Un «Firewall» es uno de los dispositivos de seguridad informática y de red más populares que los profesionales utilizan para proteger los activos informáticos y las redes de sus empresas.

Al igual que una puerta resistente al fuego en los edificios que protege las habitaciones de un posible incendio y detiene la propagación de las llamas dentro del edificio, el cortafuegos de seguridad tiene una función similar para evitar que los paquetes y el tráfico malicioso entren y dañen sus activos informáticos protegidos.

En este sitio web he escrito cientos de artículos en torno a los firewalls Cisco ASA, que representan un ejemplo clásico de los firewalls basados en la red de hardware.

Sin embargo, también hay otros tipos de firewalls, como los firewalls basados en el host, que también vamos a discutir y comparar en este post.

Qué es un Firewall basado en red

Como su nombre indica, este tipo de firewall se utiliza principalmente para proteger redes informáticas completas de los ataques y también para controlar el tráfico de la red de manera que sólo los paquetes permitidos puedan llegar a sus servidores y activos informáticos.

La imagen anterior muestra varios cortafuegos basados en red Cisco ASA. Como puede ver, se trata de dispositivos de hardware que contienen varios puertos Ethernet para conectarse a una red (que va desde las PYMES hasta las grandes redes empresariales).

Estos puertos suelen ser puertos de 1 Gbps con conectores eléctricos RJ45, pero también se pueden encontrar puertos ópticos (por ejemplo, puertos de 1 Gbps, 10 Gbps de velocidad, etc.) para conectarse a cables de fibra óptica para conseguir distancias más largas y un mayor ancho de banda.

Los puertos físicos de un cortafuegos de red se conectan a conmutadores de red para implementar el cortafuegos dentro de la red LAN.

En su forma más sencilla, puede conectar varios puertos físicos del cortafuegos a diferentes conmutadores de red para proporcionar un acceso controlado entre diferentes segmentos de la red.

El caso de uso más popular de un cortafuegos de red es cuando se utiliza como dispositivo de frontera de Internet para proteger la LAN de una empresa de Internet, como se muestra en el siguiente diagrama:

La red anterior es uno de los casos de uso más populares de los cortafuegos de red que se utilizan en las redes empresariales. Como puede ver, un puerto del cortafuegos está conectado al conmutador de red 1, que aloja todos los dispositivos de cliente LAN de la red empresarial.

Otro puerto físico del cortafuegos está conectado a otro conmutador de red 2 que se conecta a un servidor web.

Por lo tanto, en el escenario anterior hemos conseguido separar el servidor web de acceso público del resto de la red empresarial a través del dispositivo de seguridad. Esta es una buena práctica de seguridad porque si el Servidor Web es comprometido por un hacker, no habrá ningún acceso a la red segura interna protegida.

El firewall debe ser configurado para permitir el tráfico desde Internet hacia el Servidor Web en un puerto TCP específico (puerto 443 para HTTPs o puerto 80 para HTTP).

Todo el resto del tráfico será bloqueado por el firewall (es decir, ningún tráfico directo desde Internet hacia el Servidor Web).

Además, el cortafuegos permitirá también el tráfico saliente de la red de la empresa hacia Internet para proporcionar acceso a Internet a los hosts de la LAN interna.

Como se describe en el caso de uso anterior, el cortafuegos de la red es responsable de permitir o denegar los paquetes de red entre las redes (utilizando las reglas de acceso de las Capas 3 y 4 de OSI). Esta es la funcionalidad más básica del cortafuegos.

Las generaciones más recientes de cortafuegos (llamados «cortafuegos de nueva generación») también inspeccionan el tráfico en la capa de aplicación para identificar el tráfico malicioso y los ataques a nivel de aplicación (por ejemplo, virus, intentos de intrusión, ataques de inyección SQL, etc.).

Qué es un cortafuegos basado en el host

Como su nombre indica, un cortafuegos basado en el host es una aplicación de software que se instala en los ordenadores o servidores del host para protegerlos de los ataques.

Aunque la red representada arriba no se recomienda en escenarios reales, ilustra cómo se utiliza un cortafuegos basado en el host.

Nótese que la mejor opción sería combinar tanto un cortafuegos de red como cortafuegos de host para una mejor protección utilizando un enfoque por capas.

El cortafuegos basado en host se instala directamente como software en el host y controla el tráfico entrante y saliente hacia y desde el host específico.

Un ejemplo clásico de cortafuegos basado en el host es el cortafuegos de Windows que viene por defecto en todos los sistemas operativos de Windows.

Debido a que este tipo de protección está vinculada al propio host, significa que proporciona protección al host independientemente de la red a la que esté conectado.

Por ejemplo, si está conectado a la red de su empresa, ya está protegido por su cortafuegos de red. Ahora bien, si coge su portátil con un cortafuegos basado en el host y lo conecta a una red WiFi externa, el cortafuegos sigue proporcionando protección al ordenador.

Además, algunos cortafuegos basados en el host proporcionan también protección contra los ataques de las aplicaciones. Dado que este tipo de protección se instala en el propio host, tiene visibilidad sobre las aplicaciones y los procesos que se ejecutan en el host, por lo que el cortafuegos puede proteger contra el malware que intenta infectar el sistema.

Un punto débil de este tipo de cortafuegos es que puede ser desactivado por un atacante que logre obtener acceso de nivel de administrador al host.

Si el host se ve comprometido por un hacker con privilegios de administrador, el cortafuegos basado en el host puede ser desactivado, algo que es imposible de hacer en los cortafuegos basados en la red.

Comparación entre los cortafuegos basados en red y los basados en host

Características	Cortafuegos de red	Cortafuegos de host
Colocación	Dentro de la red (ya sea en la frontera/perímetro o dentro de la LAN)	En cada host
Hardware/Software	Dispositivo de hardware	Aplicación de software
Rendimiento	Alto rendimiento (ancho de banda, conexiones concurrentes, etc.)	Rendimiento más bajo (ya que está basado en software)
Nivel de protección	Protección de red más protección a nivel de aplicación (si se utiliza el Firewall de Próxima Generación)	Protección de red más protección de aplicación (en algunos modelos)
Usocasos	Mayormente en redes empresariales	Tanto en ordenadores personales en redes domésticas como en redes empresariales como protección adicional en hosts.
Segmentación de la red	Gran segmentación y control a nivel de VLAN / Capa 3 pero no puede restringir el tráfico entre hosts de la misma VLAN	Gran microsegmentación a nivel de host aunque los hosts pertenezcan a la misma VLAN.
Movilidad	Una vez implementado el firewall dentro de la red, es muy difícil de eliminar o cambiar.	Alta movilidad ya que está ligado a cada host.
Gestión	Se puede gestionar desde un servidor central de gestión de cortafuegos o directamente en el propio appliance	Difícil de gestionar cuando existen cientos de hosts en la red.
Fácil de eludir	Los cortafuegos de red no pueden ser eludidos por los atacantes.	Más fácil de eludir. Si el atacante compromete el host a través de un exploit, el firewall puede ser desactivado por el hacker.