El uso de servicios y herramientas de ciberseguridad como los cortafuegos se ha convertido en algo necesario para los usuarios y las empresas modernas, dado el creciente número de ataques en todo el mundo.

Si no se toma en serio la seguridad de sus dispositivos individuales o de la red de su organización, pueden producirse contratiempos de seguridad y perder sus datos, dinero y reputación.

Utilizando un cortafuegos, puede proteger sus sistemas, redes y datos. Los cortafuegos son de diferentes tipos y, a menudo, la gente se confunde sobre qué elegir entre ellos

Por eso es importante entender cada tipo de cortafuegos para tomar su decisión.

Así pues, hablemos de los distintos tipos de cortafuegos, sus ventajas, limitaciones, casos de uso y proveedores de servicios.

¿Qué es un cortafuegos?

Un cortafuegos o cortafuegos de red es una herramienta o dispositivo de seguridad que se sitúa entre su red y el mundo exterior. Actuando como un «muro» o frontera segura, este sistema de ciberseguridad supervisa todo el tráfico de red entrante y saliente que pasa a través de él con el fin de bloquear los paquetes de datos dañinos.

Types-of-Firewalls

Un cortafuegos bloquea los paquetes de datos basándose en algunas reglas predefinidas que usted puede establecer. Estas herramientas ayudan a proteger todos sus dispositivos, datos y red de ciberataques como amenazas internas, malware, ataques de ingeniería social, DDoS, amenazas de día cero, etc. De este modo, podrá experimentar una navegación segura por Internet.

Basándose en las técnicas operativas, un cortafuegos puede clasificarse en :

  • Cortafuegos de filtrado de paquetes
  • Cortafuegos de inspección de estado
  • Cortafuegos a nivel de circuito
  • Cortafuegos proxy
  • Cortafuegos de nueva generación (NGFW)

Según el modelo de entrega, pueden ser:

  • Cortafuegos basados en software
  • Cortafuegos basados en hardware
  • Cortafuegos basados en la nube

También existen otros tipos de cortafuegos, como los cortafuegos basados en host, los cortafuegos UTM, los cortafuegos NAT, los WAF, los cortafuegos virtuales, los cortafuegos de bases de datos, los cortafuegos de contenedores, etc.

Cortafuegos de filtrado de paquetes

Los cortafuegos de filtrado de paquetes son los cortafuegos más antiguos que pueden supervisar y controlar los datos entrantes y salientes a medida que fluyen por una red. Crea un punto de control o filtro en un conmutador de red o enrutador de tráfico. Filtra los datos basándose en algunas reglas predefinidas y funciona en la capa de red.

Packet-Filtering-Firewalls

Este tipo de cortafuegos comprueba cada paquete de datos que entra o sale de la red. Inspecciona datos como la dirección IP de origen y destino, el número de puerto, el tipo de paquete, el protocolo de red, etc., sin abrir el paquete de datos.

Si el paquete de datos pasa la inspección y no hay nada sospechoso en él, el cortafuegos de filtrado de paquetes lo dejará pasar. Sin embargo, si se descubre que el paquete de datos lleva algún contenido sospechoso, el cortafuegos lo descartará o restringirá su entrada en la red.

Ventajas

  • Cortafuegos sencillos y fáciles de usar
  • Los cortafuegos de filtrado de paquetes necesitan menos recursos para funcionar
  • No afectan al rendimiento del sistema en el que están instalados

Limitaciones

Estos cortafuegos son más fáciles de eludir.

Casos de uso

Los cortafuegos de filtrado de paquetes son más útiles para redes pequeñas, redes domésticas o cuando se necesita una seguridad básica frente a las amenazas.

Proveedores: Cisco, WatchGuard Network Security

Pasarelas a nivel de circuito

El cortafuegos a nivel de circuito supervisa e inspecciona los apretones de manos TCP en una red u otras actividades de inicio de sesión a través de un protocolo de red en una red determinada. Opera en la capa del modelo de Interconexión de Sistemas Abiertos (OSI), denominada capa de sesión.

