Tema 5

5. Tipos de firewalls: packet filtering, stateful, proxy, NGFW y WAF

No todos los firewalls observan lo mismo ni toman decisiones con el mismo nivel de contexto. Algunos filtran por IP y puerto; otros entienden sesiones, usuarios, aplicaciones o ataques específicos contra servicios web.

Objetivo Distinguir los principales tipos de firewalls
Enfoque Capacidades, usos y limitaciones
Resultado Elegir el control adecuado según el escenario

5.1 Introducción

En los temas anteriores vimos que un firewall controla comunicaciones y que para hacerlo necesita información como origen, destino, protocolo, puerto y estado de conexión. Ahora vamos a diferenciar los tipos de firewalls más comunes.

La palabra firewall se usa para tecnologías con capacidades muy distintas. Un filtro simple de paquetes no ofrece el mismo nivel de análisis que un firewall de próxima generación, y un WAF no reemplaza a un firewall de red.

Comprender estas diferencias evita dos errores frecuentes: esperar demasiado de un control limitado o comprar una herramienta avanzada sin saber qué problema debe resolver.

5.2 Qué hace un firewall

Un firewall aplica una política de control sobre comunicaciones. Esa política define qué tráfico se permite, se bloquea, se registra o se inspecciona. Según el tipo de firewall, la decisión puede basarse en datos muy simples o en contexto avanzado.

Un firewall puede trabajar en diferentes lugares:

  • Entre internet y la red interna.
  • Entre una DMZ y una red de servidores.
  • Entre segmentos internos.
  • Dentro de un sistema operativo.
  • En una nube pública como firewall virtual o grupo de seguridad.
  • Delante de una aplicación web como WAF.
Un firewall no es una solución única. Es una familia de controles que deben elegirse según el punto de protección y el tipo de tráfico.

5.3 Comparación general

La siguiente tabla resume los tipos que estudiaremos en este tema.

Tipo Qué analiza principalmente Uso típico
Packet filtering IP, puerto, protocolo y dirección. Filtrado básico, ACL, reglas simples.
Stateful Estado de conexiones además de IP y puerto. Firewalls perimetrales e internos tradicionales.
Proxy Intermediación entre cliente y servidor. Control de navegación, inspección y separación de sesiones.
NGFW Aplicaciones, usuarios, reputación, firmas y contexto. Control avanzado de red y amenazas.
WAF Tráfico HTTP/HTTPS hacia aplicaciones web. Protección específica de aplicaciones web.

5.4 Firewall de filtrado de paquetes

Un firewall de packet filtering, o filtrado de paquetes, toma decisiones observando datos básicos del paquete: dirección IP de origen, dirección IP de destino, protocolo, puerto de origen, puerto de destino e interfaz.

Es el enfoque más simple. Puede ser muy útil para reglas claras, pero tiene poco contexto. No entiende necesariamente si una conexión forma parte de una sesión válida ni si el contenido del tráfico es malicioso.

Ejemplo de decisión:

  • Permitir desde 10.10.20.0/24 hacia 172.16.5.10 por TCP 443.
  • Bloquear desde internet hacia cualquier servidor interno por TCP 3389.
  • Permitir DNS desde la red interna hacia resolutores autorizados.

5.5 Ventajas y limitaciones del filtrado de paquetes

Ventajas Limitaciones
Es rápido y simple de entender. Tiene poco contexto sobre la sesión.
Sirve para reglas de segmentación básicas. No identifica aplicaciones complejas por sí solo.
Puede implementarse en routers, switches, sistemas y nube. No detecta ataques dentro del tráfico permitido.
Es útil como primera barrera de control. Puede volverse difícil de administrar si hay muchas reglas.

5.6 Firewall stateful

Un firewall stateful mantiene información sobre el estado de las conexiones. No solo mira paquetes aislados; también evalúa si pertenecen a una sesión iniciada correctamente.

Esto es especialmente útil en TCP, donde existe un proceso de apertura, intercambio y cierre de conexión. Un firewall stateful puede permitir respuestas asociadas a conexiones legítimas sin abrir reglas amplias en sentido contrario.

Ejemplo: si un usuario interno inicia una conexión HTTPS hacia internet, el firewall permite la respuesta del servidor porque reconoce que pertenece a una conexión iniciada desde adentro.

Stateful no significa inteligente ante todo tipo de ataque. Significa que el firewall entiende y registra el estado de las conexiones.

