Firewall de rede vs. firewall de nova geração vs. firewall zero trust

Filtra o tráfego com base em regras estáticas para endereços IP, portas e protocolos

Incorpora conhecimento de aplicativos e prevenção contra invasões (além de filtragem baseada em IP, porta e protocolo)

Filtros baseados em políticas sensíveis ao contexto e verificação dinâmica, incluindo IPs de origem e destino, portas e protocolos, identidade do usuário, risco e políticas comerciais

Filtragem de pacotes superficiais com base na inspeção de cabeçalhos (somente cabeçalhos L2, L3, L4)

Inspeção profunda de pacotes (DPI) para análise de aplicativos e carga útil (L2, L3, L4, L7)

Adiciona ao DPI com microssegmentação adicional e verificação contínua

Não compatível

Compatível

Compatível, com controles de acesso de privilégio mínimo

Não compatível

Compatível por meio da integração com provedores de identidade (LDAP, AD, etc.)

Recurso principal, profundamente integrado ao gerenciamento de identidade e acesso (IAM)

Básico (bloqueio de IP/porta, tradução de endereço de rede [NAT])

Geralmente inclui IPS, sandbox, antivírus, filtragem de URL

IDS/IPS, Controle de DNS, verificação de dispositivo do usuário

Ruim

• Propenso a gargalos devido à inspeção de TLS/SSL com uso intensivo do processador
• Requer hardware dedicado em cada local
• Precisa ser substituído conforme as necessidades de processamento aumentam

Restritivo

• Problemas semelhantes aos firewalls de rede
• Frequentemente limitado por fluxos de tráfego e capacidade de inspeção, como acontece com firewalls de rede

Ilimitado

• Nativo da nuvem; sem dispositivos para gerenciar ou dimensionar
• Pode provisionar instantaneamente novos recursos e capacidade

Oneroso

• Projetado para proteger no local, não na nuvem
• As políticas devem ser recriadas para cada local
• Deve ser reconfigurado se a arquitetura da rede mudar
• As ACLs exigem atualizações manuais complicadas

Complexas

• Ainda fundamentalmente construído para redes estáticas
• As políticas estáticas não são flexíveis ou dimensionáveis o suficiente para nuvens dinâmicas e distribuídas
• Aplicação inconsistente de políticas em vários ambientes

Simples

• Defina, implante e aplique políticas centralmente para todos os usuários e locais
• Regras centralizadas e granulares baseadas em usuário, aplicativo, local, grupo e departamento
• Registros forenses completos melhoram a investigação e a resposta

Volátil

• Altos custos de capital para compra inicial, implantação e atualização
• Dependência contínua de uma grande pilha de segurança

Inconsistente

• Altos custos iniciais e custos contínuos moderados devido à assinatura
• O dimensionamento requer hardware adicional ou dispositivos virtuais na nuvem

Estável

• Baseado em Opex; modelo de assinatura previsível
• Sem limitações de escala
• Elimine NGFWs físicos e virtuais, dispositivos de IPS e sistemas de registro e monitoramento​

Básico

Proteção de ambientes internos de baixo risco que exigem defesa perimetral básica

Nicho

Proteção de redes locais complexas que exigem defesa de perímetro

Plataforma

Proteção de ativos críticos, serviços de nuvem e redes híbridas que exigem controles zero trust dinâmicos, independentemente de onde os usuários, dispositivos e ativos estejam localizados