Por que usar firewall pfSense?

Por que usar firewall pfSense?

Entre as soluções opensource, pfSense é a mais popular do mundo, devido a sua robustez, gestão simplificada e uma grande lista de recursos. O pfSense é a solução mais adequada tanto para empresas que buscam um firewall open source com uma gestão visual e simplificada como também à aquelas que procuram alternativas à firewall comerciais com licenciamentos expansíveis, sendo uma excelente alternativa ao Sonicwall, CheckPoint, e Microsoft TMG.

Conheça as principais caraterísticas do pfSense e como ele poderá atender suas necessidades.

Gestão simplificada

Uma das maiores vantagens do pfSense é sua facilidade de uso. Todas os recursos são disponíveis por uma interface web Ajax para uma administração visual e focada nas funcionalidades. Nenhuma configuração deve ser aplicada via console.

A estrutura do pfSense é modular. São vários recursos que podem ser incorporados com apenas um clique ao firewal e assim manter somente as funcionalidades desejáveis.

A Dashboard exibe informações primordiais, como uso de banda dos links, consumo de cpu, memória, versão do sistema, estado da Alta disponibilidade, da VPN e outras informações que podem ser adicionada, removidas ou organizadas com o mouse.

Estabilidade garantida

É desejável que um firewall seja fácil de gerenciar, mas acima de tudo seja estável. Diferentemente de outras soluções opensource similares, o pfSense possui ciclos de lançamentos longos e estáveis. Somente modificações já exaustivamente testadas são incorporadas aos produtos. A atualização do firewall é feita de forma automatizada e não gera indisponibilidade.

O pfSense não é um aplicativo a ser instalado em qualquer sistema operacional opensource. Ele é uma distribuição completa baseada em Freebsd já com sistema operacional e serviços incorporados e adaptados para garantia de que sempre irá funcionar como esperado. Deve ser instalado em um servidor sem nenhum sistema disponível. Há opção comercial com pfSense entregue em appliances para alocação em racks.

Múltiplas WAN

Permite o uso de várias conexões de internet que podem atuar em conjunto. Pode-se determinar se a prioridade de uso dos links e assim determinar se um só será usado na falha de outro ou se serão utilizados em load balance para aplicação da banda disponível.

Essas definições são configuradas em Grupos de Gateways para serem usadas em regras de redirecionamento. Assim é possível adotar estratégias diferentes para grupos de usuários, setores da empresa ou servidores. Se preciso mudar as definições de uso dos links, basta alterar os grupos de gateway e todas regras relacionadas serão automaticamente atualizadas. Notificações poderão ser enviadas por e-mail sempre que um link falhar.

Filtragem de pacotes

Os pacotes da rede podem ser filtrados por endereço IP, protocolo ou porta. Para cada regra podem ser definido um limite de conexões simultâneas. O pfSense pode identificar o sistema operacional do computador que fez o acesso e assim pode permitir a uma estação Windows, por exemplo, mas bloquear outro usando Linux. Suporte completo a diversos tipo de NAT.

Nomes amigáveis podem ser definidos (alias) para hosts, grupos de hosts, endereços e portas para simplificar as configurações dos filtros de pacotes. Todo o tráfego pode ser auditável para identificar se as regras estão sendo efetivas e por onde os pacotes estão sendo encaminhados.

Suporte à Packet normalization para garantia de que haja ambiguidades na interpretação pelo destino final do pacote. Pacotes fragmentados também são remontados, protegendo alguns sistemas operacionais de algumas formas de ataque, e descartando pacotes TCP que possuam combinações de flags inválidas.

Proxy web

O pfSense incorpora o renomado proxy Squid para otimização de acessos à web. Sites (e downloads) realizados por um usuário podem ser armazenado em disco ou memória para que sejam acessados localmente e exibidos instantaneamente para outros usuários.

Permite controle de acessos por ACL para definição de políticas de acesso por usuário, grupos, endereços e horários. Classifica sites para simplificar o bloqueios de endereços por categorias como sexo, chats, jogos onlines, streaming de vídeo, web rádios, etc. Exibe relatórios gerenciais com acesso negados, sites mais acessados e consumo de banda.

Portal Captiva

Exibe automaticamente uma página web para autenticação de usuários ao tentarem conectar pela primeira vez na internet via rede WiFI. Esta solução é comumente usada em redes host spot de hotéis e em corporações para liberação controlada do uso de internet por convidados. A página web do Portal pode ser facilmente personalizada para identidade visual da empresa.