5.7 Tabla de estados y seguimiento

El firewall stateful mantiene una tabla de conexiones. Allí registra datos como origen, destino, puertos, protocolo, estado y tiempo de expiración.

Esta tabla permite distinguir tráfico esperado de tráfico que no pertenece a una sesión válida. También ayuda a controlar conexiones incompletas, intentos de escaneo o comportamientos anómalos.

Dato de sesión Ejemplo Uso defensivo
Origen 10.20.30.15:53100 Identifica quién inició la conexión.
Destino 198.51.100.20:443 Identifica el servicio consultado.
Protocolo TCP Define cómo se interpreta el estado.
Estado Establecida Permite diferenciar tráfico válido de tráfico inesperado.
Tiempo Expira en 300 segundos Evita mantener sesiones obsoletas indefinidamente.

5.8 Firewall proxy

Un firewall proxy actúa como intermediario entre cliente y servidor. El cliente no se comunica directamente con el destino final; se comunica con el proxy, y el proxy realiza la comunicación hacia afuera según la política configurada.

Esto permite inspeccionar, registrar y controlar con mayor detalle ciertos protocolos. Un proxy web, por ejemplo, puede aplicar políticas de navegación, autenticación de usuarios, filtrado de categorías, control de descargas y registro de URLs.

Ventajas del proxy:

  • Separa la conexión del cliente de la conexión hacia el destino.
  • Puede aplicar políticas por usuario o grupo.
  • Mejora el registro de actividad de aplicaciones específicas.
  • Permite inspeccionar protocolos de forma más controlada.

5.9 Limitaciones del proxy

Un proxy puede aportar mucho control, pero no siempre es la herramienta adecuada para todo el tráfico. Suele requerir configuración en clientes, compatibilidad con aplicaciones y capacidad suficiente para procesar conexiones.

Limitaciones habituales:

  • Puede introducir latencia si está mal dimensionado.
  • No todos los protocolos funcionan bien a través de proxy.
  • Requiere políticas claras para evitar excepciones desordenadas.
  • La inspección de tráfico cifrado necesita gestión cuidadosa de certificados y privacidad.
  • No reemplaza segmentación ni hardening de servidores.

5.10 NGFW: firewall de próxima generación

Un NGFW significa Next-Generation Firewall, o firewall de próxima generación. Combina funciones de firewall tradicional con capacidades avanzadas de identificación, inspección y prevención.

Un NGFW puede incluir:

  • Control por aplicación, no solo por puerto.
  • Identificación de usuarios o grupos.
  • Inspección profunda de paquetes.
  • Integración con IDS/IPS.
  • Filtrado por reputación de IP, dominio o URL.
  • Control de malware o archivos sospechosos.
  • Inspección TLS cuando está justificada y correctamente gestionada.
Un NGFW aporta más contexto, pero sigue necesitando buenas políticas, revisión de reglas y operación continua.

5.11 Control por aplicación

En un firewall tradicional, permitir TCP 443 puede significar permitir muchas cosas: navegación web, servicios de almacenamiento, túneles, aplicaciones empresariales, mensajería o tráfico no deseado. El puerto ya no alcanza para entender qué aplicación se está usando.

Un NGFW intenta identificar la aplicación real mediante firmas, comportamiento, metadatos y análisis de protocolo. Esto permite crear reglas más expresivas.

Ejemplos:

  • Permitir navegación HTTPS general, pero bloquear herramientas de anonimización.
  • Permitir una aplicación SaaS corporativa y bloquear servicios no autorizados.
  • Permitir mensajería empresarial, pero restringir transferencia de archivos.
  • Aplicar políticas distintas por usuario, grupo o zona.

5.12 WAF: firewall de aplicaciones web

Un WAF significa Web Application Firewall, o firewall de aplicaciones web. Está diseñado para proteger aplicaciones web analizando tráfico HTTP y HTTPS.

Un WAF no reemplaza al firewall de red. Trabaja en una capa más específica: entiende peticiones web, métodos HTTP, cabeceras, parámetros, cookies, rutas, códigos de respuesta y patrones de ataques comunes.

Puede ayudar contra riesgos como:

  • Inyección SQL.
  • Cross-Site Scripting, también conocido como XSS.
  • Intentos de explotación de rutas o parámetros.
  • Abuso de formularios.
  • Acceso a archivos sensibles.
  • Patrones automatizados contra endpoints web.

