Cada vez mais e mais empresas consideram implementar firewalls de next-generation em sua infraestrutura, com isso, os times de TI precisam pensar uma série de possíveis mudanças no design e na arquitetura do firewall em seus data-centers. Para determinar a colocação mais adequada da plataforma NGFW a ser utilizada, é bom determinar quais os casos de uso mais apropriados para sua instalação. Os cenários mais comuns para utilização do NGFW são os seguintes:

NGFW como um firewall substituto: Muitas empresas estão considerando comprar um NGFW assim que os appliances existentes na rede atinjam o fim da vida útil ou as licenças de uso necessitem ser renovadas. Nesse cenário, o NGFW vai ocupar o mesmo espaço que o firewall antigo ocupava. Assim como em um firewall tradicional, redundância e balanceamento de tráfego são essenciais.

NGFW como substituto de IPS: As empresas também estão considerando o NGFW para substituir sistemas IPS’s (intrusion prevent system) já existentes. Dependendo do modelo escolhido, o NGFW pode ser uma compra mais custosa, mas é uma consideração razoável para empresas que necessitem de outra camada de inspeção de aplicações, além do set básico de funções de um IPS. Infelizmente, as plataformas NGFW podem não ser tão escaláveis quanto infraestruturas mais tradicionais de IPS, e o custo de instalação pode subir bem optando-se por essa alternativa, haja vista que plataformas IPS são geralmente utilizadas inline em locações que possuem grandes pontos de entrada, zonas DMZ e atrás de plataformas VPN. Certifique-se que os NGFW tenham mecanismos de by-pass para permitir o tráfego em um cenário de falha, pareamento ativo-ativo ou ativo-passivo também é uma recomendação.

NGFW como firewall e substituto de IPS: Para empresas que buscam condensar a segurança e a infraestrutura especificamente, e, estejam em um cenário onde a vida útil do equipamento está acabando em conjunto com renovações de licença, a compra de um NGFW faz bastante senso pensando-se operacionalmente. Se uma única plataforma pode atingir os objetivos da empresa, assim como oferecer mais camadas de defesa, então essa é uma opção possível para reduzir custos operacionais e problemas relacionados com manutenção e gerência. Nesse cenário, a consolidação através de um NGFW pode ser possível, pois ele substitui múltiplas ferramentas. As considerações chave são: (i) opções de redundância e disponibilidade; (ii) throughput total.

NGFW como um controle adicional: Para empresas buscando outra camada de defesa, particularmente aquelas que estão para implementar uma segunda camada de firewall, ou apenas alguma outra camada de segurança, as plataformas NGFW podem fornecer um amplo escopo de novas soluções de segurança. O posicionamento em sua arquitetura vai depender de qual funcionalidade você utilizará. Para identificação de usuários e monitoramento passivo, os dispositivos podem ser colocados “out of band”, utilizando espelhamento se necessário. Entretanto, para qualquer ação de bloqueio, o posicionamento deve ser inline onde o tráfego passar.