Firewall e Defesa em Camadas

Provedor é alvo grande: ASN público, prefixos visíveis no BGP, OLT exposta. Regras soltas no MikroTik viram backdoor. Defesa precisa ser projetada, não empilhada.

O que é firewall em contexto de ISP

Não é só "bloquear porta 22 do mundo". Em provedor, firewall protege a infra (gerência, RADIUS, monitoramento, banco), separa segmentos (cliente residencial não acessa rede corporativa, IoT não acessa câmera), aplica políticas por VLAN/VRF, e amortece ataques de borda antes que cheguem no core.

O que a RASYS faz com firewall

  • Hardening de borda — ACL de infra (gerência só de IP autorizado, deny default no plano de controle), uRPF strict pra prevenir spoofing, limites de control-plane (CoPP).
  • Isolamento por VLAN/VRF — segmentação de rede de gerência, RADIUS/banco, cliente residencial, cliente corporativo, IoT, câmeras. L3 firewall entre segmentos.
  • NAT e port forwarding — pra serviços internos que precisam exposição (web, e-mail, VPN), com policy clara.
  • Anti-DDoS de borda — rate limit por flow, drop de protocolos abusivos (NTP amplification, DNS recursivo aberto), integração com scrubbing externo quando o provedor tem contrato.
  • VPN site-to-site — IPSec ou WireGuard entre PoPs ou pra cliente corporativo. L2TP/SSTP pra acesso remoto.
  • Hardening de RADIUS, banco, gerência — fail2ban, IP whitelist, MFA onde aplicável.
  • Logging e alerta — Syslog centralizado, alerta de blocked traffic spike, integração com SIEM caso o provedor tenha.

Equipamentos com que trabalhamos

MikroTik RouterOS, FortiGate, pfSense, OPNsense, iptables/nftables em Linux, IPSec/WireGuard. Em borda grande, integração com módulo de serviço de roteador Huawei/Juniper.

Quando faz sentido falar com a gente

Você tem regras de firewall acumuladas há anos sem ninguém revisar; gerência da OLT está na internet pública; sofreu DDoS recente e não tinha mitigação; quer separar rede corporativa da residencial mas não sabe por onde começar; precisa de VPN site-to-site pra cliente.

Fale com a gente. Veja também: BGP, Monitoramento.

PERGUNTAS FREQUENTES

Firewall pode degradar performance da borda do provedor?

Pode. Firewall stateful trackando milhões de conexões em CPU genérica perde performance. Pra borda de provedor, recomendamos firewall em equipamento dedicado (MikroTik CCR, Juniper SRX, Fortinet) ou rules stateless onde possível (filtro de prefixo, anti-spoofing, drop de bogons). Stateful só onde realmente necessário.

Vocês configuram anti-DDoS L7 (camada de aplicação)?

Anti-DDoS L7 puro exige equipamento ou serviço especializado (FastNetMon + scrubbing, Cloudflare Magic Transit, Voxility). O que fazemos: detecção via NetFlow, rate-limit de borda por origem, drop de protocolos abusivos, e integração com scrubbing externo quando o provedor já tem contrato. Mitigação L3/L4 e L7 em escala dedicada é projeto separado com fornecedor de scrubbing.

Firewall em MikroTik aguenta tráfego de provedor médio (5-20 Gbps)?

Aguenta com cuidado. CCR2004/2216 com fastpath habilitado processa 10-20 Gbps tranquilo. Stateful pesado (mangle, queue tree em milhões de sessões) degrada — saímos do fastpath. Pra borda crítica acima de 20 Gbps, recomendamos hardware específico (Juniper SRX, MikroTik CCR2216 com tuning, ou x86 com DPDK).

Como segregar rede de gerência do tráfego de cliente?

VLAN dedicada, sub-rede privada (RFC1918 ou /29 público sem rota anunciada), ACL inbound permitindo só jump host autorizado, sem rota direta do mundo. Gerência só acessível via VPN com MFA. Sem isso, painel de OLT exposto vira incidente em meses.