Monitoramento de Firewall: KPIs, métodos e boas práticas
Monitorar firewall é vigiar o ponto de estrangulamento da rede corporativa. Quando esse equipamento degrada, todo o tráfego sente. E ainda assim, em muitas empresas o firewall continua tratado como caixa-preta que ninguém olha enquanto a luz fica verde.
Este guia mostra o que olhar, como coletar e o que alertar quando o assunto é monitoramento de firewall em ambiente corporativo. KPIs essenciais, comparação direta entre métodos de coleta (SNMP, syslog, API, NetFlow) e particularidades de Fortinet, Palo Alto, Check Point e Cisco.
Não estamos falando de criar regras de bloqueio. Esse é trabalho da equipe de segurança. Estamos falando de operar o firewall como qualquer ativo crítico de infraestrutura: com baseline, threshold, alerta acionável e correlação com o resto do ambiente.
O que é monitoramento de firewall
Monitoramento de firewall é a observação contínua de três planos do equipamento: saúde (CPU, memória, sessões, temperatura, fonte), tráfego (pacotes processados, bloqueados, drops, throughput por interface) e configuração (estado das políticas, drift de regras, eventos administrativos).
É diferente de administração de firewall. Administrar é desenhar política, criar regra, revisar exceção. Monitorar é provar que tudo isso está funcionando dentro do que foi projetado e alertar quando o desvio chegar antes do incidente. Os dois caminham juntos, mas com responsáveis e cadências diferentes.
Por isso o monitoramento de firewall costuma ficar do lado da operação de TI ou do NOC, integrado ao restante do monitoramento de TI da empresa e não isolado em uma console exclusiva da equipe de segurança. A norma internacional ISO/IEC 27033-4 trata o firewall como controle de segurança que precisa de gestão contínua e revisão periódica.
Por que monitorar firewall é crítico
O firewall corporativo concentra três riscos altos. Disponibilidade: como aparelho inline, qualquer falha derruba a saída de internet, túneis VPN e tráfego entre filiais. Segurança: sobrecarregado, ele pode dropar pacotes legítimos ou ficar permissivo demais sob pressão de CPU. Compliance: LGPD e PCI-DSS pedem evidência de monitoramento contínuo de perímetro.
A escala da ameaça reforça a urgência. Em 2020, o Brasil registrou 1,6 bilhão de tentativas de ataque cibernético contra empresas. Sem visibilidade do firewall, a única forma de saber que algo está errado é o usuário ligar reclamando. Nessa hora, o problema já saiu do equipamento e chegou no negócio.
As diretrizes oficiais do NIST (SP 800-41) tratam observabilidade contínua de firewall como requisito básico de qualquer política de perímetro madura, não como recurso opcional.
É por isso que monitorar firewall faz parte do mesmo capítulo da monitoração de redes: o equipamento toca todas as conexões corporativas. Sem ele observado, a fotografia operacional do ambiente fica com um buraco grande no meio.
KPIs essenciais que todo firewall deve expor
Antes da ferramenta, vem a lista. Estes são os indicadores que importam em qualquer firewall corporativo, independente do vendor. Cada um responde uma pergunta operacional concreta. Use a tabela abaixo como checklist mínimo de cobertura.
| KPI | Unidade | Threshold típico | O que indica |
|---|---|---|---|
| Uso de CPU | % |
> 80% sustentado por 5 min | Sobrecarga de inspeção, possível DoS ou regra ineficiente |
| Uso de memória | % |
> 85% | Tabela de sessões cheia ou vazamento; risco de drop |
| Sessões concorrentes | qtd / % do limite |
> 80% do limite do equipamento | Capacidade chegando ao teto; planeje upgrade |
| Throughput por interface | Mbps / Gbps |
> 70% da capacidade | Saturação de link; revisão de capacidade |
| Taxa de novas conexões | conn/s |
2x o baseline | Pico anômalo; possível scanner ou ataque |
| Pacotes descartados | pkt/s |
variação súbita vs. baseline | Política nova quebrando tráfego ou link saturado |
| Túneis VPN ativos | qtd + status |
queda inesperada de túnel | Falha em parceiro/filial ou problema na ISP |
| Status de HA | active/standby |
qualquer failover | Falha no nó ativo ou manutenção mal sinalizada |
| Erros de interface | pkt/s (CRC, drops) |
> 0,1% do tráfego | Cabeamento, SFP ou configuração errada |
| Uptime e reboots | tempo / contador |
reboot não planejado | Pane, watchdog disparado, falha de firmware |
| Volume de logs | eventos/min |
> 3x o baseline | Tempestade de eventos; risco de perda em SIEM |
Threshold sem baseline gera alarme falso. Antes de configurar alerta, observe o equipamento por pelo menos duas semanas em horário comercial e janela ociosa. O que assusta em um firewall de filial pode ser normal em um datacenter. Calibre cada métrica pelo histórico do próprio ativo.