Circuit-level-firewalls-

Estos cortafuegos se sitúan entre los hosts remoto y local y pueden determinar fácilmente si una sesión iniciada es legítima o no, y si debe confiar en el sistema remoto o no. Esto ofrece una forma rápida de detectar contenidos maliciosos y evitar contratiempos de seguridad.

Al igual que los cortafuegos de filtrado de paquetes, las pasarelas a nivel de circuito también son más sencillas y pueden denegar o aprobar el tráfico a gran velocidad sin consumir grandes recursos informáticos.

Ventajas

  • Sencillas y más rápidas
  • Requieren menos recursos
  • Menor impacto en la experiencia del usuario final

Limitaciones

Este tipo de cortafuegos no comprueba el paquete de datos en sí. Si el apretón de manos TCP está bien aunque el paquete tenga malware, el cortafuegos permitirá que pase a través de la red.

Casos de uso

Las pasarelas a nivel de circuito son útiles para centralizar la política de seguridad y gestión sin necesidad de herramientas de terceros.

Si su presupuesto es bajo, pero necesita un cortafuegos para su hogar o para sus necesidades básicas de seguridad, puede optar por este cortafuegos.

Proveedores: ForcePoint, Juniper Networks, etc.

Cortafuegos de inspección de estado

Los cortafuegos de inspección con seguimiento de estado son los que pueden manejar datos dinámicos y supervisar paquetes continuamente a través de la red. Por eso también se les llama cortafuegos de filtrado dinámico de paquetes. Funcionan en la capa de red y de transporte.

Stateful-Inspection-Firewalls
Fuente: MDPI

Los cortafuegos de inspección con seguimiento de estado realizan dos tipos de comprobaciones para validar si el paquete de datos entrante es legítimo o no:

  • Un apretón de manos TCP
  • Inspección de paquetes de datos

De este modo, los cortafuegos de inspección con seguimiento de estado crean un mayor nivel de seguridad, impidiendo que se produzcan malware o inicios de sesión ilegítimos. También pueden reconocer patrones para detectar y bloquear contenidos dañinos.

Ventajas

  • Mayor protección
  • Supervisión y control continuos y más profundos
  • Para el tráfico entrante y saliente, no necesita abrir varios puertos

Limitaciones

  • Consume más recursos informáticos
  • Velocidad reducida
  • Puede resultar caro

Casos de uso

Es adecuado para todo tipo de redes y tamaños de organización. También es bastante eficaz en la defensa contra ataques como DoS.

Proveedores: Barracuda, Juniper Networks

Cortafuegos proxy

Los cortafuegos proxy también se denominan cortafuegos de proxy inverso o pasarelas a nivel de aplicación. Estos cortafuegos funcionan en la capa de aplicación del modelo OSI.

Este cortafuegos filtra el tráfico web entrante entre su fuente y su red y se despliega a través de la nube o de un servicio proxy. Primero establece conexiones con la fuente de tráfico y comprueba los paquetes entrantes.

Proxy-firewalls-
Fuente: Zenarmor

Al igual que los cortafuegos con estado, también realiza tanto la inspección de paquetes como los apretones de manos TCP. Sin embargo, estos cortafuegos también pueden inspeccionar los paquetes de datos en una capa profunda para comprobar todo el contenido de un paquete de datos con el fin de detectar cualquier malware u otros riesgos.

Tras completar la inspección, si el paquete de datos resulta ser legítimo, será aprobado y llegará a su destino. Si no es aprobado, el paquete será rechazado.

Ventajas

  • Supervisa minuciosamente los dispositivos y los paquetes de datos
  • Mantiene el anonimato del usuario
  • Ofrece seguridad de grano fino

Limitaciones

  • Reduce la velocidad y el rendimiento del sistema debido a los pasos adicionales durante la transferencia de datos
  • No es compatible con todos los protocolos de red
  • Caro

Casos de uso

Los cortafuegos proxy son adecuados para entornos de navegación por Internet y para proteger los recursos de riesgos como las amenazas de las aplicaciones web.

