¿Qué es un firewall de nueva generación (NGFW)? | NGFW vs FWaaS

Un firewall de nueva generación (NGFW) es un firewall con nuevas y potentes funcionalidades. Los firewalls de nueva generación pueden hospedarse en la nube, aunque no todos lo estén.

Share facebook icon linkedin icon twitter icon email icon

Firewall de nueva generación

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definición de "firewall de nueva generación"
  • Diferencias entre firewalls clásicos y firewalls de nueva generación
  • Aprende más cosas sobre cómo los firewalls de nube se combinan con los firewalls de nueva generación

¿Qué es un firewall de nueva generación (NGFW)?

Un firewall de nueva generación (NGFW) es más potente que un firewall tradicional. Los NGFW tienen las mismas capacidades que los tradicionales, pero además incluyen una serie de funciones adicionales que sirven para abordar muchas más necesidades organizativas y para bloquear más amenazas potenciales. Se llaman "de nueva generación" para diferenciarlos de otros más antiguos que carecen de tales funcionalidades.

La diferencia entre los firewalls de nueva y de vieja generación es como la que existe entre un smartphone y un móvil antiguo. Ambos tienen algunas características en común, como el envío de mensajes, las llamadas de voz, las listas de contactos, etc., pero el smartphone dispone además de tantas funcionalidades avanzadas que es prácticamente un producto distinto, y por ese motivo existe una denominación diferente para este.

¿Qué hace un firewall?

Un firewall es un producto de seguridad que supervisa y controla el tráfico red basándose para ello en una serie de reglas de seguridad. Los firewalls pueden ser programas de software instalados en un servidor o un ordenador o dispositivos de hardware físicos que conectan a una red interna. Los firewalls normalmente se colocan entre una red de confianza y otra que no es de confianza; habitualmente, la red de confianza es la red interna de un negocio y la de no confianza es internet.

Normalmente, entre las capacidades de un firewall están el filtrado de paquetes, la inspección de estado, el redireccionamiento mediante proxy, el bloqueo de IP, el bloqueo de nombres de dominios y el bloqueo de puertos.

  • El filtrado de paquetes hace referencia a la capacidad para filtrar tráfico de red potencialmente peligroso. Toda la información que viaja por una red (como Internet) se fragmenta en trozos más pequeños llamados paquetes. Un firewall puede examinar cada paquete y, si este coincide con ciertas reglas predeterminadas, bloquearlo para evitar que entre o salga de una red interna.
  • La inspección de estado va un paso más allá que el filtrado de paquetes. Se trata de un tipo de filtrado que permite al firewall examinar los paquetes de datos relacionándolos con otros paquetes que ya hayan pasado por el firewall. El que un paquete de datos, a simple vista inofensivo, se dirija a un destino no habitual de la red podría ser indicativo de que es malicioso. Por ejemplo, una consulta SQL no es algo en principio malicioso, pero, si se envía a través de un formulario web podría formar parte de un ataque de inyección de código SQL.
  • El redireccionamiento mediante proxy hace referencia a que un equipo envíe o reciba tráfico de red por cuenta de otro. Un firewall puede hacer de proxy realizando solicitudes y recibiendo respuestas de red por cuenta de los dispositivos ubicados en su red interna; esto le permite filtrar datos maliciosos antes de que tengan ocasión de llegar a tales dispositivos.
  • El bloqueo de nombres de domino y de IP consiste en que el firewall pueda impedir a los usuarios cualquier tipo de acceso a ciertos sitios web o aplicaciones.
  • El bloqueo de puertos permite al firewall filtrar cierto tipo de tráfico de red. En una red, un puerto es el punto en el que la conexión entre un equipo y otro finaliza. Los puertos son virtuales o basados en software, esto es, no se corresponden con los componentes físicos de la máquina. Ciertos puertos están reservados a ciertos tipos de conexiones de red; las conexiones HTTPS, por ejemplo, se producen en el puerto 443.

¿En qué se diferencian los firewalls de nueva generación de los tradicionales?

Los NGFW tienen todas las funcionalidades arriba mencionadas, pero, además, incorporan soluciones tecnológicas que no incluyen los firewalls tradicionales. Estas son las siguientes:

Sistema de prevención de intrusiones (IPS): un sistema de prevención de intrusiones detecta y bloquea activamente los ciberataques. Es como tener un vigilante de seguridad dando rondas por un edificio en vez de uno que solo esté en la puerta de entrada.