Métodos de coleta: SNMP, syslog, API e NetFlow
Existem quatro caminhos para extrair dado de um firewall. Cada um responde melhor a um tipo de pergunta. O monitoramento maduro combina os quatro, não escolhe entre eles.
SNMP faz pull periódico de OIDs definidos no MIB do vendor. É o método mais usado para métricas estruturadas como CPU, memória, sessões e estado de interfaces. Configure SNMPv3 sempre que possível para autenticação e criptografia. Aprofunde no protocolo SNMP se o tema for novo para a equipe.
Syslog é push de eventos disparado pelo próprio firewall: regra acionada, sessão estabelecida, ameaça bloqueada, evento administrativo. O volume é alto e exige destino com rotação, indexação e retenção definidos. É a base para auditoria, forense e correlação SIEM.
API REST/CLI serve para inventariar e auditar configuração: lista de regras ativas, regras desabilitadas, drift desde o último backup, mudanças por administrador. Útil para quem precisa provar conformidade ou detectar shadow rules.
NetFlow, sFlow e IPFIX exportam metadados de fluxos de tráfego. São essenciais quando a pergunta é sobre comportamento da rede: top talkers, padrão de DDoS, tráfego inesperado entre VLANs. Esses formatos são pilares do monitoramento de tráfego de redes e complementam o que o firewall sozinho não conta.
| Método | O que coleta | Quando usar | Cuidados |
|---|---|---|---|
| SNMP | Métricas estruturadas (CPU, memória, sessões, interfaces) | Saúde do equipamento e capacidade | Use SNMPv3; valide MIB do vendor; defina poll interval coerente |
| Syslog | Eventos brutos (regras, ameaças, admin) | Auditoria, forense e correlação SIEM | Volume alto; planeje retenção, parsing e indexação |
| API REST/CLI | Configuração viva (regras, objetos, mudanças) | Drift detection, inventário, compliance | Credenciais com escopo mínimo; rate limit do vendor |
| NetFlow / sFlow / IPFIX | Metadados de fluxo de tráfego | Top talkers, anomalia de tráfego, baseline de capacidade | Sampling rate impacta precisão; storage cresce rápido |
Particularidades por vendor
Cada vendor expõe os dados de forma diferente. A camada de protocolo é a mesma (SNMP, syslog), mas as MIBs, formatos de log e endpoints de API variam. Conheça as particularidades antes de definir o modelo de coleta.
Fortinet (FortiGate)
Expõe FORTINET-FORTIGATE-MIB com métricas de CPU, memória, sessões e túneis VPN. Syslog FortiOS suporta formato CEF e segmentação por categoria (traffic, event, attack). API REST do FortiAnalyzer permite consulta agregada de logs e relatórios. NetFlow e sFlow disponíveis nas versões corporativas.
Palo Alto Networks
PAN-COMMON-MIB cobre os indicadores principais. Syslog suporta CEF e LEEF para integração nativa com SIEM. XML API permite extrair política, objetos, regras e contadores. Os logs de Threat e URL Filtering são especialmente úteis para correlação com eventos de aplicação.
Check Point
CHECKPOINT-MIB para coleta SNMP. Logs via OPSEC LEA ou syslog padrão (a partir do R80, o syslog ficou bem mais robusto). SmartConsole expõe API REST para inventário de regras e mudanças. Cluster XL exige MIB específica para acompanhar failover de HA.
Cisco ASA e Firepower
CISCO-FIREWALL-MIB e CISCO-PROCESS-MIB cobrem o básico. NetFlow Secure Event Logging (NSEL) é o formato preferido para logs em ASA, com semântica nativa de firewall. Firepower Management Center (FMC) oferece API REST para política e eventos. Atenção a versões antigas de ASA com suporte SNMP limitado.
