Aproximativ 60% dintre breșele de securitate raportate în companiile europene în 2024 au implicat trafic rețea care a trecut printr-un firewall — fără să fie blocat. Nu pentru că firewall-ul lipsea, ci pentru că era depășit. Aceasta e diferența practică dintre un firewall clasic și un firewall de nouă generație (NGFW, Next-Generation Firewall).
Ce face un NGFW diferit față de ce știam
Firewall-ul tradițional funcționa simplu: permite sau blochează traficul pe baza porturilor și adreselor IP. Logică clară, implementare simplă. Problema e că atacatorii au învățat rapid să folosească porturile „de încredere” — portul 443 (HTTPS), de exemplu — pentru a transporta cod malițios. Un filtru bazat pe porturi pur și simplu nu vede asta.
NGFW-ul merge cu un nivel mai adânc. Inspectează conținutul efectiv al pachetelor, identifică aplicația care generează traficul (nu doar protocolul), analizează comportamentul utilizatorilor și poate corela informații din mai multe surse în timp real. Practic, e diferența dintre un portar care verifică doar cartea de vizită și unul care știe cine ești, cu cine lucrezi și dacă ai mai creat probleme în trecut.
Capabilități care schimbă ecuația riscului
Cel mai valoros modul dintr-un NGFW modern e inspecția SSL/TLS. Sună tehnic, dar implicația e directă: majoritatea traficului web azi e criptat. Un firewall clasic nu poate „vedea” prin criptare — îl lasă să treacă, fidel regulilor de port. NGFW-ul decriptează, inspectează, recriptează. Totul în milisecunde, transparent pentru utilizator.
Urmează IPS — Intrusion Prevention System — integrat direct în fluxul de procesare. Nu ca un modul separat care adaugă latență, ci ca parte din pipeline-ul de analiză. Semnăturile de atac se actualizează automat, iar unele soluții folosesc acum analiză bazată pe inteligență artificială pentru a detecta tipare anomale fără să aibă nevoie de o semnătură preexistentă.
Controlul aplicațiilor e o altă capabilitate distinctivă. Un NGFW știe diferența dintre trafic legitim de Zoom și un tool de remote access care mimează același pattern. Poate aplica politici granulare: permite videoconferința, dar blochează partajarea fișierelor prin aceeași aplicație. Acesta e nivelul de control pe care echipele de securitate și-l doreau de ani buni.
Scenariul real: ce se întâmplă când lipsește
Să luăm un exemplu concret. O firmă de 80 de angajați, rețea mixtă — câțiva în birou, restul remote. Firewall clasic, reguli configurate acum trei ani, nimeni n-a mai revizuit politicile de atunci. Un angajat instalează o extensie de browser compromisă. Extensia stabilește o conexiune outbound pe portul 443 către un server de comandă și control. Firewall-ul clasic? Îl lasă să treacă. E HTTPS, e „sigur”.
Cu un NGFW activ, scenariul ar fi diferit. Inspecția SSL detectează certificatul suspect. Motorul de reputație IP marchează serverul destinație ca risc înalt. Conexiunea e blocată, evenimentul e logat, echipa IT primește alertă. Breșa e prevenită înainte să devină incident.
Nu e un scenariu ipotetic — e pattern-ul majorității atacurilor de tip command-and-control documentate în ultimii doi ani, conform rapoartelor Cisco Talos și Palo Alto Unit 42.
Arhitectura contează la fel de mult ca produsul
Un NGFW excelent pus greșit în rețea poate fi ineficient. Există câteva decizii arhitecturale care determină dacă investiția își face treaba.
Segmentarea rețelei e prima. Dacă tot traficul intern circulă liber între segmente, un NGFW plasat doar la perimetru nu vede lateral movement — adică deplasarea unui atacator deja intrat în rețea dinspre un endpoint compromis spre sisteme critice. NGFW-ul trebuie să inspecteze și traficul est-vest, nu doar nord-sud (intern-extern). Asta implică segmentare corectă și plasarea logică a firewall-ului între zone.
A doua decizie e între hardware dedicat, virtual sau cloud-native. Companiile cu infrastructură hibridă au nevoie de soluții care acoperă toate cele trei scenarii coerent — politici unificate, vizibilitate centralizată. Fragmentarea duce la unghiuri oarbe, iar unghiurile oarbe sunt exact ce exploatează atacatorii.
Dacă organizația ta gestionează date sensibile sau operează în industrii reglementate, o strategie integrată de securitate cibernetică nu poate trata NGFW-ul ca soluție izolată — e o piesă dintr-un puzzle mai larg, alături de EDR, SIEM și politici de acces bazate pe identitate.
Costul real al unui NGFW: mai simplu decât pare
Obiecția clasică e prețul. Și e adevărat — un NGFW enterprise costă mai mult decât un firewall clasic. Dar calculul corect nu compară prețurile de achiziție, ci costul total al riscului.
Conform IBM Cost of a Data Breach Report 2024, costul mediu al unei breșe de date la nivel global a depășit 4,8 milioane de dolari. Pentru companiile din Europa, cu GDPR în ecuație, adaugă amenzi potențiale de până la 4% din cifra de afaceri globală. Un NGFW mid-range pentru o companie de 100-200 de utilizatori se situează în intervalul 8.000–25.000 EUR pentru soluția completă pe 3 ani. Matematica e rapidă.
E drept că nu orice companie are echipa internă să configureze și să mențină o astfel de soluție. Asta e contextul în care externalizarea administrării infrastructurii de securitate face sens — mai ales că un NGFW nemonitorizat activ e aproape la fel de riscant ca niciunul. Alertele trebuie să ajungă la cineva care le poate interpreta și acționa.
Când să schimbi și cum să prioritizezi
Dacă firewall-ul actual are mai mult de 5-6 ani vechime, nu suportă inspecție SSL și nu oferă vizibilitate pe aplicații — e momentul unei analize serioase. Nu neapărat o înlocuire imediată, dar cel puțin un audit al gap-urilor de securitate pe care arhitectura actuală le lasă deschise.
Prioritizarea ar trebui să urmeze expunerea: companiile cu acces remote extins, cu date de clienți sau cu sisteme OT (operaționale, industriale) au urgență mai mare. Urmează cele cu reglementări sectoriale — financiar, medical, logistică.
Cele care operează exclusiv local, cu echipe mici și fără date sensibile? Au mai mult timp, dar nu infinit. Amenințările nu selectează victimele după dimensiune, ci după oportunitate. Iar un firewall depășit e o oportunitate evidentă.
Întrebarea nu e dacă să migrezi spre NGFW, ci când și cum să faci tranziția fără să creezi vulnerabilități noi în proces. Aceasta e, de fapt, partea care necesită cel mai mult expertiză — nu produsul în sine.
Ai nevoie de cybersecurity? Doar aici beneficiezi de consultanță gratuită.