Tipos de cortafuegos: definición y explicación

Existen numerosos tipos de cortafuegos que, según el sistema que protegen, su formato, su ubicación en la red y el método de filtrado de datos que utilizan, suelen clasificarse en categorías como las siguientes:

• Cortafuegos de red
• Cortafuegos basado en el host
• Cortafuegos de hardware
• Cortafuegos de software
• Cortafuegos interno
• Cortafuegos distribuido
• Cortafuegos perimetral
• Cortafuegos de nueva generación (NGFW)
• Cortafuegos de filtrado de paquetes
• Puerta de enlace a nivel de circuito
• Cortafuegos de aplicación web
• Cortafuegos de proxy
• Cortafuegos de inspección por estados

Funciones de los cortafuegos modernos

Desde su creación, los cortafuegos siempre han sido un pilar para la seguridad de la red. Con la evolución de la tecnología, también se han ido transformando las funciones y los métodos de implementación de estos mecanismos de protección.

Los avances tecnológicos han llevado a la aparición de numerosas variedades de cortafuegos y han dado lugar a una gran cantidad de términos y opciones diferentes que puede llevar a confusión. Cada tipo de cortafuegos realiza funciones diferentes, que es uno de los criterios para establecer una distinción entre unos y otros. Para clasificar los tipos de cortafuegos, se suele tener en cuenta el sistema que protegen, su formato, su ubicación en la infraestructura de red y su método de filtrado de datos.

Es posible que una organización necesite varios tipos de cortafuegos para garantizar la seguridad de la red de manera eficaz. Además, cabe señalar que un solo producto puede ofrecer varios tipos de cortafuegos.

Tipos de cortafuegos según los sistemas que protegen

Cortafuegos de red

Un cortafuegos de red se sitúa en el punto de unión entre las redes de confianza y las que no lo son, como los sistemas internos e internet. Su principal función es supervisar, controlar y determinar la validez del tráfico entrante y saliente a partir de un conjunto de reglas predefinido, diseñado para evitar el acceso no autorizado y preservar la integridad de la red.

La función operativa de un cortafuegos de red se encuentra en su capacidad de examinar cada paquete de datos. Mediante la comparación de atributos de los paquetes —como las direcciones IP de origen y destino, el protocolo y los números de puerto— con las reglas establecidas, bloquea con eficacia las posibles amenazas y los flujos de datos no deseados. Independientemente de que se implemente como hardware, software o ambos, su colocación garantiza una supervisión del tráfico exhaustiva.

Más allá de la mera regulación del tráfico, los cortafuegos de red brindan funciones de creación de logs. Los logs ayudan a los administradores a llevar un seguimiento y a sondear actividades sospechosas.

Cortafuegos basado en el host

Un cortafuegos basado en el host es un software que funciona en un solo dispositivo dentro de una red. Se instala directamente en ordenadores o dispositivos concretos para protegerlos de posibles amenazas mediante una capa de seguridad específica. Examinando el tráfico entrante y saliente del dispositivo en cuestión, filtra con eficacia el contenido dañino para evitar que accedan al sistema elementos maliciosos como malware o virus.

En los entornos en que la seguridad de la red es fundamental, los cortafuegos basados en el host complementan las soluciones perimetrales. Así como las defensas perimetrales protegen las fronteras más amplias de una red, los cortafuegos basados en el host refuerzan la seguridad a nivel de dispositivo. Esta estrategia de protección dual garantiza que, aunque una amenaza logre superar las defensas primarias de la red, cada ordenador permanezca blindado.

Tipos de cortafuegos según su formato

Cortafuegos de hardware

Un cortafuegos de hardware es un dispositivo físico situado entre un ordenador o red y su conexión a internet. Funciona con independencia del dispositivo del host, examinando el tráfico entrante y saliente para garantizar que se cumpla un conjunto de reglas de seguridad específico. Mediante el análisis activo de paquetes de datos, el cortafuegos de hardware detecta y bloquea las amenazas, pues brinda una barrera sólida para evitar posibles intrusiones.

