O que é Next-Generation Firewall (NGFW) e por que sua empresa precisa de um
Firewalls tradicionais analisam apenas porta e protocolo. O NGFW vai além: identifica aplicações, usuários e inspeciona tráfego criptografado em tempo real — essencial para proteger redes modernas.
O que é um firewall tradicional
Um firewall tradicional (stateful firewall) analisa pacotes de rede com base em três atributos: endereço IP de origem, endereço IP de destino e porta TCP/UDP. Se a regra diz permitir tráfego da rede interna para qualquer destino na porta 443, todo o tráfego HTTPS passa — independentemente do que está dentro.
Esse modelo funcionou bem quando as aplicações usavam portas fixas e previsíveis. Hoje, a realidade é diferente: aplicações legítimas e malware usam as mesmas portas, praticamente todo o tráfego é HTTPS, e a identidade do usuário é mais relevante do que o endereço IP da estação.
O que define um NGFW
O termo Next-Generation Firewall foi formalizado pelo Gartner em 2009 para descrever firewalls com capacidades que vão além da inspeção stateful tradicional. As características essenciais de um NGFW são:
Identificação de aplicações (App-ID): o NGFW identifica a aplicação que está gerando o tráfego independentemente da porta usada. Facebook, WhatsApp Web, Dropbox e uma ferramenta de acesso remoto malicioso podem todas usar a porta 443 — o NGFW distingue cada uma.
Inspeção SSL/TLS: descriptografa e inspeciona tráfego HTTPS em tempo real, aplicando todos os perfis de segurança ao conteúdo — não apenas ao envelope do pacote.
Controle baseado em identidade: integração com Active Directory e outros diretórios permite criar políticas baseadas em usuário ou grupo — não apenas em IP. Um funcionário do financeiro recebe políticas diferentes de um estagiário, mesmo conectados na mesma rede.
Prevenção de intrusões integrada (IPS): inspeção profunda de pacotes para detectar e bloquear exploits conhecidos em tempo real, usando assinaturas atualizadas por rede global de inteligência de ameaças.
NGFW vs UTM: esses termos são frequentemente confundidos. UTM (Unified Threat Management) descreve a consolidação de funções de segurança em um único appliance. NGFW descreve uma arquitetura de inspeção mais sofisticada. O FortiGate é um NGFW que também entrega a consolidação do UTM — mas com arquitetura e performance significativamente superiores aos UTMs da geração anterior.
Por que o firewall tradicional não é suficiente
Três tendências tornaram o firewall tradicional inadequado para a segurança corporativa moderna:
Criptografia ubíqua: mais de 80% do tráfego de internet hoje é HTTPS. Um firewall que não faz inspeção SSL é cego à maioria do tráfego que passa por ele — malware, exfiltração de dados e ataques C2 passam livremente dentro de conexões HTTPS aparentemente legítimas.
Aplicações independentes de porta: ferramentas de acesso remoto não autorizado, malware moderno e aplicações de alto consumo de largura de banda operam sobre portas padrão (80, 443) para contornar firewalls. Bloquear portas não é mais uma estratégia de controle eficaz.
Ameaças sofisticadas: ransomware, APTs e ataques de dia zero usam técnicas que firewalls stateful não conseguem detectar — polimorfismo de malware, exploits em aplicações legítimas, movimentação lateral dentro da rede.
O FortiGate como NGFW
O FortiGate é classificado como líder no Quadrante Mágico do Gartner para Network Firewalls, com reconhecimento consistente por performance, funcionalidade e custo-benefício.
Além das capacidades NGFW padrão, o FortiGate se diferencia pelos ASICs proprietários — chips NP e CP desenvolvidos pela Fortinet especificamente para acelerar inspeção de firewall, IPS e criptografia em hardware. Isso resulta em throughput real com inspeção completa ativa significativamente superior ao que appliances baseados em CPU de propósito geral entregam.
O ecossistema Security Fabric integra o FortiGate com FortiClient (endpoint), FortiAnalyzer (logs), FortiManager (gestão centralizada), FortiMail e outros produtos Fortinet em uma plataforma unificada — com inteligência de ameaças compartilhada em tempo real entre todos os componentes.
Quando fazer o upgrade para NGFW
Se a sua empresa ainda opera com um firewall stateful tradicional (Cisco ASA clássico, pfSense básico, ou similares), a migração para NGFW deve ser considerada urgente se qualquer um desses fatores se aplicar:
Mais de 50% do tráfego de internet é HTTPS sem inspeção SSL ativa; usuários acessam aplicações SaaS corporativas (Microsoft 365, Google Workspace, Salesforce) sem controle de uso; não há visibilidade do que as aplicações instaladas nos computadores estão fazendo na rede; ou o ambiente já sofreu incidente de segurança como ransomware ou comprometimento de credenciais.
Dica Fortilab: para a maioria das PMEs brasileiras, o FortiGate 60F com bundle UTP é o ponto de entrada ideal para NGFW — entrega todas as capacidades descritas neste artigo com custo acessível e gestão simplificada.