Proveedores: Fortinet, Juniper Networks, F5 Networks

Cortafuegos de próxima generación (NGFW)

Los cortafuegos de nueva generación son lo último en cortafuegos que ofrecen una protección integral frente a las amenazas, tanto si proceden del interior como del exterior de su red. Combina las capacidades de los cortafuegos tradicionales junto con los modernos sistemas y software de seguridad. Excepto en la capa física, funciona en todas las capas.

Next-gen-firewalls-

Ofrece un enfoque multicapa para proteger su red de las amenazas.

Los NGFW incluyen estos aspectos principales:

  • Funciones tradicionales de cortafuegos
  • Prevención de intrusiones
  • Supervisión de aplicaciones

Estos cortafuegos combinan funciones tradicionales de cortafuegos como filtrado profundo de paquetes de datos, traducción de direcciones de red (NAT), handshakes TCP, redes privadas virtuales (VPN), bloqueo de URL, funciones de calidad de servicio (QoS), IDS, IPS, antivirus, inspección SSH y SSL e inspección de malware basada en la reputación.

Ventajas

  • Inspección del tráfico de las capas 2 a 7 del modelo OSI, es decir, de la capa de enlace de datos a la capa de aplicación
  • Detección y bloqueo de amenazas avanzadas como DDoS, ataques de día cero, etc.
  • Mayor control y visibilidad del tráfico

Limitaciones

  • Necesita un alto nivel de conocimientos para configurar y ejecutar los NGFW
  • Rendimiento lento de la red
  • Coste más elevado
  • Requiere una gran potencia de procesamiento

Casos de uso

Los NGFW son adecuados para todo tipo de redes, especialmente para organizaciones que requieren capacidades de seguridad avanzadas.

También es ideal para empresas como bancos, instituciones sanitarias, organismos gubernamentales, etc., que pertenecen a sectores muy regulados y deben cumplir las normativas de cumplimiento.

Proveedores: Heimdal Security, Fortinet, Palo Alto Networks

Cortafuegos basado en software

Los cortafuegos basados en software son los que se instalan en el dispositivo local y no en un servidor en la nube o en un componente de hardware individual. Aísla cada punto final de la red de los demás, lo que lo convierte en una herramienta eficaz para crear una seguridad profunda.

Software-based-firewalls-

Los cortafuegos basados en software se ejecutan en otro dispositivo o en un servidor cuando es necesario proteger los datos. Para ello, consume cierta cantidad de recursos informáticos como RAM y CPU. Supervisa los programas de software que se ejecutan en el ordenador anfitrión y filtra el tráfico entrante y saliente.

Este cortafuegos es eficaz a la hora de trabajar con aplicaciones en un sistema, gestionar usuarios, bloquear aplicaciones, supervisar usuarios dentro de su red, generar registros, etc.

Ventajas

  • Seguridad a un nivel más profundo
  • Fácil de configurar, reconfigurar y utilizar
  • Menos costoso

Limitaciones

  • Cortafuegos laboriosos y difíciles de mantener
  • Problemas de compatibilidad con otro software instalado

Casos de uso

Los cortafuegos basados en software son adecuados para pequeñas empresas y particulares que desean evitar la complejidad de los cortafuegos tradicionales y disponen de presupuestos limitados.

Proveedores: Avast

Cortafuegos de hardware

Los cortafuegos de hardware son dispositivos físicos que una organización despliega para crear un límite de red seguro o «cortafuegos». Inspecciona todo el tráfico de red entrante y saliente para que ningún paquete de datos dañino pueda entrar en el límite.

Hardware-Firewall

Para ofrecer una mayor protección, también aplica políticas de seguridad y controles de acceso. Puede supervisar todas las actividades a través de un panel de control centralizado.

Al igual que los cortafuegos de software, los cortafuegos de hardware también se instalan entre su dispositivo y el mundo exterior. También es posible instalar tanto cortafuegos de software como de hardware en su red.

