¿Qué es un firewall de última generación (NGFW)?

Un firewall de nueva generación (NGFW) tiene funciones adicionales que lo diferencian de un firewall tradicional. Los NGFW suelen ser mejores para identificar las amenazas más recientes.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el firewall de nueva generación (NGFW)
  • Describir las funciones del NGFW
  • Diferenciar entre el filtrado de paquetes y la inspección profunda de paquete (DPI)

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es un firewall de última generación (NGFW)?

Un firewall de nueva generación (NGFW) es un dispositivo de seguridad que procesa el tráfico de red y aplica reglas para bloquear tráfico potencialmente peligroso. Los NGFW evolucionan y amplían las capacidades de los firewalls tradicionales Realizan las mismas funciones que los firewalls, pero de forma más potente y con funciones adicionales.

Pensemos en dos agencias de seguridad en aeropuertos. Una comprueba que los pasajeros no estén en ninguna No-fly list, que sus identidades coincidan con lo que figura en sus billetes y que se dirijan a los destinos a los que presta servicio el aeropuerto. La segunda, además de comprobar las No-fly list y demás, inspecciona lo que llevan los pasajeros, asegurándose de que no tengan artículos peligrosos o no permitidos. La primera agencia mantiene la seguridad de los aeropuertos frente a las amenazas obvias; la segunda también identifica las amenazas menos obvias.

Un firewall ordinario es como la primera agencia de seguridad: bloquea o permite los datos (pasajeros) en función de hacia dónde van, de si forman parte o no de una conexión de red legítima, y de dónde proceden. Un NGFW se parece más a la segunda agencia de seguridad: inspecciona los datos a un nivel más profundo para identificar y bloquear las amenazas que puedan estar ocultas en el tráfico de apariencia normal.

¿Qué funciones tiene un NGFW?

Los NGFW pueden hacer todo lo que hacen los firewalls normales. Esto incluye:

  • Filtrado de paquetes: Inspeccionar cada paquete individual de datos y bloquear los paquetes peligrosos o inesperados. Más adelante explicaremos el filtrado de paquetes.
  • Inspección de estado: Examinar los paquetes en su contexto para asegurarse de que forman parte de una conexión de red legítima.
  • Conocimiento de la VPN: Los firewalls son capaces de identificar el tráfico de VPN encripatado y permitir su paso.
El firewall tradicional carece de las capacidades del firewall de nueva generación NGFW, deja pasar los paquetes

Los NGFW también añaden varias funciones que no tienen los firewalls antiguos. Los NGFW utilizan la inspección profunda de paquetes (DPI) además del filtrado de paquetes. Y según Gartner, una empresa internacional de investigación y asesoría, un NGFW incluye:

  • Conocimiento y control de las aplicaciones
  • Prevención de intrusiones
  • Información sobre amenazas
  • Itinerarios de actualización para añadir futuras fuentes de información
  • Técnicas para hacer frente a la evolución de las amenazas para la seguridad
El firewall de nueva generación NGFW bloquea los paquetes maliciosos

Estas funciones se explican en detalle a continuación.

La mayoría de estas funciones son posibles porque, a diferencia de un firewall normal, los NGFW pueden procesar el tráfico en varias capas del modelo OSI, no solo en las capas 3 (la capa de red) y 4 (la capa de transporte). Los NGFW pueden mirar el tráfico de la capa 7 HTTP e identificar qué aplicaciones están en uso, por ejemplo. Se trata de una función importante, porque la capa 7 (la capa de aplicación) se utiliza cada vez más para que los ataques sorteen las políticas de seguridad que implementan los firewalls tradicionales en las capas 3 y 4.

(Para más información sobre las capas OSI, consulta ¿Qué es el modelo OSI?)

¿Qué es el filtrado de paquetes y la inspección profunda de paquete (DPI)?

Filtrado de paquetes

Todos los datos que atraviesan una red o Internet se dividen en trozos más pequeños llamados paquetes. Debido a que estos paquetes contienen el contenido que entra en la red, los firewalls los inspeccionan, y los bloquean o dejan entrar con el fin de evitar que pase el contenido malicioso (como un ataque de malware). Todos los firewalls tienen esta capacidad de filtrado de paquetes.

El filtrado de paquetes funciona al inspeccionar las direcciones IP de origen y destino, los puertos, y los protocolos asociados a cada paquete, es decir, de dónde viene cada paquete, a dónde va y cómo va a llegar. Los firewalls permiten o bloquean los paquetes en función de esta evaluación, filtrando los paquetes no permitidos.

