentes, novas conexões/segundo e túneis VPN, garantindo headroom de 40% para crescimento.

  • Projeto de arquitetura e segmentação por zonas

    Documento de alto nível (HLD) e baixo nível (LLD) com diagrama de zonas, fluxos permitidos, política de inspeção SSL, estratégia de VPN e integrações com SIEM/EDR.

  • Desenho de políticas Zero Trust

    Matriz de acesso por usuário, aplicação e dispositivo, com princípio do menor privilégio, MFA obrigatório para acesso administrativo e revisão de postura contínua.

  • Configuração de regras, NAT, roteamento e QoS

    Implementação de políticas de firewall, NAT estático/dinâmico, roteamento estático e dinâmico (BGP/OSPF) e priorização de tráfego crítico (voz, vídeo, ERP) via QoS.

  • Implantação de IPS, antivírus, anti-bot e sandbox

    Ativação dos perfis de segurança com tuning inicial para reduzir falsos positivos, integração com sandbox em nuvem e configuração de ações automáticas (bloquear, alertar, isolar).

  • Inspeção SSL/TLS com exceções por categoria

    Configuração de descriptografia seletiva, distribuição de certificado raiz nos endpoints via GPO/MDM e bypass de categorias regulamentadas (saúde, financeiro, governo).

  • Filtro de URL e DNS com categorização

    Aplicação de políticas de navegação por grupo do AD, bloqueio de categorias de risco, controle de quotas e DNS seguro com bloqueio de domínios maliciosos.

  • Integração com Active Directory, Azure AD, LDAP e SAML

    Autenticação transparente de usuários para políticas baseadas em identidade, sincronização de grupos e SSO administrativo.

  • Habilitação de MFA para administração e VPN

    Segundo fator obrigatório para console de gerência e usuários de VPN, com integração a Microsoft Authenticator, Duo, FortiToken ou hardware tokens.

  • VPN site-to-site IPsec entre filiais

    Túneis IKEv2 com AES-256, redundância de gateways, roteamento dinâmico sobre VPN e monitoramento de saúde dos túneis com alertas.

  • VPN SSL/IPsec client-to-site para home office

    Portal de acesso remoto com autenticação MFA, perfis por grupo, split tunneling controlado e verificação de postura do endpoint antes da conexão.

  • Implantação de ZTNA para aplicações internas

    Publicação de aplicações internas (RDP, SSH, web apps) com acesso por usuário/app, sem expor a rede, eliminando necessidade de VPN tradicional.

  • SD-WAN com múltiplos links e failover

    Configuração de balanceamento entre MPLS, fibra e LTE/5G, com SLA por aplicação, failover automático e roteamento por qualidade de link em tempo real.

  • Cluster de alta disponibilidade (HA)

    Implantação de par HA ativo-passivo ou ativo-ativo com sincronização de sessões e configuração, garantindo continuidade operacional em caso de falha.

  • Integração com SIEM e SOC 24x7

    Envio de logs estruturados ao SIEM corporativo, criação de regras de correlação, dashboards e integração com playbooks de resposta a incidentes do SOC.

  • Dashboards executivos e relatórios mensais

    Painéis customizados por stakeholder (CISO, infra, compliance) com KPIs de tráfego, ameaças bloqueadas, top usuários/apps, anomalias e tendências.

  • Atualização contínua de firmware e assinaturas

    Aplicação de patches de segurança, atualizações de IPS/AV/URL e upgrades de versão em janelas acordadas, com testes em laboratório antes da produção.

  • Tuning de regras e revisão trimestral de políticas

    Análise periódica de regras não utilizadas, regras sombra, ordem de avaliação e oportunidades de consolidação para reduzir complexidade e risco.

  • Resposta a incidentes com playbooks

    Plano de resposta documentado por tipo de incidente (intrusão, exfiltração, DDoS), com papéis definidos, comunicação e integração ao processo de IR corporativo.

Principais recursos

  • Inspeção profunda de pacotes (DPI)

    Análise do conteúdo de cada pacote além do cabeçalho, identificando padrões de protocolos, anomalias e payloads maliciosos mesmo quando trafegam em portas não convencionais.

  • Inspeção SSL/TLS 1.3

    Descriptografia seletiva de tráfego HTTPS para inspeção de ameaças, com bypass automático de categorias sensíveis (saúde, financeiro, governo) e suporte a TLS 1.3 e ECH sem perda de visibilidade.

