{"id":41377,"date":"2026-04-12T23:13:41","date_gmt":"2026-04-12T23:13:41","guid":{"rendered":"https:\/\/ramsdata.com.pl\/ngfw-de-proxima-geracao-o-que-diferencia-a-firewall-da-palo-alto-das-solucoes-de-rede-classicas\/"},"modified":"2026-04-12T23:13:41","modified_gmt":"2026-04-12T23:13:41","slug":"ngfw-de-proxima-geracao-o-que-diferencia-a-firewall-da-palo-alto-das-solucoes-de-rede-classicas","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/pt-pt\/ngfw-de-proxima-geracao-o-que-diferencia-a-firewall-da-palo-alto-das-solucoes-de-rede-classicas\/","title":{"rendered":"NGFW de pr\u00f3xima gera\u00e7\u00e3o – o que diferencia a firewall da Palo Alto das solu\u00e7\u00f5es de rede cl\u00e1ssicas"},"content":{"rendered":"

O termo “Next-Generation Firewall” (NGFW) aparece no marketing de muitos fornecedores, mas nem todos os fornecedores t\u00eam o mesmo significado. A defini\u00e7\u00e3o cl\u00e1ssica de NGFW (Gartner, 2009) inclu\u00eda a inspe\u00e7\u00e3o do estado, a identifica\u00e7\u00e3o de aplica\u00e7\u00f5es e utilizadores e a integra\u00e7\u00e3o com sistemas IPS. Desde o in\u00edcio, a Palo Alto Networks teve a sua pr\u00f3pria vis\u00e3o, mais ambiciosa, do que deveria ser uma firewall de pr\u00f3xima gera\u00e7\u00e3o – e esta vis\u00e3o moldou o que distingue a Palo Alto Networks<\/a> das solu\u00e7\u00f5es de rede cl\u00e1ssicas actuais. <\/p>\n

\u00cdndice<\/h3>\n
    \n
  1. O que era a firewall cl\u00e1ssica e que limita\u00e7\u00f5es tinha?<\/li>\n
  2. Como \u00e9 que a Palo Alto Networks est\u00e1 a redefinir o NGFW?<\/li>\n
  3. App-ID – identifica\u00e7\u00e3o de aplica\u00e7\u00f5es em vez de portas<\/li>\n
  4. User-ID – pol\u00edticas baseadas no utilizador<\/li>\n
  5. Content-ID – inspe\u00e7\u00e3o de conte\u00fados e riscos<\/li>\n
  6. Acesso \u00e0 rede de confian\u00e7a zero da Palo Alto<\/li>\n
  7. Integra\u00e7\u00e3o com o ecossistema Palo Alto (Prisma, Cortex)<\/li>\n
  8. Principais conclus\u00f5es<\/li>\n
  9. FAQ<\/li>\n
  10. Resumo<\/li>\n<\/ol>\n

    O que era a firewall cl\u00e1ssica e que limita\u00e7\u00f5es tinha?<\/h3>\n

    A firewall cl\u00e1ssica (stateful inspection) controlava o acesso \u00e0 rede com base em endere\u00e7os IP, portas e protocolos de transporte. A regra “permite a porta TCP 80 da LAN para a Internet” parecia sensata numa era em que a porta 80 significava HTTP e HTTP significava navega\u00e7\u00e3o. Essa era acabou h\u00e1 muito tempo. <\/p>\n

    Hoje em dia, absolutamente tudo passa pela porta 443 (HTTPS): Netflix, Dropbox, Salesforce, webmail, aplica\u00e7\u00f5es maliciosas, t\u00faneis de malware C2, dados roubados. Uma firewall cl\u00e1ssica v\u00ea: “Tr\u00e1fego HTTPS para a Internet – permitido”. A NGFW Palo Alto v\u00ea: “aplica\u00e7\u00e3o X, utilizador Y, contendo ficheiro Z, com perfil de risco W – permitir\/bloquear\/restringir”. <\/p>\n

    Esta diferen\u00e7a na visibilidade traduz-se diretamente na capacidade de aplicar pol\u00edticas de seguran\u00e7a significativas. A combina\u00e7\u00e3o com as solu\u00e7\u00f5es NAC<\/a> cria uma prote\u00e7\u00e3o abrangente desde a camada de rede at\u00e9 ao terminal. <\/p>\n