Ventajas

  • Ofrece una protección integral de su red y sus dispositivos
  • Dificulta que los atacantes manipulen los dispositivos físicos
  • Mejores controles

Limitaciones

  • La instalación puede ser difícil
  • Requiere un mantenimiento regular
  • Inversiones elevadas en instalación y mantenimiento

Casos de uso

Los cortafuegos de hardware son más adecuados para las empresas medianas y grandes. Disponen de la infraestructura, el presupuesto y la mano de obra necesarios para instalar, gestionar y mantener cortafuegos de hardware.

Proveedor: Palo Alto Networks

Cortafuegos en la nube

Un cortafuegos basado en la nube se aloja en la nube. El proveedor de servicios entrega este tipo de cortafuegos a los usuarios en forma de servicio basado en suscripción. Por eso también se denomina cortafuegos como servicio (FWaaS).

Con un cortafuegos en la nube, puede configurar, gestionar y mantener de forma centralizada las políticas de seguridad en toda la red, los usuarios y los sistemas de su organización. Le permite añadir más funciones al servidor en nube para filtrar cargas de tráfico más pesadas.

cloud-firewall
Fuente: Cloudflare

Puede obtener su cortafuegos basado en la nube de un reconocido proveedor de servicios de seguridad gestionados (MSSP). Ellos alojan los cortafuegos en la nube y se los distribuyen para que los utilice directamente. También puede configurar el servicio de cortafuegos alojado para realizar un seguimiento de las actividades de red de su equipo interno, así como de terceros bajo demanda.

A diferencia de los cortafuegos tradicionales, los cortafuegos en la nube controlan el tráfico y los paquetes de datos a nivel de la nube. Esto ayuda a minimizar las amenazas en línea y a proteger sus datos confidenciales.

Ventajas

  • Fácil de utilizar
  • Escalable con las demandas de su organización
  • Sin necesidad de gestionar, configurar ni mantener nada
  • Protección para trabajadores remotos
  • Más rentable que las soluciones locales

Limitaciones

  • Confianza total en el proveedor de servicios en cuanto a rendimiento y disponibilidad del servicio
  • El procesamiento de datos fuera de las instalaciones puede dar lugar a problemas de privacidad

Casos de uso

Todos los tipos de redes pueden utilizar cortafuegos basados en la nube. Sin embargo, son ideales para empresas con múltiples sucursales, empleados remotos repartidos por todo el mundo y redes distribuidas.

Las pequeñas y medianas empresas pueden utilizarlo para evitar grandes costes y reducir la complejidad de la gestión de soluciones in situ.

Proveedor: Perimeter81, NordLayer

Cortafuegos de aplicaciones web

Los cortafuegos de aplicaciones y los cortafuegos de aplicaciones web son eficaces para supervisar, detectar y bloquear el tráfico dañino y mantener su red a salvo de intrusos.

Web-application-firewalls-
Fuente: Indusface

Los cortafuegos de aplicaciones trabajan con aplicaciones, servicios y otras soluciones de software para detectar intentos de intrusión que pueden aprovechar las vulnerabilidades del software y atravesar los cortafuegos tradicionales. Estos cortafuegos pueden permitir el control parental para bloquear completamente el acceso a algunos sitios web y aplicaciones.

Los cortafuegos de aplicaciones web (WAF) son similares a los cortafuegos de aplicaciones. La única diferencia es que los cortafuegos de aplicaciones web sólo supervisan las aplicaciones web y no el software instalado en su ordenador. Pueden detectar y bloquear aplicaciones web como las aplicaciones de terceros portadoras de malware.

Puede encontrar muchos WAF basados en la nube si no quiere invertir su tiempo en configurar, gestionar y mantener los sistemas cortafuegos por su cuenta.

Ventajas

  • Fácil de usar
  • No es fácilmente vulnerable a los riesgos de seguridad
  • Mayor protección para las aplicaciones

Limitaciones

  • No es compatible con todas las aplicaciones
  • Rendimiento reducido en algunas aplicaciones

Casos de uso

Cualquier tamaño y tipo de sitio web o empresa puede utilizar WAFs.

