¿Qué es un firewall? Cómo funcionan los firewalls de red

Un firewall se sitúa entre una red e Internet, controlando el flujo de datos que entran y salen de la red para detener posibles amenazas a la seguridad.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir un firewall
  • Explicar por qué un firewall necesita inspeccionar tanto los datos entrantes como los salientes
  • Entender las diferencias entre un firewall proxy, un WAF y otros tipos de firewall

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un firewall?

Un firewall es un sistema de seguridad que supervisa y controla el tráfico de la red en base a un conjunto de reglas de seguridad. Los firewalls suelen situarse entre una red de confianza y una red no fiable; con frecuencia, la red no fiable es Internet. Por ejemplo, las redes de oficinas suelen utilizar un firewall para proteger su red de las amenazas en línea.

Qué es un firewall

Los firewalls deciden si permiten el paso del tráfico entrante y saliente. Pueden estar integrados en el hardware, en el software o en una combinación de ambos. El término "firewall" se ha tomado prestado de una práctica de construcción que consiste en construir muros entre o a través de los edificios para contener un incendio. De forma similar, los firewalls de red tienen como función contener las amenazas en línea.

¿Por qué utilizar un firewall?

El caso de uso primario de un firewall es la seguridad. Los firewalls pueden interceptar el tráfico malicioso entrante antes de que alcance la red, así como impedir que la información confidencial salga de la misma.

Los firewalls también pueden utilizarse para filtrado de contenido. Por ejemplo, una escuela puede configurar un firewall para impedir que los usuarios de su red accedan a material para adultos. De forma similar, en algunos países los gobiernos cuentan con un cortafuegos que puede impedir que las personas de ese Estado-nación accedan a determinadas partes de Internet.

Este artículo se centrará en los firewalls configurados para seguridad, de los que hay varios tipos.

¿Cuáles son los diferentes tipos de firewall?

Firewalls basados en proxy:

Se trata de proxies* que se sitúan entre los clientes y los servidores. Los clientes se conectan al firewall, y este inspecciona los paquetes salientes, tras lo cual creará una conexión con el destinatario previsto (el servidor web). Del mismo modo, cuando el servidor web intenta enviar una respuesta al cliente, el firewall interceptará esa petición, inspeccionará los paquetes y, a continuación, entregará esa respuesta en una conexión independiente entre el firewall y el cliente. Un firewall basado en proxy impide de forma efectiva la conexión directa entre el cliente y el servidor.

Un firewall basado en proxy es algo así como el portero de un discoteca. Este portero para a los clientes antes de que entren en el local para asegurarse de que no sean menores de edad, no estén armados, ni sean una amenaza para el local y sus clientes. El portero también para a los clientes a la salida, para asegurarse de que tengan un modo seguro de llegar a casa y no tengan planeado conducir bebidos.

El problema de tener un portero en la puerta de la discoteca es que cuando mucha gente intenta entrar o salir del bar a la vez, se forman largas colas y varias personas sufrirán retrasos. Del mismo modo, un inconveniente importante de un firewall basado en proxy es que puede provocar latencia, especialmente en momentos de mucho tráfico.

*Un proxy es un ordenador que actúa como puerta de enlace entre una red local y una red más grande, como Internet.

Firewalls con estado:

En informática, una aplicación "con estado" es aquella que guarda datos de eventos e interacciones anteriores. Un firewall con estado guarda información relacionada con las conexiones abiertas y utiliza esta información para analizar el tráfico entrante y saliente, en lugar de inspeccionar cada paquete. Debido a que no inspeccionan cada paquete, los firewalls con estado son más rápidos que los firewalls basados en proxy.

Los firewalls con estado se basan en mucho contexto a la hora de tomar decisiones. Por ejemplo, si el firewall registra paquetes salientes en una conexión que solicita un determinado tipo de respuesta, solo permitirá los paquetes entrantes en esa conexión si ofrecen el tipo de respuesta solicitado.

Los firewalls con estado también pueden proteger los puertos* al mantenerlos todos cerrados a menos que los paquetes entrantes soliciten acceso a un puerto específico. Esto puede mitigar un ataque conocido como escaneado de puertos.

Una vulnerabilidad conocida que está asociada a los firewalls con estado es que pueden ser manipulados al engañar a un cliente para que solicite un determinado tipo de información. Una vez que el cliente solicita esa respuesta, el atacante puede enviar paquetes maliciosos que coincidan con ese criterio mediante el firewall. Por ejemplo, los sitios web inseguros pueden utilizar código JavaScript para crear este tipo de solicitudes falsas desde un navegador web.