Outros (Forcepoint, pfSense, OPNsense)
Forcepoint NGFW (ex-Stonesoft) expõe SNMP padrão e tem MIB própria. pfSense e OPNsense entregam SNMP, syslog e API REST sem custo extra, com bom encaixe em ambientes médios. Em todos os casos, valide o que cada licença cobre antes de planejar a coleta.
Boas práticas: baselines, alertas, correlação e dashboards
Coleta sem método vira ruído. Estas são as práticas que separam monitoramento útil de painel decorativo.
Baseline antes do threshold. Defina valor normal por janela (manhã, pico, noite, fim de semana). Só então construa o alerta. Threshold genérico copiado de manual de fornecedor é a fonte número um de fadiga de alerta.
Alertas acionáveis. Cada alerta precisa responder três perguntas: o que está acontecendo, qual a severidade e qual o próximo passo. Anexe runbook curto. Sem isso, alerta vira notificação ignorada às 3h da manhã.
Correlação log + métrica. Pico de CPU isolado é interessante. Pico de CPU correlacionado com dobro de novas conexões e queda de túnel VPN é um incidente em formação. Combine fontes em vez de tratá-las como silos.
HA failover sempre alerta. Mesmo failover esperado em janela de manutenção precisa gerar registro. É a única forma de detectar failover não previsto, que costuma ser sintoma de falha real no nó ativo.
Dashboards em duas camadas. Operacional (KPIs em tempo real, último alerta, saúde de cada nó) para o NOC. Executivo (uptime mensal, eventos críticos, evolução de tráfego) para gestão. Inclua o contexto mais amplo de segurança de rede ao montar a visão executiva.
Cuidado com o escopo. Firewall de perímetro e firewall de aplicação web são bichos diferentes. Métricas, métodos de coleta e perfil de alerta divergem. Para o segundo, vale o conteúdo dedicado sobre monitoramento de WAF.
Os controles do CIS classificam essa rotina de observabilidade e revisão como item de higiene básica de segurança operacional. Não é nice-to-have.
Como o OpMon monitora firewalls
O OpMon trata firewall como qualquer outro ativo crítico de infraestrutura, com modelo dedicado por vendor e correlação automática com o restante do ambiente. Suporte nativo a Fortinet, Palo Alto, Check Point, Cisco ASA e Firepower, Forcepoint, pfSense e OPNsense.
Coleta combinada (SNMP + syslog + NetFlow), dashboards prontos por modelo de equipamento, alertas calibrados a partir do baseline real do ativo e integração com NOC 24×7. O firewall deixa de ser caixa-preta e passa a fazer parte da fotografia operacional do ambiente.
Identificamos gargalos de rede antes que virem incidentes críticos.
Análise de tráfego com NetFlow, sFlow e SNMP para mapeamento completo de latência, perda de pacotes e capacidade de banda.
Conclusão
Monitorar firewall é monitorar o ponto onde a rede corporativa respira. Pular essa observação é apostar que nenhum equipamento de borda vai falhar, ficar sobrecarregado ou ser explorado, em um cenário onde ataques cibernéticos crescem em ritmo de dois dígitos ao ano.
O caminho prático é simples na descrição e exigente na execução: levante os KPIs certos para o seu ambiente, combine os métodos de coleta (SNMP para métrica, syslog para evento, API para configuração, NetFlow para fluxo), respeite o baseline antes do alerta e correlacione o que o firewall mostra com o resto da telemetria operacional.
Se você quer estruturar isso sem reinventar a roda, fale com um especialista da OpServices: discutimos seu cenário e mostramos como o OpMon entrega visibilidade de firewall integrada ao monitoramento do ambiente inteiro.
Perguntas Frequentes
O que é monitoramento de firewall?
Por que é importante monitorar o firewall?
Como monitorar um firewall?
Quais métricas devem ser monitoradas em um firewall?
active/standby e eventos de failover), erros de interface (CRC e drops), uptime e reboots não planejados além do volume de logs por minuto. Cada métrica precisa de baseline próprio antes de definir o threshold do alerta.Qual a diferença entre firewall e WAF?