Para que el cortafuegos de hardware funcione, debe conectarse directamente entre el origen del tráfico (internet) y la red o el sistema de destino. Una vez implementado, todo el tráfico de internet, ya sea saliente o entrante, debe pasar por este dispositivo, que inspecciona cada paquete de datos y toma decisiones según una serie de políticas de seguridad predeterminadas. El tráfico malicioso o sospechoso se bloquea, de forma que solo lleguen a la red interna los datos legítimos y seguros. Se trata de un modo proactivo de garantizar la seguridad de la red, ya que las amenazas se interceptan antes de que lleguen a los sistemas internos.

Cortafuegos de software

Un cortafuegos de software es un cortafuegos que se presenta en formato de software en lugar de como dispositivo físico. Se puede implementar en servidores o máquinas virtuales para proteger entornos en la nube.

Los cortafuegos de software se han diseñado para proteger los datos confidenciales, las cargas de trabajo y las aplicaciones en entornos donde resulte complicado o imposible implementar cortafuegos físicos.

Cuentan con la misma tecnología que los cortafuegos de hardware (también llamados cortafuegos de nueva generación o NGFW). Ofrecen distintas opciones de implementación para responder a las necesidades de los entornos híbridos y de varias nubes, y las aplicaciones modernas en la nube. Los cortafuegos de software se pueden implementar en cualquier red virtualizada o entorno en la nube.

¿Qué es un cortafuegos de software?

Tipos de cortafuegos de software

Los cortafuegos de software pueden ser cortafuegos para contenedores, cortafuegos virtuales (también denominados cortafuegos en la nube) y cortafuegos de servicios gestionados.

Cortafuegos para contenedores

Un cortafuegos para contenedores es la versión en software de un cortafuegos de nueva generación, diseñado en especial para entornos de Kubernetes.

Como las cargas de trabajo de los contenedores están integradas en entornos de Kubernetes, resulta difícil protegerlas con los cortafuegos tradicionales. En cambio, los cortafuegos para contenedores ayudan a los equipos de seguridad de la red a proteger a los desarrolladores integrando a fondo la seguridad en la orquestación de Kubernetes para impedir los ataques modernos a las aplicaciones y la exfiltración de datos.

Cortafuegos virtuales

Un cortafuegos virtual (también llamado «cortafuegos en la nube») es una instancia virtualizada de un cortafuegos de nueva generación que se utiliza en los entornos en la nube y virtuales para proteger el tráfico horizontal y vertical.

Los cortafuegos virtuales son un tipo de cortafuegos de software capaz de inspeccionar y controlar el tráfico vertical de la red perimetral en los entornos de nube pública, así como de segmentar el tráfico horizontal de las sucursales y los centros de datos físicos. Los cortafuegos virtuales ofrecen medidas de prevención de amenazas avanzadas gracias a la microsegmentación.

¿Qué es un cortafuegos virtual?

Cortafuegos en la nube

El término «cortafuegos en la nube» es el que más se acerca al concepto de cortafuegos virtual. Se trata de mecanismos basados en software que están anclados a la nube y se ocupan principalmente de filtrar el tráfico malicioso de la red. El modelo de entrega en la nube ha llevado a acuñar el término «cortafuegos como servicio» (FWaaS).

Otra iteración de esta terminología que vale la pena señalar es el «cortafuegos de nube pública». Este concepto enfatiza la implementación en la nube pública de este tipo de cortafuegos que, en esencia, ofrece las mismas funciones que un cortafuegos de hardware.

El término «cortafuegos en la nube» se puede definir de varias formas. Principalmente, el término se utiliza para referirse a tres elementos: cortafuegos ubicados en la nube y ofrecidos por proveedores de seguridad, funciones proporcionadas directamente por hyperscalers en la nube o dispositivos que custodian aplicaciones dentro de nubes públicas de distintos tipos. Es evidente que aún no se ha fijado una definición estándar en el sector.

¿Qué es un cortafuegos de nube pública?

Cortafuegos de servicios gestionados

Los cortafuegos de software también están disponibles como servicio gestionado, al igual que ocurre con muchas otras soluciones de software como servicio (SaaS). Este tipo de cortafuegos ofrece una forma flexible de implementar la seguridad en el nivel de las aplicaciones (capa 7) sin necesidad de supervisión. Además, al tratarse de servicios gestionados, algunos de estos cortafuegos permiten ampliar y reducir la escala con rapidez.

