¿Qué es un firewall?
Cortafuegos de filtrado de paquetes
Se ocupa de tomar decisiones de procesamiento basadas en direcciones de red, puertos o protocolos. En general, son muy rápidos porque no hay mucha lógica detrás de las decisiones que toman. No hacen ninguna inspección interna del tráfico, ni tampoco almacenan ninguna información del estado. Deben abrirse los puertos manualmente para todo el tráfico que fluirá a través del firewall. Un hecho, que, sumado a las limitaciones de este sistema, hace que se considere uno de los tipos de cortafuegos menos seguros. Esto se debe a que reenviará cualquier tráfico que fluya en un puerto aprobado y, por lo tanto, podría enviarse tráfico malicioso, porque, siempre que esté en un puerto aceptable, no se bloqueará.
Puerta de enlace a nivel de circuito
Una puerta de enlace de nivel de circuito opera en la capa de transporte de los modelos de referencia de Internet o OSI y, como su nombre indica, implementa el filtrado a nivel de circuito en lugar del filtrado a nivel de paquete. Este firewall comprueba la validez de las conexiones (es decir, circuitos) en la capa de transporte (generalmente conexiones TCP) contra una tabla de conexiones permitidas, antes de que se pueda abrir una sesión e intercambiar datos. Las reglas que definen una sesión válida prescriben y, una vez que se permite una sesión, no se realizan más verificaciones, ni siquiera a nivel de paquetes individuales. Entre las desventajas de las puertas de enlace a nivel de circuito se encuentran la ausencia de filtrado de contenido y el requisito de modificaciones de software relacionadas con la función de transporte.
Firewall de inspección con estado
Este es uno de los tipos de firewall capaces de realizar un seguimiento del estado de la conexión. Los puertos se pueden abrir y cerrar dinámicamente si es necesario para completar una transacción. Por ejemplo, cuando se realiza una conexión a un servidor utilizando HTTP, el servidor iniciará una nueva conexión al sistema en un puerto aleatorio. Un firewall de inspección con estado abrirá automáticamente un puerto para esta conexión de retorno. Habitualmente, se consideran más seguros que los de filtrado de paquetes, ya que procesan los datos de la capa de aplicación y, por ese motivo, pueden profundizar en la transacción para comprender lo que está sucediendo.
Firewall proxy
Este tipo de firewalls operan en la capa de aplicación del modelo OSI, filtrando el acceso según las definiciones de la aplicación. Se considera como uno de los firewalls más seguros disponibles, debido a su capacidad para inspeccionar paquetes y garantizar que se ajusten a las especificaciones de la aplicación. Dada la cantidad de información que se procesa, los firewalls de la puerta de enlace de aplicaciones pueden ser un poco más lentos.
Firewall de próxima generación
Un cortafuegos de próxima generación ofrece un filtrado de paquetes básico o una toma de decisiones basada en proxy dentro de las capas 3 y 4 del modelo OSI disponible dentro de los firewalls tradicionales y con estado. Sin embargo, amplía su protección al tomar también decisiones en la capa de aplicación (es decir, la capa 7). Las características que definen a este novedoso cortafuegos son la identificación y control de aplicaciones, autenticación basada en el usuario, protección contra malware, protección contra exploits, filtrado de contenido (incluido el filtrado de URL) y control de acceso basado en la ubicación. Las empresas que deseen una protección completa que les blinde contra las amenazas, no deberían conformarse con ninguno de los tipos de firewall previos al de próxima generación, a no ser que opten por una combinación de ellos que les garantice la eficacia deseada. En un entorno en el que la ciberseguridad es vital, toda precaución es poca.
