Pular para o conteúdo
Rede e Acesso

O que é filtragem de DNS?

A filtragem de DNS é a camada de segurança que age no momento em que um dispositivo tenta descobrir o endereço de um site, o passo de DNS que antecede toda conexão. Se o domínio pedido é malicioso, conhecido por hospedar phishing, distribuir malware ou controlar um ataque, a resposta é bloqueada, e a conexão nunca chega a ser feita. É a defesa que detém o ataque antes do primeiro contato.

Zamak TechnologiesAtualizado em 12 de julho de 2026

Como a filtragem de DNS funciona

Toda vez que alguém digita um endereço ou clica num link, o dispositivo primeiro pergunta ao DNS qual é o número (o IP) daquele domínio. A filtragem de DNS entra exatamente nesse instante: avalia o domínio pedido contra inteligência de ameaças e políticas antes de devolver a resposta.

1

Intercepta a pergunta de DNS

Antes de qualquer conexão, o dispositivo consulta o DNS para resolver o domínio. A filtragem avalia esse pedido em vez de respondê-lo cegamente.

2

Consulta inteligência de ameaças

Compara o domínio com listas de reputação e categorias de risco atualizadas: sites de phishing, distribuição de malware, controle de ataques e conteúdo indevido.

3

Libera, bloqueia ou redireciona

Se o domínio é seguro, devolve o endereço normalmente; se é malicioso, devolve uma resposta de bloqueio e a conexão nunca acontece.

4

Registra cada consulta

O histórico das consultas de DNS vira evidência para investigar um incidente e para a caça a ameaças, mostrando o que foi tentado e a partir de onde.

Fonte: orientação conjunta da NSA e da CISA sobre DNS de proteção (Protective DNS, 2025) e a Cyber Encyclopedia da N-able (filtragem de DNS e sua distinção do gateway web seguro).

Por que bloquear domínios não basta sozinho

  • A filtragem de DNS age no nome, não no conteúdo. Ela impede o acesso ao domínio malicioso, mas não inspeciona o que trafega dentro de uma conexão já autorizada; para isso servem outras camadas.
  • Um domínio recém-criado pode ainda não estar em nenhuma lista. A inteligência de ameaças é rápida, mas o atacante troca de domínio o tempo todo, e a janela entre o registro e o bloqueio existe.
  • Fora da rede da empresa, o dispositivo pode usar outro DNS. Sem uma política que acompanhe o aparelho onde ele estiver, o funcionário remoto fica fora da proteção.
  • É uma camada de prevenção, não de resposta. Ela reduz o número de ataques que chegam a começar, mas o que passa ainda exige defesa de endpoint, de e-mail e monitoramento.

O que a filtragem de DNS bloqueia

  • Phishing Barra o acesso aos domínios que imitam bancos, sistemas e marcas para roubar senhas, mesmo quando o link chega por um e-mail que passou pelos outros filtros.
  • Malware e downloads maliciosos Impede o dispositivo de alcançar os domínios que distribuem programas maliciosos, cortando a infecção antes do download.
  • Controle de ataques Quando um dispositivo já infectado tenta 'ligar para casa' para receber ordens, a filtragem derruba essa chamada e trava o avanço do ataque, inclusive de ransomware.
  • Conteúdo e produtividade Além da segurança, aplica políticas de navegação por categoria e horário, mantendo o uso da internet alinhado ao trabalho.

Por que a camada de DNS é a defesa mais barata

44%
das violações envolvem ransomware, ante 32% no ano anterior, e a filtragem de DNS derruba a comunicação de controle desses ataques (Verizon DBIR 2025)
14%
das violações começam por phishing, o vetor que a filtragem de DNS bloqueia no clique (Verizon DBIR 2025)
$ 4,44 mi
é o custo médio global de uma violação de dados (IBM, 2025)

Quase todo ataque precisa, em algum momento, resolver um domínio: para levar a vítima ao site falso, para baixar o programa malicioso ou para o dispositivo infectado receber ordens. É por isso que a NSA e a CISA recomendam o DNS de proteção como uma defesa preventiva de primeira linha: ela corta o ataque no ponto mais barato, antes do primeiro contato. O peso disso aparece nos números: o ransomware já está em 44% das violações, ante 32% no ano anterior (Verizon DBIR 2025), e depende de comunicação de controle que a filtragem de DNS derruba; o phishing inicia cerca de 14% das violações (Verizon DBIR 2025), e um domínio falso bloqueado é um golpe que não acontece. Bloquear um domínio malicioso custa uma fração de conter uma violação, que sai, em média, por $ 4,44 milhões (IBM, 2025).