Cortafuegos de hardware vs. cortafuegos de software

Un cortafuegos de hardware es un dispositivo físico independiente que se sitúa entre la red y los dispositivos conectados a ella. Supervisa y controla el tráfico entrante y saliente de la red en función de una serie de políticas de seguridad predefinidas. Para implementar un cortafuegos de hardware, se necesita personal cualificado capaz de configurarlo correctamente y de garantizar una gestión continua.

En cambio, un cortafuegos de software se instala en un servidor o una máquina virtual. Este tipo de cortafuegos se ejecuta en un sistema operativo centrado en la seguridad y suele superponerse a los recursos de hardware habituales. Por lo general, se puede implementar con rapidez utilizando herramientas de automatización en la nube.

Tanto los cortafuegos de software como los de hardware brindan una protección esencial para la seguridad de la red. El hecho de elegir uno u otro dependerá del contexto de la implementación y de los requisitos específicos de cada caso.

Tipos de cortafuegos según su ubicación en la infraestructura de red

Cortafuegos interno

Un cortafuegos interno actúa principalmente dentro de los límites de una red para detener las amenazas que hayan logrado superar las defensas del perímetro. A diferencia de los cortafuegos externos o perimetrales, que se centran en las amenazas externas entrantes, los cortafuegos internos se ocupan del tráfico que se transmite entre los diferentes dispositivos dentro de la red. Esta diferencia es importante, pues no todas las amenazas tienen su origen en internet. En ocasiones, los problemas se originan dentro de la propia organización, ya sea por errores involuntarios de los empleados o por acciones con una intención maliciosa.

Este tipo de cortafuegos se guía por el principio del modelo Zero Trust: no se fía automáticamente de una actividad solo porque se haya originado dentro de la red. Segmentando la red en diferentes zonas, cada una de ellas con sus propias medidas de seguridad, el cortafuegos evita que las posibles amenazas se propaguen por todo el sistema. Por ejemplo, la microsegmentación es una técnica en la que la red se divide en zonas aisladas más pequeñas con el fin de mejorar la seguridad. Además, estas soluciones pueden aprovechar la automatización inteligente para adaptar y actualizar los protocolos de seguridad según comportamientos seguros observados y establecidos, para garantizar así una protección continua y dinámica.

Cortafuegos distribuido

Un cortafuegos distribuido es un mecanismo de seguridad de la red diseñado para proteger toda la infraestructura de una organización. A diferencia de los cortafuegos tradicionales, que suelen centrarse en un solo nodo o dispositivo, los cortafuegos distribuidos funcionan en toda una red. Aprovechan las funciones de varios dispositivos para supervisar y controlar el tráfico, con el fin de garantizar una protección coherente y completa.

Una de las grandes ventajas de los cortafuegos distribuidos es que supervisan tanto el tráfico interno como el externo, a diferencia de los convencionales, que siempre se han centrado en las amenazas externas. Sin embargo, con la evolución de las amenazas de seguridad, ha quedado claro que también hay que supervisar el tráfico interno para detectar posibles peligros, y justamente eso es lo que hacen los cortafuegos distribuidos, que examinan tanto el tráfico interno como el que entra en la red para ofrecer una capa de seguridad más exhaustiva.

Otras características destacadas de los cortafuegos distribuidos son su escalabilidad y su eficiencia. Al descentralizar el proceso de supervisión del tráfico y repartirlo en distintos dispositivos y nodos, evitan los cuellos de botella y los puntos de congestión. Además, en caso de que una organización crezca o de que el tráfico aumente, el sistema se amplía según sea necesario sin que el rendimiento ni la seguridad se vean afectados gracias a su naturaleza distribuida.

Cortafuegos perimetral

Un cortafuegos perimetral establece el límite entre una red privada y el dominio público de internet. Este tipo de cortafuegos, que actúa como defensa principal, inspecciona meticulosamente cada byte de datos que trate de entrar en el entorno. De este modo, protege la red privada de los datos sin garantías y potencialmente dañinos. Una función importante del cortafuegos perimetral es diferenciar y, a continuación, autorizar o no el tráfico según una serie de parámetros predeterminados para garantizar que solo entren los datos legítimos y seguros.