Proveedores: Cloudflare, Sucuri

Cortafuegos NAT

Los cortafuegos de traducción de acceso a la red (NAT) son los que acceden al tráfico web y bloquean las conexiones no deseadas. Los cortafuegos NAT pueden ocultar la dirección IP de un ordenador para que el usuario sea anónimo y reforzar la seguridad.

NAT-firewall

Si hay varios dispositivos conectados a Internet, el cortafuegos creará una dirección IP nueva, única y única. Esta dirección IP se utilizará para todos esos dispositivos, mientras que la dirección IP real de los dispositivos quedará oculta.

De esta forma, los cortafuegos NAT proporcionan seguridad a los dispositivos y a los datos frente a los atacantes que están al acecho para robar direcciones IP escaneando las redes. Así, al permanecer en el anonimato, su privacidad y seguridad aumentan.

Ventajas

  • Mantiene la privacidad de las direcciones IP internas
  • Puede conectarse con muchos hosts
  • Mejora el rendimiento y la velocidad

Limitaciones

  • La complejidad de la red aumenta debido a una capa adicional de seguridad
  • Algunas aplicaciones no funcionarán con un cortafuegos NAT

Casos de uso

El cortafuegos NAT es el mejor para las organizaciones que utilizan varios dispositivos pero necesitan una única dirección IP para todos. Les ayuda a trasladar sus direcciones IP únicas a la pública.

Cortafuegos basados en host

Los cortafuegos basados en host son aplicaciones que puede instalar en dispositivos como ordenadores, portátiles, servidores, etc. Estos cortafuegos pueden filtrar el tráfico en cada dispositivo basándose en ciertas reglas que usted haya establecido en un dispositivo determinado.

Online Security
Seguridad en línea

Así, puede establecer las reglas necesarias en los distintos dispositivos y dejar que el cortafuegos lo proteja basándose en esas reglas. De esta forma, obtendrá un control granular sobre cada dispositivo.

Ventajas

  • Mejor protección y control para cada dispositivo
  • Eficaz a la hora de bloquear amenazas externas e internas
  • Seguridad remota

Limitaciones

  • Complejo de mantener y gestionar a escala
  • Impacto en el rendimiento del sistema

Casos de uso

Los cortafuegos basados en host son excelentes para las pequeñas empresas y los particulares que necesitan una mayor seguridad para sus dispositivos, especialmente frente a las amenazas internas.

Proveedores: Microsoft Defender, Comodo

Cortafuegos UTM

UTM-firewall-1
Fuente: Juniper Networks

La gestión unificada de amenazas (UTM) es una herramienta especializada con funciones avanzadas que combina inspección de estado, antivirus y prevención de intrusiones. También puede incluir más capacidades como gestión en la nube, controles centralizados, etc.

Ventajas

  • Fácil de utilizar
  • Aplicaciones sencillas
  • Funciones de seguridad avanzadas

Limitaciones

  • Menor rendimiento del sistema para un mayor número de aplicaciones
  • Los ajustes pueden no ser tan potentes

Proveedores: Cisco Meraki, WatchGuard

Conclusión: ¿Cuál es el mejor cortafuegos?

Los cortafuegos pueden proteger su red de amenazas internas y externas y los hay de varios tipos. Por eso, a la hora de decidir el mejor tipo de cortafuegos para su empresa o sus dispositivos individuales, piense en sus necesidades, el tamaño de su empresa, el sector al que pertenece y el coste.

Siempre es la mejor práctica combinar varios cortafuegos para permitir una protección multicapa de sus sistemas, dispositivos, datos y red frente a distintos tipos de ataques, tanto internos como externos. Por ejemplo, puede ver un cortafuegos de nube en el perímetro de la red y un cortafuegos de software en cada dispositivo de la red.

A continuación, también puede explorar los mejores cortafuegos personales para ordenador y teléfonos móviles.