¿Qué es un firewall de nueva generación (NGFW)? | NGFW vs FWaaS

Un firewall de nueva generación (NGFW) es un firewall con nuevas y potentes funcionalidades. Los firewalls de nueva generación pueden hospedarse en la nube, aunque no todos lo estén.

Share facebook icon linkedin icon twitter icon email icon

Firewall de nueva generación

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definición de "firewall de nueva generación"
  • Diferencias entre firewalls clásicos y firewalls de nueva generación
  • Aprende más cosas sobre cómo los firewalls de nube se combinan con los firewalls de nueva generación

¿Qué es un firewall de nueva generación (NGFW)?

Un firewall de nueva generación (NGFW) es más potente que un firewall tradicional. Los NGFW tienen las mismas capacidades que los tradicionales, pero además incluyen una serie de funcionalidades adicionales que sirven para abordar una amplia variedad de necesidades de la organización y para bloquear más amenazas potenciales. Se llaman "de nueva generación" para diferenciarlos de otros más antiguos que carecen de tales funcionalidades.

La diferencia entre los firewalls de nueva y de vieja generación es como la que existe entre un smartphone y un móvil antiguo. Ambos tienen algunas características en común, como el envío de mensajes, las llamadas de voz, las listas de contactos, etc., pero el smartphone dispone además de tantas funcionalidades avanzadas que es prácticamente un producto distinto, y por ese motivo existe una denominación diferente para este.

¿Qué hace un firewall?

Un firewall es un producto de seguridad que supervisa y controla el tráfico red basándose para ello en una serie de reglas de seguridad. Los firewalls pueden ser programas de software instalados en un servidor o un ordenador o dispositivos de hardware físicos que conectan a una red interna. Los firewalls normalmente se colocan entre una red de confianza y otra que no es de confianza; habitualmente, la red de confianza es la red interna de un negocio y la de no confianza es internet.

Normalmente, entre las capacidades de un firewall están el filtrado de paquetes, la inspección de estado, el redireccionamiento mediante proxy, bloquear IPs, bloquear nombres de dominios y bloquear puertos.

  • El filtrado de paquetes hace referencia a la capacidad para filtrar tráfico de red potencialmente peligroso. Toda la información que viaja por una red (como internet) se fragmenta en trozos más pequeños llamados paquetes. Un firewall puede examinar cada paquete y, si este coincide con ciertas reglas predeterminadas, bloquearlo para evitar que entre o salga de una red interna.
  • La inspección de estado va un paso más allá en lo referente al filtrado de paquetes. Se trata de un tipo de filtrado que permite al firewall examinar los paquetes de datos relacionándolos con otros paquetes que ya hayan pasado por el firewall. El que un paquete de datos, a simple vista inofensivo, se dirija a un destino no habitual de la red podría ser indicativo de que es malicioso. Por ejemplo, una consulta SQL no es algo en principio malicioso, pero, si se envía a través de un formulario web podría formar parte de un ataque de inyección de código SQL.
  • El redireccionamiento mediante proxy hace referencia a que una máquina envíe o reciba tráfico de red por cuenta de otra. Un firewall puede hacer de proxy realizando solicitudes y recibiendo respuestas de red por cuenta de los dispositivos ubicados en su red interna; esto le permite filtrar datos maliciosos antes de que tengan ocasión de llegar a tales dispositivos.
  • El bloqueo de nombres de domino y de IPs consiste en que el firewall pueda impedir a los usuarios cualquier tipo de acceso a ciertos sitios web o aplicaciones.
  • El bloqueo de puertos permite al firewall filtrar cierto tipo de tráfico de red. En el contexto de redes de ordenadores, un puerto es el punto en el que la conexión entre una máquina y otra finaliza. Los puertos son virtuales, o basados en software, esto es, no se corresponden con los componentes físicos de la máquina. Ciertos puertos están reservados a ciertos tipos de conexiones de red; las conexiones HTTPS, por ejemplo, se producen en el puerto 443.

¿En qué se diferencian los firewalls de nueva generación de los tradicionales?

Los NGFW tienen todas las funcionalidades arriba mencionadas, pero, además, incorporan soluciones tecnológicas que no incluyen los firewalls tradicionales. Estas son las siguientes:

Sistema de prevención de intrusiones (IPS): un sistema de prevención de intrusiones detecta y bloquea activamente ciberataques. Es como tener un vigilante de seguridad dando rondas por un edificio en vez de uno que solo permanezca estáticamente en la puerta de entrada.