Mecanismo para geração automatizada de vouchers para ingresso na rede WiFi. Suporte a autenticação em servidores Radius, Microsof Active Directory ou mecanismo do próprio PFsense.

Virtual Private Network (VPN)

Redes VPN podem ser facilmente criadas. Suporte aos protocolos Ipsec, openVPN, PPTP e L2TP. Certificados podem ser gerados pela própria interface web e criados automaticamente as configurações necessárias para configurações de clientes Windows e Linux por usuário. Permite visualizar a banda e internet consumida por cada conexão ativa e incorporar múltiplo links para failover ou load balancer.

Controle de banda

Regras de QoS poderão ser definidas para priorização, garantia de banda e/ou limite de banda que os usuários ou serviços poderão utilizar.

Este recurso permite preservar o uso do link de internet e garantir que um único usuário não terá como comprometê-lo quando houverem outros acesso simultâneos. Permite também priorizar acesso de alguns setores sobre outros, ou de serviços.

Relatórios e monitoramento

Suporte a gráficos no padrão RRD para visualização de estatísticas sobre períodos de tempo de minutos a anos com as seguintes informações:

  • Utilização de CPU
  • Consumo de banda total e de cada interface
  • Estado das Conexões
  • Pacotes processados por segundo
  • Latência dos links WAN
  • Filas do Traffic shaper

Suporte a informações exibidas em tempo real para realização de diagnósticos que contemplam:

  • Gráficos no padrão SVG com a banda utilizada em cada interface
  • Banda consumida por usuário em cada fila definida no traffic shaper
  • Uso de CPU, memory, swap and disco tabela state do firewall, etc.

Alta disponibilidade

Um ou mais firewalls podem ser configurados em um grupo failover. Se um deles falhar o outo assumirá automaticamente e notificações por e-mail serão enviadas. Falhas nas interfaces de rede são contempladas.

As conexões em andamento são sincronizadas em tempo real entre os firewalls, assim se houver um evento de failover, elas permanecerão ativas e será imperceptível aos usuários.

Backups podem agendados e permitem restaurar completamente o firewall em outro hardware em questão de minutos.

Mais recursos disponíveis

  • IDS e IPS
  • DHCP Server e RelayDNS dinâmico
  • PPPoE Server
  • Ntop
  • DNS server
  • Radius Server
  • Antivírus HTTP
  • AntiSpam
  • Border Gateway Protocol, Optimized Link State Routing e roteamento OSPF
  • Diversas ferramentas para análise de rede Agente Zabbix e Bacula disponíveis
Anterior Reduza custos com instâncias AWS
Próxima Conheça mais sobre os serviços de Gestão de Riscos e Testes de Intrusão

About author

Rodrigo Rodrigues Dias
Rodrigo Rodrigues Dias 10 posts

Trabalha com Linux desde 2001, onde começou com o extinto Conectiva Linux. Atuou em empresas de Consultoria e Telefonia IP e é certificado LPIC-3 303/304 e Exin DevOps Master/Professional. Foi Redator das revistas Linux PC Master e as edições extras com os saudosos CDs com as principais distribuições Linux do mercado. Foi também responsável pelo conteúdo da revista .NET, publicação inglesa adaptada ao Brasil e especializada no desenvolvimento e design web. Também foi o principal redator da Revista do CD-ROM, que marcou época. Atua hoje como Líder de Pré-Vendas da 4Linux onde auxilia clientes na definição de seus projetos Open Source. Já ministrou curso de formação Linux e Alta Disponibilidade, foi responsável pela Infraestrutura e Gerência de Projetos na 4Linux.

View all posts by this author →

Você pode gostar também

Infraestrutura

Gerenciamento de filas assíncronas com Celery e Redis

O Celery é uma fila de tarefas assíncrona de trabalho, implementada em python, com base na passagem de mensagens distribuídas. Está focado na operação em tempo real, mas também oferece

Infraestrutura

Inventário de rede com OCS Inventory

O OCS Inventory é um software de gerência para inventários de dispositivos em rede, com ele é possível registrar todas as características de um computador incluindo: Versão do sistema operacional;

Infraestrutura

Vault: Autenticação SSH com OneTime Password

Vault é uma ferramenta desenvolvida pela HashiCorp, essa ferramenta tem como objetivo fazer um armazenamento inteligente de “segredos”, podem ser eles, chaves de ssh, dados de acesso a um banco