La eficacia de un cortafuegos perimetral radica en su capacidad de reconocer y discernir la naturaleza de los paquetes de datos. Examina tanto la información del encabezado como la carga útil de cada paquete para determinar su intención. Este examen facilita la detección de posibles amenazas, como malware o indicios de un ciberataque inminente, lo cual ayuda a tomar medidas preventivas con prontitud.

El cortafuegos perimetral puede supervisar tanto el tráfico interno como el externo. Así como el tráfico interno circula entre los usuarios, los dispositivos y los sistemas dentro de una misma red, el tráfico externo se origina en internet. Dado el gran volumen y la variabilidad de las amenazas que existen en internet, la gestión del tráfico externo se ha convertido en una tarea crucial para estos cortafuegos.

Con el tiempo, los avances tecnológicos han redefinido la arquitectura de los cortafuegos perimetrales. La llegada de los cortafuegos de nueva generación (NGFW) es un ejemplo de esta evolución. Además de ofrecer el filtrado de paquetes básico y la inspección por estados, los NGFW cuentan con más funciones de seguridad, como la inspección de paquetes profunda y los mecanismos de prevención o detección de intrusiones. Estos avances mejoran el mecanismo de defensa general y garantizan que las redes privadas permanezcan protegidas.

Tipos de cortafuegos según el método de filtrado de datos

Los cortafuegos de nueva generación (NGFW) amplían las funciones de los cortafuegos tradicionales, pues ofrecen soluciones de seguridad más exhaustivas. A diferencia de sus predecesores, que se centraban principalmente en la inspección por estados, los NGFW proporcionan funciones mejoradas para comprender y controlar el tráfico de las aplicaciones, integran mecanismos de prevención de intrusiones y aprovechan inteligencia sobre amenazas extraída de la nube. Este enfoque avanzado garantiza una inspección más meticulosa de los paquetes de datos, que refleja los complejos matices de las ciberamenazas modernas.

Aparte de controlar los accesos, los NGFW son capaces de enfrentarse a retos modernos como el malware avanzado y los ataques sofisticados en la capa de las aplicaciones. Observan los datos más a fondo, examinando la naturaleza del tráfico y detectando patrones que puedan ser indicio de posibles amenazas. Gracias a la integración de fuentes de inteligencia sobre amenazas en los NGFW, estos cuentan siempre con información actualizada sobre los vectores de amenazas más recientes, lo cual permite mantener su eficacia frente a los retos en materia de ciberseguridad, que evolucionan constantemente.

La aparición de los NGFW representa un importante paso adelante. Al combinar las características fundamentales de los cortafuegos tradicionales con funciones de seguridad avanzadas, los NGFW ofrecen una línea de defensa sólida y versátil. Como actúan en la capa de las aplicaciones e incorporan mecanismos de protección adicionales, son un activo indispensable para la protección de las redes corporativas frente a todo tipo de amenazas, desde las ocultas hasta las más evidentes.

Cortafuegos de filtrado de paquetes

Los cortafuegos de filtrado de paquetes actúan en la capa de la red y se ocupan de controlar el flujo de paquetes de datos entre una red y otra. Estos cortafuegos se basan en una serie de reglas predefinidas que evalúan los atributos específicos de los paquetes, como la IP de origen, la IP de destino, los puertos y los protocolos. Si los atributos respetan las reglas establecidas, se permite la entrada del paquete. De lo contrario, se bloquea.

Los cortafuegos de filtrado de paquetes, a su vez, se pueden clasificar en estáticos, dinámicos, sin estado y con estado.

Puerta de enlace a nivel de circuito

Una puerta de enlace a nivel de circuito funciona principalmente en la capa de las sesiones del modelo de interconexión de sistemas abiertos (OSI). Su función es supervisar y validar el proceso de establecimiento de la comunicación (handshake) entre los paquetes, en especial para las conexiones TCP y UDP. Al examinar este proceso y las direcciones IP asociadas con los paquetes, este cortafuegos identifica el tráfico legítimo e impide el acceso no autorizado. Una puerta de enlace a nivel de circuito no llega a examinar el contenido de los paquetes de datos, sino que se centra principalmente en la información del encabezado, para garantizar que el tráfico esté en línea con el conjunto de reglas del cortafuegos.

