Firewalls: Tipos y Arquitecturas de Red
Packet filtering, stateful inspection, proxies de aplicación, NGFW y diseño de DMZ
Tipos de Firewall
1. Packet Filtering (Capa 3/4)
El más básico. Examina cabeceras IP y TCP/UDP: IP origen/destino, puerto, protocolo. No guarda estado de conexión.
✅ Ventajas
- • Muy rápido y de bajo overhead
- • Ideal para routers de borde
❌ Limitaciones
- • No detecta ataques en payload
- • Fácil de evadir con IP spoofing
- • No distingue tráfico legítimo de respuestas falsas
2. Stateful Inspection (Capa 4)
Mantiene una tabla de estado de conexiones TCP/UDP/ICMP activas. Solo permite paquetes que pertenecen a conexiones establecidas (o respuestas legítimas).
✅ Ventajas
- • Bloquea respuestas no solicitadas
- • Previene SYN flooding básico
- • La mayoría de firewalls modernos son stateful
❌ Limitaciones
- • Tabla de estado consume memoria
- • No inspecciona el payload de aplicación
3. Application Proxy / Application Gateway
Opera en capa 7. Actúa como intermediario: termina la conexión del cliente, inspecciona el contenido y establece una nueva conexión al servidor.
✅ Ventajas
- • Entiende protocolos HTTP, FTP, DNS
- • Puede filtrar comandos específicos (ej: bloquear PUT en HTTP)
- • Oculta la topología interna
❌ Limitaciones
- • Alta latencia
- • Un proxy por protocolo
- • Menor rendimiento
4. Next-Generation Firewall (NGFW)
Combina stateful inspection + DPI (Deep Packet Inspection) + control de aplicaciones + IPS integrado + inspección TLS + identificación de usuarios.
✅ Ventajas
- • Visibilidad de aplicación (L7)
- • IPS integrado
- • Políticas basadas en usuario (integración con AD)
- • Inspección de tráfico cifrado (TLS inspection)
❌ Limitaciones
- • Coste elevado
- • TLS inspection introduce complejidad y riesgos de privacidad
Arquitecturas de Red con Firewall
Screened Subnet (DMZ)
La arquitectura más recomendada. Dos firewalls crean una zona desmilitarizada (DMZ) donde residen los servidores accesibles desde Internet (web, mail, DNS).
# Tráfico: Internet → FW Externo → DMZ → FW Interno → Red Interna
Internet
↓
[Firewall Externo] ← permite: 80, 443, 25
↓
DMZ: Web Server, Mail Relay, DNS Authoritative
↓
[Firewall Interno] ← solo permite: DMZ → BD puerto 5432
↓
Red Interna + Base de Datos
Reglas de la DMZ
Externo → DMZ
✅ Permitir: HTTP (80), HTTPS (443), SMTP (25)
❌ Denegar: Todo lo demás
DMZ → Interno
✅ Permitir: Solo BD puerto específico (5432)
❌ Denegar: RDP, SSH, SMB, todo lo demás
Interno → DMZ
✅ Permitir: Administración SSH desde jumphost
❌ Denegar: Acceso directo desde endpoints
Externo → Interno
✅ Permitir: NADA — tráfico directo prohibido
❌ Denegar: Todo
WAF — Web Application Firewall
El WAF opera en capa 7 específicamente para proteger aplicaciones web. Inspecciona HTTP/S y bloquea los ataques del OWASP Top 10: SQLi, XSS, SSRF, LFI, etc.
Modo Lista Blanca
Solo permite patrones conocidos. Muy seguro pero laborioso de mantener.
Modo Lista Negra
Bloquea patrones maliciosos conocidos. Más fácil pero vulnerable a bypasses.
Modo Híbrido
Combinación. Con ML para detectar anomalías. Cloudflare WAF, AWS WAF, ModSecurity.
Buenas Prácticas
Política por defecto DENY ALL — solo permitir lo explícitamente necesario.
Documentar cada regla con justificación, fecha, ticket y propietario.
Revisar y auditar reglas de firewall cada 6 meses — eliminar reglas obsoletas.
Nunca abrir rangos amplios como "ANY → ANY" aunque sea temporal.
Segmentar la red interna con VLANs + ACLs de capa 3 entre segmentos.
Implementar firewall de egress (salida) además de ingress — limitar exfiltración.
Siguiente Paso
Aprende a detectar y prevenir intrusiones con IDS/IPS
IDS/IPS: Detección de Intrusiones →