*Un puerto de red es una ubicación a la que se envía información; no es un lugar físico sino un punto final de comunicación. Más información sobre los puertos >>

Firewall de nueva generación (NGFW):

Los NGFW son firewalls que tienen la capacidad de los firewalls tradicionales, pero que además emplean una serie de funciones añadidas para hacer frente a las amenazas en otras capas del modelo OSI. Algunas funciones específicas de los NGFW son:

  • Inspección profunda de paquete (DPI) - Los NGFW realizan una inspección mucho más profunda de los paquetes que los firewalls tradicionales. Esta inspección profunda puede examinar aspectos como las cargas útiles de los paquetes y la aplicación a la que acceden los paquetes. Esto permite que el firewall aplique reglas de filtrado más granulares.
  • Conocimiento de las aplicaciones - Activar esta función hace que el firewall sea consciente de las aplicaciones que se están ejecutando y de los puertos que utilizan esas aplicaciones. Esto puede proteger contra ciertos tipos de malware que pretenden terminar un proceso en ejecución y luego tomar su puerto.
  • Conocimiento de la identidad - Esto permite que un firewall aplique reglas basadas en la identidad, como qué ordenador se está utilizando, qué usuario ha iniciado sesión, etc.
  • Sandboxing - Los firewalls pueden aislar trozos de código asociados a los paquetes entrantes y ejecutarlos en un entorno "sandbox" para asegurarse de que no se comportan de forma maliciosa. Los resultados de esta prueba de sandbox pueden utilizarse como criterio para decidir si los paquetes entran o no en la red.

Firewall de aplicaciones web (WAF):

Mientras que los firewalls tradicionales ayudan a proteger las redes privadas de las aplicaciones web maliciosas, los WAF ayudan a proteger las aplicaciones web de los usuarios con intenciones maliciosas. Un WAF ayuda a proteger las aplicaciones web filtrando y supervisando el tráfico HTTP entre una aplicación web e Internet. Suele proteger las aplicaciones web de ataques como falsificación entre sitios, scripting entre sitios (XSS), inclusión de archivos e inyección de código SQL, entre otros.

Firewall de aplicaciones web que bloquea el tráfico HTTP malicioso

Al desplegar un WAF en una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un firewall basado en proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de los riesgos al hacer que los clientes atraviesen el WAF antes de llegar al servidor.

El WAF opera por medio de un conjunto de reglas, normalmente denominadas directivas. Estas directivas tienen el fin de proteger contra vulnerabilidades en la aplicación mediante la filtración del tráfico malicioso. El valor de un WAF procede, en parte, de la velocidad y facilidad con que se pueden aplicar modificaciones en las directivas que permiten una respuesta más rápida ante diversos vectores de ataque; durante un ataque DDoS, se puede implementar rápidamente la limitación de velocidad modificando las directivas del WAF. Los productos WAF comerciales como el Firewall de aplicaciones web de Cloudflare protegen cada día a millones de aplicaciones web de ataques.

Firewall como servicio (FWaaS):

El firewall como servicio (FWaaS) es un modelo más reciente para ofrecer capacidades de firewall a través de la nube. A este servicio también se le conoce como "firewall en la nube." El FWaaS forma una barrera virtual en torno a las plataformas, la infraestructura y las aplicaciones en la nube, al igual que los firewalls tradicionales forman una barrera alrededor de la red interna de una organización. El FWaaS suele ser más apropiado para proteger los activos de la nube y la multinube que los firewalls tradicionales.

¿Qué es un "firewall de red"?

Un "firewall de red" es cualquier firewall que defiende una red. Por definición, casi todos los firewalls de seguridad son firewalls de red, aunque los firewalls también pueden proteger máquinas individuales.

Aunque los firewalls son un componente importante de la seguridad de la red, este ámbito tiene también muchos otros aspectos, incluyendo control de acceso, autenticación de usuarios y mitigación de DDoS. Más información sobre seguridad de la red.

¿Los firewalls están basados en software o en hardware?

En origen, los firewalls eran dispositivos de hardware (ver la sección de historia de los firewalls más abajo). Aunque todavía se utilizan algunos firewalls de hardware, la mayoría de firewalls modernos están basados en software, lo que significa que pueden funcionar en diferentes tipos de hardware. Por su parte, el FWaaS está alojado en la nube.

¿Cuál es la historia de los firewalls?

Los firewalls se remontan a finales de la década de 1980. Los primeros firewalls permitían o bloqueaban paquetes de datos individuales. Decidían qué paquetes permitir y cuáles bloquear al inspeccionar sus cabeceras de la capa de red y de la capa de transporte para ver su dirección IP y puerto de origen y destino (como ver las secciones "para" y "de" de un correo electrónico). Esto impedía el paso del tráfico ilegítimo y detuvo muchos ataques de malware.

La siguiente generación de firewalls añadió funciones de estado. Y las nuevas generaciones (como los NGFW) añadieron la capacidad de inspeccionar el tráfico en la capa de aplicación.

Al igual que las funciones de los firewalls han evolucionado con el paso tiempo, también lo ha hecho la forma de implementarlos. En origen, los firewalls eran dispositivos físicos de hardware que se conectaban a la infraestructura de red de la empresa. Pero a medida que los procesos de las empresas se trasladaban a la nube, canalizar todo el tráfico de red a través de una caja física se volvió ineficiente. En la actualidad, los firewalls también pueden funcionar por software o virtualmente en la nube.

¿Qué es un Magic Firewall?

El Magic Firewall es un firewall a nivel de red implementado desde la red de Cloudflare. Está diseñado para sustituir a los firewalls basados en hardware para las redes locales. Los firewalls basados en hardware solo escalan si el departamento de TI se hace con más de ellos; el Magic Firewall se escala más fácilmente para gestionar grandes cantidades de tráfico. Más información sobre el Magic Firewall.