Inspección profunda de paquetes (DPI):los firewalls tradicionales normalmente solo inspeccionan la cabecera* de los paquetes de datos que pasan a través de ellos. Los NGFW, sin embargo, inspeccionan tanto las cabeceras como la carga útil a fin de detectar mejor posible malware u otros tipos de tráfico malicioso. Es parecido a un control de seguridad en el que los policías a cargo inspeccionen el contenido del equipaje del viajero en vez de meramente preguntarle que lleva dentro.

*La cabecera de un paquete de datos contiene información sobre el paquete entendido como un todo, como su longitud y su origen.

Control de aplicaciones: Además de analizar el tráfico de red, los NGFW pueden detectar de qué aplicación procede el tráfico. Con base a esto, los NGFW pueden controlar a qué recursos permiten acceder a las diferentes aplicaciones; y también podrán bloquear totalmente ciertas aplicaciones.

Integración de directorios:Los directorios de usuarios permiten a los equipos internos de una organización rastrear los privilegios y permisos que estos poseen. Algunos NGFW tienen la capacidad de filtrar tráfico de red o aplicaciones basándose en tales directorios de usuarios internos. Si un usuario no tiene permiso para acceder a una aplicación determinada, el firewall la bloqueará respecto de tal usuario, incluso en el caso de que la aplicación en cuestión no esté categorizada como maliciosa.

Inspección de tráfico encriptado:Algunos NGFW tienen la capacidad de descifrar y analizar tráfico encriptado conSSL/TLS. Un firewall puede conseguir esto haciendo de proxy en el proceso TLS. Todo el tráfico desde y hacia el sitio web es descifrado por el firewall, analizado y encriptado de nuevo. Desde el punto de vista del usuario, este redireccionamiento mediante proxy es prácticamente inapreciable: pueden interactuar con sitios web HTTPS seguros con normalidad.

¿Dónde se ejecutan los NGFW, en la nube o en las instalaciones de la empresa?

Los NGFW pueden ejecutarse, bien en la nube, bien en las propias instalaciones de la organización. Lo que distingue a esos firewalls de los tradicionales no es esto, sino el hecho de poseer capacidades de nueva generación como las relacionadas arriba.

¿Qué quiere decir firewall como servicio (Firewall-as-a-Service o FWaaS)?

Se trata del firewall hospedado en la nube por un proveedor tercero. Este tipo de servicio también se denomina "firewall en la nube".

El FWaaS no es un dispositivo físico ni algo hospedado en las instalaciones de la organización. Al igual que sucede con otras categorías de "como servicio", por ejemplo, software como servicio o plataforma como servicio, el FWaaS se ejecuta en la nube y se puede acceder a él a través de internet.

Con anterioridad a esta nueva era de "computación en la nube", un firewall se ubicaba entre una red de confianza y otra no segura, por lo que existía una clara barrera entre redes de confianza y de no confianza. Sin embargo, en computación en la nube esta barrera, denominada "perímetro de red", no tiene por qué existir necesariamente; en este caso, se accede a activos de nube de confianza a través de una red que no es de confianza (internet). Los firewalls hospedados en la nube mantienen esos activos seguros pese a no existir tal perímetro de red.

¿En qué se diferencian los FWaaS (firewalls en la nube) de los NGFW?

Next-Generation Firewall vs Cloud Firewall

La mayoría de los firewalls modernos, con inclusión de los hospedados en la nube, son de nueva generación. Ahora bien, FWaaS y "nueva generación" hacen referencia a cuestiones distintas: FWaaS alude a la ubicación del firewall mientras que "nueva generación" describe qué puede hacer el firewall.

Cualquier firewall con capacidades de nueva generación es un NGFW, con independencia de dónde se hospede. Un firewall de nube, o FWaaS, se hospeda en la nube, con independencia de que tenga o no capacidades de nueva generación. Además, los firewalls hospedados en la nube se configuran, mantienen y actualizan por un proveedor tercero, lo cual permite a los clientes contar con un firewall más actualizado y seguro.

¿Qué tipo de firewall ofrece Cloudflare?

Cloudflare WAF (firewall de aplicación web) es un firewall hospedado en la nube que protege activos de nube y aplicaciones web. Cloudflare WAF es único en el sentido de que identifica y bloquea de forma continua amenazas potenciales. Para hacer esto, analiza todo el tráfico de datos de toda la red global de Cloudflare.