Como aplicar a filtragem de DNS com eficácia

A filtragem de DNS entrega o máximo quando cobre todo mundo, em qualquer lugar, e alimenta a investigação:

  1. Cubra todos os dispositivosA proteção só vale se estiver em toda a rede e em cada aparelho. Um único dispositivo fora da política é a brecha por onde o ataque entra.
  2. Acompanhe o usuário remotoO trabalho saiu do escritório. A política precisa seguir o aparelho para casa e para a viagem, não ficar presa à rede da empresa.
  3. Mantenha a inteligência atualizadaDomínios maliciosos nascem e morrem em horas. O valor está na inteligência de ameaças que se atualiza continuamente, não numa lista estática.
  4. Use os registros para investigarO histórico de consultas de DNS mostra o que foi tentado e a partir de onde, matéria-prima para responder a um incidente e caçar ameaças.
  5. Combine com as outras camadasA filtragem de DNS reduz o volume de ataques que chegam a começar, mas trabalha junto com a defesa de e-mail, de endpoint e o monitoramento, nunca sozinha.

Na prática

O ataque mais barato de deter é o que morre antes de nascer: um clique num domínio malicioso que simplesmente não resolve. A defesa que age no primeiro passo evita o custo de todos os passos seguintes.

Como a Zamak protege a navegação

A Zamak Technologies opera a filtragem de DNS como parte da proteção web gerenciada: inteligência de ameaças sempre atualizada, política que acompanha o dispositivo dentro e fora do escritório e o registro das consultas alimentando a investigação, ao lado da sua equipe e não no lugar dela. Um diagnóstico de cibersegurança mostra por onde a navegação ainda expõe a empresa. Essa proteção faz parte da Cibersegurança gerenciada do Método Zamak.

Perguntas frequentes sobre filtragem de DNS

Filtragem de DNS é o mesmo que firewall ou antivírus?
Não, é uma camada diferente e complementar. O firewall controla as conexões de rede; o antivírus e a defesa de endpoint vigiam o arquivo e o dispositivo; a filtragem de DNS age antes de tudo isso, no momento em que o domínio é resolvido, impedindo que a conexão maliciosa chegue a ser feita.
A filtragem de DNS para ransomware?
Ajuda de forma direta. Muitos ataques de ransomware dependem de comunicação de controle e de domínios maliciosos para baixar o código e receber ordens; a filtragem de DNS derruba essas conexões e pode interromper o ataque antes que ele avance. Não é a única defesa, mas é uma das mais baratas e eficazes.
Funciona para quem trabalha fora do escritório?
Sim, desde que a política acompanhe o dispositivo. A proteção moderna segue o aparelho para casa e para a viagem, e não fica presa à rede da empresa, o que é essencial quando boa parte do trabalho acontece fora do escritório.
O que é DNS de proteção (Protective DNS)?
É o nome que a NSA e a CISA dão à filtragem de DNS usada como defesa de segurança: um resolvedor que avalia cada consulta contra inteligência de ameaças e bloqueia os domínios maliciosos. As duas agências a recomendam como uma camada preventiva de primeira linha.
A filtragem de DNS vê o que trafega nos sites?
Não, e essa é a diferença dela para um gateway web seguro. A filtragem de DNS decide no nível do domínio, se ele pode ou não ser acessado, sem inspecionar o conteúdo da página. É mais leve e rápida, e por isso funciona como uma primeira camada ampla.
Serve também para controlar o uso da internet?
Sim. Além da segurança, a filtragem de DNS aplica políticas de navegação por categoria e por horário, o que ajuda a manter o uso da internet alinhado ao trabalho, com relatório do que foi acessado e bloqueado.