Cuando un usuario trata de iniciar una conexión con un host remoto, la puerta de enlace a nivel de circuito establece un circuito, que básicamente es una conexión virtual entre el usuario y el host deseado. A continuación, esta puerta de enlace supervisa el tráfico que atraviesa el circuito, garantiza que esté en línea con una conexión ya establecida y solo permite el paso del tráfico verificado y autorizado. Cuando los paquetes de datos cumplen estos criterios, el cortafuegos facilita una conexión y permite que el protocolo de control de transmisiones o el protocolo de datagramas de usuario se comuniquen con el servidor de destino en nombre del usuario. Si los paquetes no cumplen estos criterios, la puerta de enlace rechaza la conexión, lo que supone el cierre de la sesión.

El factor distintivo de las puertas de enlace a nivel de circuito es la sencillez de su diseño e implementación. Como no están diseñadas para comprender ni interpretar los protocolos de aplicación, su implementación no suele entrañar dificultades. El mecanismo de una puerta de enlace a nivel de circuito es diferente del reenvío de puertos básico. En una configuración de este tipo, el cliente reconoce un sistema intermedio, con lo que las operaciones de la puerta de enlace son más exhaustivas que las del mero reenvío de puertos.

Cortafuegos de aplicaciones web

Un cortafuegos de aplicaciones web, que se suele denominar WAF, funciona como una capa de protección especializada para las aplicaciones web, los servidores web y las API. Examina y filtra el tráfico HTTP para proteger las aplicaciones web de amenazas como las secuencias de comandos entre sitios (XSS), la inyección de SQL y la inclusión de archivos. Los WAF se diferencian por funcionar en la capa 7, concentrándose en las amenazas presentes en la capa de las aplicaciones.

Situados ante las aplicaciones web, funcionan como proxies inversos, es decir, interceptan e inspeccionan las solicitudes dirigidas a la aplicación web, para garantizar que solo pase el tráfico legítimo. Todo tráfico sospechoso o malicioso se bloquea al instante para prevenir posibles ataques. Esta arquitectura no solo mejora la seguridad de las aplicaciones web, sino que ayuda a proteger las aplicaciones de la exposición directa a las amenazas de internet.

Para garantizar la eficiencia, los WAF utilizan políticas o conjuntos de reglas que ayudan al cortafuegos a discernir entre el tráfico benigno y el potencialmente malicioso. Estas políticas se pueden ajustar con rapidez, lo cual permite responder de inmediato a las amenazas emergentes o a los patrones de ataque en constante cambio. Actualizar periódicamente estas reglas es imprescindible.

¿Qué es un WAF? | Cortafuegos de aplicaciones web

Cortafuegos de proxy

Un cortafuegos de proxy, también llamado cortafuegos de aplicaciones o de puerta de enlace, funciona en la capa de las aplicaciones como mecanismo de defensa crucial para las redes. Actúa principalmente como intermediario, filtrando los mensajes que se transmiten entre los sistemas informáticos y los servidores externos. De este modo, protege los recursos de la red de las posibles ciberamenazas.

A diferencia de los cortafuegos convencionales, que no descifran ni inspeccionan a fondo el tráfico del protocolo de las aplicaciones, los cortafuegos de proxy profundizan más en este aspecto. Examinan el tráfico que entra en la red y sale de ella, detectando signos de posibles ciberataques o malware. Una de las funciones fundamentales de los cortafuegos es mantener sus propias direcciones de protocolo de internet (IP). Este diseño evita que las redes externas puedan acceder directamente a la red interna protegida.

El proceso operativo de un cortafuegos de proxy es sencillo y a la vez eficaz. Los ordenadores de una red se conectan a internet utilizando el proxy como puerta de enlace. Cuando un usuario trata de acceder a un servicio o sitio web externo, el cortafuegos de proxy intercepta su solicitud y la evalúa según sus políticas. Si la considera segura, establece una conexión en nombre del usuario. Con este método, el cortafuegos de proxy garantiza que solo se establezcan conexiones autorizadas y seguras.