    Como \u00e9 que a Palo Alto Networks est\u00e1 a redefinir o NGFW?<\/h3>\n

    A Palo Alto Networks construiu o seu NGFW em torno de tr\u00eas motores de identifica\u00e7\u00e3o: App-ID (identifica\u00e7\u00e3o de aplica\u00e7\u00f5es), User-ID (identifica\u00e7\u00e3o de utilizadores) e Content-ID (inspe\u00e7\u00e3o de conte\u00fados). Todos os tr\u00eas s\u00e3o executados simultaneamente, em cada pacote, sem a necessidade de configurar m\u00f3dulos separados. Trata-se de uma arquitetura de “passagem \u00fanica – cada pacote \u00e9 analisado por todos os motores de uma s\u00f3 vez, em vez de passar por uma cadeia de unidades separadas. <\/p>\n

    Na pr\u00e1tica, isto significa que uma pol\u00edtica de seguran\u00e7a pode ser a seguinte: “permite o Salesforce para o grupo Salesforce, apenas durante o hor\u00e1rio de trabalho, verificando o conte\u00fado para DLP, bloqueando uploads de PDF”. Nenhuma firewall cl\u00e1ssica ou combina\u00e7\u00e3o de firewall + proxy + IPS permitir\u00e1 que uma regra deste tipo seja definida num \u00fanico local e aplicada de uma s\u00f3 vez. <\/p>\n

    App-ID – identifica\u00e7\u00e3o de aplica\u00e7\u00f5es em vez de portas<\/h3>\n

    A App-ID \u00e9 uma tecnologia da Palo Alto que identifica uma aplica\u00e7\u00e3o atrav\u00e9s da an\u00e1lise do seu comportamento e n\u00e3o do seu n\u00famero de porta ou protocolo. A App-ID tem uma base de dados com mais de 3000 assinaturas de aplica\u00e7\u00f5es – desde aplica\u00e7\u00f5es empresariais (Salesforce, SAP, Teams) a redes sociais (Facebook, TikTok) e potencialmente maliciosas (ferramentas de tunelamento, anonimizadores, aplica\u00e7\u00f5es P2P). <\/p>\n

    A identifica\u00e7\u00e3o \u00e9 a v\u00e1rios n\u00edveis: porta e protocolo de transporte como pista, descodifica\u00e7\u00e3o do protocolo da aplica\u00e7\u00e3o, an\u00e1lise da assinatura da aplica\u00e7\u00e3o e, quando insuficiente, an\u00e1lise heur\u00edstica comportamental. O App-ID funciona mesmo para tr\u00e1fego HTTPS encriptado, analisando SNI, certificados TLS e padr\u00f5es de comportamento. <\/p>\n

    O resultado \u00e9 a capacidade de escrever pol\u00edticas orientadas a aplicativos: “bloqueia o BitTorrent independentemente da porta” em vez de “bloqueia a porta 6881-6889” (que o BitTorrent pode contornar de qualquer forma). As pol\u00edticas orientadas para aplica\u00e7\u00f5es s\u00e3o mais sem\u00e2nticas e mais permanentes – n\u00e3o precisam de ser actualizadas quando uma aplica\u00e7\u00e3o muda de porta. <\/p>\n

    User-ID – pol\u00edticas baseadas no utilizador<\/h3>\n

    O User-ID mapeia endere\u00e7os IP para identidades de utilizadores do Active Diretory, LDAP, sistemas SSO e outras fontes de identidade. O resultado \u00e9 a capacidade de escrever pol\u00edticas baseadas no utilizador e no grupo em vez do endere\u00e7o IP. <\/p>\n

    “Permite o YouTube para o grupo de Marketing, bloqueia para todos os outros”. – \u00e9 uma regra que \u00e9 imposs\u00edvel de executar corretamente por uma firewall cl\u00e1ssica quando os endere\u00e7os IP dos utilizadores s\u00e3o din\u00e2micos (DHCP) ou quando v\u00e1rios utilizadores partilham um \u00fanico dispositivo. O User-ID resolve este problema mapeando continuamente a identidade-IP a partir de registos AD, agentes em esta\u00e7\u00f5es e integra\u00e7\u00e3o com sistemas Captive Portal. <\/p>\n

