Documentação CeTI

Appearance

Firewall Checkpoint

A barreira principal perimetral do Centro de Tecnologia e Inovação da PMDF é mantida pelo ecossistema Checkpoint. Ele filtra acessos de internet para os sistemas internos (Norte-Sul) e o tráfego inter-VLANs da corporação (Leste-Oeste).

Políticas de Acesso (Access Control Rules)

A arquitetura do Firewall segue o princípio de Zero Trust (ou menor privilégio lógico). Por padrão, todo tráfego de sub-rede administrativa para externa ou DMZ é bloqueado (Drop), exceto se constar como necessário via Requisição de Mudança (RFC).

bash
# O conceito arquitetural mapeado nos logs de aceitação do Checkpoint é:
Source: Qualquer IP Host (VLAN Interna 200)
Destination: IP Servidor Web (DMZ Pública)
Service/Port: tcp/443 (HTTPS)
Action: Accept
Log: Detailed

A gestão unificada (SmartConsole) é o painel onde a SSSI aplica suas regras ou constrói as Network Objects com nome limpo (Ex: HOST_APP_RH_PROD).

Mudanças em Regras

Nunca publique uma política nova ou crie regra abrangente (ex., liberar Any e Any numa porta sem origem específica). Esse risco quebra os requisitos auditados anualmente no ambiente. Use o Zabbix e Wazuh para relatórios e verificação do funcionamento contínuo.

NAT e VPN

Duas funções essenciais sob gerência no Checkpoint:

  • Network Address Translation (NAT): Usado para transformar IPs internos reais em um IP roteável externo dos provedores, como o roteamento da nossa aplicação no Kubernetes ou do serviço de Email no Exchange.
  • Site-to-Site e Client-to-Site VPN: Garantimos túneis IPsec seguros para interconexão com outras secretarias do GDF (Governo do Distrito Federal) e o acesso remoto dos próprios analistas da tecnologia em Home-Office ou plantão.

Guia para os Analistas: Como Rastrear Quedas e Bloqueios

Público-alvo: O time de Análise de Rede e Suporte SSSI.

  1. Acesse o servidor ou cliente de gerência SmartConsole credenciado com seu login administrador do AD.
  2. Navegue até a aba "Logs & Monitor".
  3. Use a barra de Query no topo escrevendo: source:ip_origem AND destination:ip_destino.
  4. Procure na listagem colunas com ações Drop e observe a coluna 'Rule Name'. Se a regra for a base genérica de Cleanup rule, a conexão bateu na porta do firewall e não tem aprovação para prosseguir.
  5. Em casos de tráfego aceito (Accept), mas que não chega ao destino final, o problema pode estar no Gateway Interno associado, NAT incorreto ou bloqueio local na própria Máquina Virtual alvo.