Firewall.

Um firewall aplica uma política de controle de acesso na fronteira de uma rede, inspecionando pacotes e permitindo, negando ou registrando-os conforme regras que fazem referência a IP de origem/destino, portas e protocolos. A tecnologia evoluiu ao longo de três gerações: filtros de pacotes sem estado, que avaliam cada pacote isoladamente; a inspeção com estado (stateful), introduzida pelo Check Point FireWall-1 em 1994, que rastreia o estado da conexão para que o tráfego de retorno seja associado a uma sessão estabelecida; e os firewalls de próxima geração (NGFWs), que acrescentam identificação de aplicações, inspeção de TLS, reconhecimento de usuário e IPS integrado.

Os firewalls de perímetro têm pontos cegos bem conhecidos: não conseguem inspecionar o tráfego leste-oeste cifrado dentro de uma rede plana, e uma única regra permissiva ou encoberta pode comprometer toda a política. A má configuração é o principal modo de falha no mundo real — a violação da Capital One em 2019, que expôs cerca de 100 milhões de registros, originou-se de uma função de web-application-firewall excessivamente permissiva, abusada via SSRF para alcançar os metadados da nuvem. Uma implantação eficaz significa conjuntos de regras com negação por padrão (default-deny), regras de mínimo privilégio, recertificação periódica para remover entradas obsoletas, gestão de mudanças e logs centralizados enviados a um SIEM para detectar desvios e movimentação lateral. Os projetos modernos combinam firewalls com microssegmentação e gateways de confiança zero (zero-trust) em vez de depender de um único perímetro rígido.

flowchart TD
  P[Pacote recebido] --> S{Corresponde à tabela de estado?}
  S -- Sim --> A[Permitir fluxo estabelecido]
  S -- Não --> R{Corresponde a uma regra?}
  R -- Permitir --> L[Permitir, registrar, adicionar à tabela de estado]
  R -- Negar --> D[Descartar ou rejeitar, registrar]
  R -- Sem correspondência --> DD[Negação por padrão]