  • Controle de aplicações (App-ID)

    Reconhecimento de mais de 3.000 aplicações por assinatura comportamental — não apenas por porta — permitindo políticas granulares por app, função e usuário (ex.: liberar Teams chat, bloquear upload de arquivos).

  • Filtro de URL e categorização web

    Banco de URLs com mais de 80 categorias atualizado em tempo real, bloqueio por reputação, controle de quotas de tempo/banda por categoria e exceções por usuário ou grupo do AD.

  • IPS/IDS com assinaturas atualizadas

    Mais de 20.000 assinaturas de prevenção de intrusão atualizadas continuamente pelos labs dos fabricantes, com proteção contra exploits conhecidos, CVEs recentes e ataques de protocolo.

  • Anti-malware e sandbox em nuvem

    Análise estática e dinâmica de arquivos suspeitos em sandbox isolado na nuvem (FortiSandbox, WildFire, ThreatCloud), detectando ameaças zero-day antes de chegarem ao endpoint.

  • Proteção contra DNS tunneling e DGA

    Detecção de canais encobertos via DNS, algoritmos de geração de domínios usados por malware e bloqueio de comunicação com servidores de comando e controle (C2) conhecidos.

  • VPN site-to-site IPsec/IKEv2

    Túneis criptografados entre matriz, filiais e parceiros com IKEv2, AES-256, perfect forward secrecy e roteamento dinâmico (BGP/OSPF) sobre VPN.

  • VPN client SSL e ZTNA

    Acesso remoto via SSL VPN tradicional para compatibilidade ampla, ou ZTNA moderno com acesso por aplicação, MFA obrigatório e verificação contínua de postura do dispositivo.

  • SD-WAN seguro com failover

    Roteamento inteligente entre múltiplos links (MPLS, fibra, 4G/5G) baseado em latência, jitter e perda, com failover sub-segundo e segurança full-stack aplicada na borda.

  • Segmentação Zero Trust por identidade

    Microssegmentação de rede com políticas baseadas em usuário, grupo do AD/Azure AD e postura do dispositivo, eliminando confiança implícita por sub-rede ou VLAN.

  • Integração com AD, LDAP, SAML e MFA

    Autenticação unificada com Active Directory, Azure AD, LDAP, SAML 2.0 e provedores de MFA (Microsoft Authenticator, Duo, Okta) para administração e VPN.

  • Alta disponibilidade ativo-ativo

    Cluster de dois ou mais appliances com sincronização de sessões, failover transparente em milissegundos e balanceamento de carga, eliminando ponto único de falha.

  • Logs centralizados e SIEM-ready

    Envio de logs em formato CEF/LEEF/Syslog para SIEMs (Splunk, Sentinel, QRadar, Wazuh), com retenção configurável, correlação avançada e evidências auditáveis.

Como trabalhamos

01

Assessment

Captura e análise de tráfego (NetFlow/sFlow) por 7-15 dias para mapear aplicações, usuários, picos de banda, dependências externas e exposição atual. Entregamos relatório de descoberta com riscos identificados.

02

Design

Definição da arquitetura: zonas de segurança, segmentação Zero Trust, política de inspeção SSL, estratégia de VPN/ZTNA, dimensionamento de hardware e plano de alta disponibilidade. Documento de baixa engenharia (LLD) aprovado pelo cliente.

03

Implantação

Deploy em laboratório, testes em paralelo com firewall atual, migração de regras com tradução automatizada, janela de cutover controlada (geralmente madrugada), validação de tráfego crítico e plano de rollback documentado.

04

Hardening

Aplicação de baseline de segurança CIS, desativação de serviços desnecessários, hardening do plano de gerência, MFA obrigatório, segregação de funções administrativas e auditoria de configuração.

05

Operação 24x7

Monitoramento contínuo via NOC/SOC, resposta a alertas com SLA por severidade, tuning semanal de regras, atualização de firmware em janela acordada e revisão trimestral de políticas.

06

Evolução

Relatórios executivos mensais, recomendações de melhoria, expansão para novas filiais, integração com novas soluções (EDR, CASB, SASE) e atualização de roadmap.

Perguntas frequentes

Vamos conversar sobre Next Generation Firewall?

Receba um diagnóstico gratuito e uma proposta sob medida para o seu cenário.

Falar com consultor