Inspección profunda de paquetes (DPI): los firewalls tradicionales normalmente solo inspeccionan los encabezados* de los paquetes de datos que pasan a través de ellos. Los NGFW, sin embargo, inspeccionan tanto los encabezados como la carga útil a fin de detectar mejor el malware u otros tipos de tráfico malicioso. Es parecido a un control de seguridad en el que los policías a cargo inspeccionen el contenido del equipaje del viajero en vez de meramente preguntarle qué lleva dentro.

*El encabezado de un paquete de datos contiene información sobre el paquete entendido como un todo, como su longitud y su origen.

Control de aplicaciones: además de analizar el tráfico de red, los NGFW pueden detectar de qué aplicaciones procede el tráfico. Con base en esto, los NGFW pueden controlar a qué recursos pueden acceder diferentes aplicaciones o bloquear totalmente ciertas aplicaciones.

Integración de directorios: los directorios de usuarios permiten a los equipos internos de una organización rastrear los privilegios y permisos que estos poseen. Algunos NGFW tienen la capacidad de filtrar tráfico de red o aplicaciones basándose en estos directorios de usuarios internos. Si un usuario no tiene permiso para acceder a una aplicación determinada, el firewall la bloqueará para ese usuario, incluso si la aplicación no se identifica como maliciosa.

Inspección de tráfico encriptado: algunos NGFW tienen la capacidad de descifrar y analizar tráfico encriptado con SSL/TLS. El firewall puede hacerlo actuando como proxy en el proceso TLS. Todo el tráfico desde y hacia el sitio web es descifrado por el firewall, analizado y encriptado de nuevo. Desde el punto de vista del usuario, este redireccionamiento mediante proxy es prácticamente inapreciable: puede interactuar con sitios web HTTPS seguros con normalidad.

¿Dónde se ejecutan los NGFW, en la nube o en las instalaciones de la empresa?

Los NGFW pueden ejecutarse en la nube o en las propias instalaciones de la organización. Lo que distingue a los firewalls tradicionales de los firewalls de nueva generación son funcionalidades de nueva generación como las relacionadas arriba.

¿Qué quiere decir firewall como servicio (Firewall-as-a-Service o FWaaS)?

El firewall como servicio (FWaaS) es un firewall alojado en la nube por un proveedor tercero. Este tipo de servicio también se denomina "firewall en la nube".

El FWaaS no es un dispositivo físico ni algo alojado en las instalaciones de la organización. Al igual que sucede con otras categorías de "como servicio", por ejemplo, el software como servicio o la plataforma como servicio, el FWaaS se ejecuta en la nube y se puede acceder a él a través de Internet.

Con anterioridad a esta nueva era de "computación en la nube", un firewall se ubicaba entre una red de confianza y otra no segura, por lo que existía una clara barrera entre redes de confianza y de no confianza. Sin embargo, en computación en la nube esta barrera, denominada "perímetro de red", no tiene por qué existir necesariamente; en este caso, se accede a activos de nube de confianza a través de una red que no es de confianza (internet). Los firewalls hospedados en la nube mantienen esos activos seguros pese a no existir tal perímetro de red.

¿En qué se diferencian los FWaaS (firewalls en la nube) de los NGFW?

Firewall de nueva generación vs. firewall en la nube

La mayoría de los firewalls modernos, con inclusión de los hospedados en la nube, son de nueva generación. Ahora bien, FWaaS y "nueva generación" hacen referencia a cuestiones distintas: FWaaS alude a la ubicación del firewall mientras que "nueva generación" describe qué puede hacer el firewall.

Cualquier firewall con capacidades de nueva generación es un NGFW, con independencia de dónde se hospede. Un firewall de nube, o FWaaS, se hospeda en la nube, con independencia de que tenga o no capacidades de nueva generación. Además, los firewalls hospedados en la nube se configuran, mantienen y actualizan por un proveedor tercero, lo cual permite a los clientes contar con un firewall más actualizado y seguro.

¿Qué tipo de firewall ofrece Cloudflare?

El firewall de aplicaciones web (WAF) de Cloudflare es un firewall alojado en la nube que protege activos de nube y aplicaciones web. El WAF de Cloudflare es único en el sentido de que identifica y bloquea de forma continua amenazas potenciales. Para ello, analiza todo el tráfico de datos de toda la red global de Cloudflare.