Por ejemplo, los atacantes a veces intentan aprovechar las vulnerabilidades asociadas al Protocolo de escritorio remoto (RDP) mediante el envío de paquetes especialmente diseñados al puerto utilizado por este protocolo, el puerto 3389. Sin embargo, un firewall puede inspeccionar un paquete, ver a qué puerto se dirige y bloquear todos los paquetes dirigidos a ese puerto, a menos que procedan de una dirección IP que se haya permitido específicamente. Esto implica inspeccionar el tráfico de red en las capas 3 (para ver las direcciones IP de origen y destino) y 4 (para ver el puerto).

Inspección profunda de paquete (DPI)

Los NGFW mejoran el filtrado de paquetes realizando en su lugar una inspección profunda de paquete (DPI). Como pasa con el filtrado de paquetes, en la DPI se debe inspeccionar cada paquete individual para ver la dirección IP de origen y destino, el puerto de origen y destino, etc. Toda esta información está incluida en las cabeceras de capa 3 y 4 de un paquete.

Pero la DPI también inspecciona el cuerpo de cada paquete, y no solo la cabecera. En concreto, la DPI comprueba los cuerpos de los paquetes en busca de firmas de malware y otras amenazas potenciales. Compara el contenido de cada paquete con el de otros ataques maliciosos conocidos.

¿Qué es el conocimiento y el control de aplicaciones?

Los NGFW bloquean o permiten los paquetes en función de a que aplicación se dirigen. Lo hacen analizando el tráfico en la capa 7, la capa de aplicación. Los firewalls tradicionales no tienen esta capacidad, ya que solo analizan el tráfico en las capas 3 y 4.

El conocimiento de las aplicaciones permite que los administradores puedan bloquear las aplicaciones potencialmente peligrosas. Si los datos de una aplicación no pueden superar el firewall, entonces no puede introducir amenazas en la red.

Según las definiciones de los términos de Gartner, tanto esta capacidad como la prevención de intrusos (se describe a continuación) son elementos de DPI.

¿Qué es la prevención de intrusos?

La prevención de intrusos analiza el tráfico entrante, identifica las amenazas conocidas y las potenciales, y las bloquea. Esta función suele denominarse sistema de prevención de intrusos (IPS). Los NGFW incluyen IPS como parte de sus funciones DPI.

Los IPS pueden usar varios métodos para detectar amenazas, incluyendo:

  • Detección de firmas: Escanear la información de los paquetes entrantes y compararla con amenazas conocidas
  • Detección estadística de anomalías: Escanear el tráfico para detectar cambios inusuales en el comportamiento, en comparación con una base de referencia
  • Detección de análisis de protocolos de estado: Similar a la detección de anomalías estadísticas, pero centrada en los protocolos de red en uso y comparándolos con el uso típico de los protocolos

¿Qué es la inteligencia de amenazas?

Inteligencia de amenazas es información sobre posibles ataques. Como las técnicas de ataque y los tipos de malware cambian continuamente, la inteligencia de amenazas actualizada es crucial para bloquear esos ataques. Los NGFW son capaces de recibir y actuar en función de la información sobre amenazas procedente de fuentes externas.

La inteligencia de amenazas mantiene la eficacia de la detección de firmas del IPS al proporcionar las últimas firmas de malware.

La inteligencia de amenazas también puede suministrar información sobre la reputación de la IP. "La reputación de la IP" identifica las direcciones IP de las que suelen proceder los ataques (especialmente los ataques de bots). Una fuente de inteligencia de amenazas de reputación IP ofrece las últimas direcciones IP malas conocidas, que un NGFW puede bloquear.

¿Los firewalls de nueva generación están basados en hardware o en software?

Algunos NGFW son dispositivos de hardware diseñados para defender una red privada interna. Los NGFW también pueden implementarse como software, pero no es necesario que estén basados en software para ser considerados de nueva generación.

Por último, un NGFW se puede implementar como un servicio en la nube; esto se denomina firewall en la nube o firewall como servicio (FWaaS). El FWaaS es un componente importante de modelos de red de Perímetro de servicio de acceso seguro (SASE). (Comparar NGFW y FWaaS con más profundidad.)

¿Qué es el Magic Firewall de Cloudflare?

Magic Firewall de Cloudflare es un firewall a nivel de red suministrado a través de la red global de Cloudflare. Protege a los usuarios, las redes de las oficinas y la infraestructura de la nube, y está diseñado para sustituir a los firewalls basados en hardware con una protección avanzada y escalable.

Magic Firewall está estrechamente integrado con Cloudflare One, una plataforma SASE que combina servicios de red y seguridad.