    A consequ\u00eancia \u00e9 tamb\u00e9m uma melhor auditoria: os registos da firewall mostram “John Smith ligou-se ao Dropbox e carregou 500 MB” em vez de “endere\u00e7o IP 192.168.1.45 ligado ao IP 1.2.3.4 atrav\u00e9s da porta 443”.<\/p>\n

    Content-ID – inspe\u00e7\u00e3o de conte\u00fados e riscos<\/h3>\n

    O Content-ID \u00e9 um motor de inspe\u00e7\u00e3o profunda de pacotes (DPI) que inclui: IPS (Intrusion Prevention System) com uma base de dados de assinaturas de explora\u00e7\u00e3o e ataque, an\u00e1lise antiv\u00edrus\/anti-malware de ficheiros no tr\u00e1fego de rede, filtragem de URLs com categoriza\u00e7\u00e3o de milhares de milh\u00f5es de URLs, bloqueio de ficheiros por tipo (n\u00e3o apenas a extens\u00e3o, mas o conte\u00fado real) e dete\u00e7\u00e3o de dados sens\u00edveis (DLP b\u00e1sico no tr\u00e1fego de rede).<\/p>\n

    Todas estas fun\u00e7\u00f5es funcionam “em linha” – em tempo real, no fluxo de tr\u00e1fego. Ao contr\u00e1rio de uma arquitetura multi-caixa (IPS separado, proxy separado, anti-v\u00edrus separado), a arquitetura unificada da Palo Alto elimina “lacunas” entre produtos atrav\u00e9s dos quais as amea\u00e7as podem passar despercebidas. <\/p>\n

    A integra\u00e7\u00e3o com a seguran\u00e7a Web de pr\u00f3xima gera\u00e7\u00e3o<\/a> completa a prote\u00e7\u00e3o com filtragem avan\u00e7ada de conte\u00fados Web.<\/p>\n

    Acesso \u00e0 rede de confian\u00e7a zero da Palo Alto<\/h3>\n

    Zero Trust \u00e9 um modelo de seguran\u00e7a “nunca confies, verifica sempre”. – Todo o acesso deve ser autorizado, independentemente da localiza\u00e7\u00e3o do utilizador. A Palo Alto Networks implementa o Zero Trust atrav\u00e9s de v\u00e1rios produtos: Prisma Access (ZTNA para utilizadores remotos), NGFW como um microper\u00edmetro que segmenta a rede interna e Prisma Cloud para ambientes de nuvem. <\/p>\n

    O NGFW da Palo Alto num ambiente Zero Trust serve como o executor de pol\u00edticas de acesso entre segmentos de rede – substituindo o modelo de rede plana tradicional com tr\u00e1fego livre este-oeste restringido por pol\u00edticas App-ID + User-ID.<\/p>\n

    Integra\u00e7\u00e3o com o ecossistema Palo Alto (Prisma, Cortex)<\/h3>\n

    O NGFW da Palo Alto n\u00e3o \u00e9 um produto aut\u00f3nomo, mas faz parte de um ecossistema maior. O Cortex XDR recolhe a telemetria do NGFW para an\u00e1lise de correla\u00e7\u00e3o e dete\u00e7\u00e3o avan\u00e7ada de amea\u00e7as (APT). O Cortex XSOAR utiliza dados do NGFW para automatizar a resposta a incidentes. O Panorama \u00e9 a gest\u00e3o central de v\u00e1rios dispositivos NGFW a partir de uma \u00fanica consola. <\/p>\n

    Partilha de Threat Intelligence: todos os dispositivos Palo Alto em todo o mundo contribuem para a base de dados de amea\u00e7as WildFire – os ficheiros desconhecidos s\u00e3o analisados numa sandbox e as assinaturas de novas amea\u00e7as s\u00e3o distribu\u00eddas a toda a frota em minutos.<\/p>\n

    Principais conclus\u00f5es<\/h3>\n