Cortafuegos de inspección por estados

Los cortafuegos de inspección por estados constituyen una parte fundamental de la supervisión activa de las conexiones de red. Mediante el seguimiento de estas conexiones, analizan el contexto del tráfico entrante y saliente para asegurarse de que solo atraviesen la red los paquetes de datos que sean seguros. La función principal de estos cortafuegos, situados en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI), es filtrar el tráfico según su estado y contexto. Este método es más completo que contar solo con protección en el nivel de los paquetes, porque tiene en cuenta el contexto en que se producen los intercambios de datos.

La tecnología subyacente del cortafuegos de inspección por estados es su capacidad de inspeccionar paquetes. Examina el contenido de cada paquete para determinar si tiene los mismos atributos que las conexiones seguras reconocidas con anterioridad. En caso de coincidencia, se permite el paso de los datos. En cambio, en caso de discrepancias, el paquete se somete a ciertas comprobaciones basadas en políticas para verificar si es seguro.

Un ejemplo práctico de la capacidad de inspección por estados es su interacción con el protocolo de control de transmisiones (TCP). El TCP facilita el envío y recepción simultáneos de datos y sigue un triple proceso de handshake para establecer las conexiones: sincronización (SYN), sincronización-reconocimiento (SYN-ACK) y reconocimiento (ACK). El cortafuegos de inspección por estados utiliza este proceso para reconocer posibles amenazas examinando el contenido de los paquetes durante el handshake. Si aparecen señales de peligro, como destinos u orígenes sospechosos, el cortafuegos desecha los datos al instante. Este sistema garantiza que solo se mantengan las conexiones legítimas y seguras.

Cortafuegos de capa 3 vs. cortafuegos de capa 7

El cortafuegos de capa 3 funciona en la capa de la red del modelo de interconexión de sistemas abiertos (OSI). Se centra principalmente en filtrar el tráfico según ciertos parámetros, como las direcciones IP, los números de puerto y una serie de protocolos, con lo que se trata de un enfoque amplio que recuerda al funcionamiento de los enrutadores. Este tipo de cortafuegos, que ofrece una cobertura eficiente y de gran alcance, garantiza la protección mediante la autorización o el rechazo de los paquetes según cuál sea su origen y destino.

En cambio, el cortafuegos de capa 7 funciona en la capa de las aplicaciones del modelo OSI. Su principal ventaja es su capacidad de inspeccionar a fondo el contenido de los paquetes de datos, lo cual le permite discernir entre el tráfico de las aplicaciones benigno y malicioso y, de este modo, garantiza una protección eficaz frente a amenazas como la inyección de SQL u otros ataques en la capa de las aplicaciones.

En el ámbito de la seguridad de la red, no se trata de elegir entre uno u otro, pues cada uno tiene sus diferentes ventajas. Así como los cortafuegos de capa 3 brindan un filtrado rápido de amplio espectro, los de capa 7 analizan a fondo los detalles más complejos de los datos para ofrecer un nivel de protección más profundo. Si se combinan los puntos fuertes de cada uno, será posible implementar una estrategia de defensa sólida y exhaustiva que se traducirá en una seguridad óptima.

Cómo elegir el cortafuegos adecuado para una red empresarial

Para elegir el cortafuegos adecuado para una red empresarial, es necesario conocer bien la arquitectura de la red, los activos protegidos y las necesidades específicas de la organización.

En primer lugar, hay que definir los objetivos técnicos del cortafuegos. Determine si la red necesita una solución exhaustiva o si basta con un cortafuegos más sencillo; es crucial tener en cuenta el tipo de red, la importancia de los activos, el presupuesto y el tráfico previsto. También deberá evaluar cómo integrar los productos de cortafuegos en la infraestructura existente. Por último, no olvide consultar los requisitos en materia de cumplimiento normativo y las leyes de protección de datos pertinentes.

Preguntas frecuentes sobre los tipos de cortafuegos