5.13 Diferencia entre firewall de red y WAF

El firewall de red controla comunicaciones entre redes. El WAF controla peticiones hacia aplicaciones web. Ambos pueden coexistir y proteger capas distintas.

Aspecto Firewall de red WAF
Foco IP, puertos, protocolos, zonas y sesiones. Peticiones HTTP/HTTPS y comportamiento web.
Pregunta típica ¿Este origen puede llegar a este destino por este puerto? ¿Esta petición web parece legítima o peligrosa?
Protege Redes, segmentos, servidores y perímetros. Aplicaciones web y APIs HTTP.
No reemplaza Validaciones de seguridad de la aplicación. Segmentación, hardening ni firewall de red.

5.14 Firewalls de host

Además de los firewalls de red, existen firewalls instalados o integrados en los sistemas operativos. Se los suele llamar firewalls de host.

Un firewall de host controla conexiones entrantes y salientes del propio equipo. Es útil porque aplica protección incluso si el equipo se mueve de red, si está fuera de la oficina o si un atacante ya se encuentra dentro de la red interna.

Usos frecuentes:

  • Bloquear conexiones entrantes no necesarias en estaciones de trabajo.
  • Permitir administración remota solo desde redes autorizadas.
  • Limitar servicios de servidores por origen.
  • Reducir movimiento lateral entre equipos internos.
  • Complementar la segmentación de red.

5.15 Firewalls en la nube

En nube pública, los controles de firewall pueden aparecer como grupos de seguridad, listas de control de red, firewalls administrados, WAF gestionados o políticas de red en contenedores.

Aunque tengan nombres distintos, el objetivo defensivo es el mismo: controlar qué puede comunicarse con qué, por qué protocolo y bajo qué condiciones.

Buenas prácticas en nube:

  • Evitar reglas abiertas a todo internet salvo que sean realmente necesarias.
  • Separar subredes públicas y privadas.
  • Restringir administración a bastiones, VPN o identidades autorizadas.
  • Registrar cambios de reglas y eventos de red.
  • Revisar periódicamente reglas obsoletas.
  • Usar WAF para aplicaciones web expuestas.

5.16 Cómo elegir el tipo adecuado

No se elige un firewall por nombre, sino por necesidad. Primero se define qué se quiere proteger y qué tipo de tráfico se necesita controlar.

Necesidad Tipo de control recomendado
Separar redes internas por IP y puerto Firewall stateful o ACL bien diseñadas.
Controlar navegación de usuarios Proxy o NGFW con control web.
Proteger una aplicación web pública Firewall de red más WAF.
Identificar aplicaciones dentro de HTTPS NGFW con inspección y políticas por aplicación.
Reducir movimiento lateral en endpoints Firewall de host y segmentación interna.
Controlar recursos en nube Grupos de seguridad, firewall cloud y WAF gestionado.

5.17 Integración con IDS/IPS

Muchos firewalls modernos integran funciones de IDS/IPS. Esto permite no solo decidir si una comunicación está permitida por política, sino también inspeccionarla en busca de amenazas conocidas o comportamientos sospechosos.

Ejemplo: una regla puede permitir tráfico HTTPS hacia una aplicación web, pero el módulo IPS puede bloquear una petición que coincide con una firma de explotación conocida.

Esta integración es valiosa, pero debe ajustarse cuidadosamente para evitar falsos positivos, impactos de rendimiento o bloqueos de tráfico legítimo.

5.18 Errores frecuentes

  • Creer que WAF reemplaza al firewall de red: protegen capas distintas.
  • Usar reglas por puerto sin validar la aplicación: muchas aplicaciones usan puertos comunes como 443.
  • Comprar NGFW sin operar sus funciones: si las capacidades avanzadas no se configuran ni monitorean, aportan poco valor.
  • No revisar reglas antiguas: las excepciones acumuladas debilitan cualquier tipo de firewall.
  • Exponer administración: ningún firewall compensa una consola administrativa abierta sin controles.
  • Ignorar firewalls de host: son una capa útil para reducir movimiento lateral.

5.19 Lista de verificación inicial

  • Identificar qué tipo de firewall protege cada zona.
  • Confirmar si las reglas se basan solo en puerto o también en aplicación y usuario.
  • Revisar si los servicios web públicos cuentan con WAF cuando corresponde.
  • Verificar que el firewall registre tráfico permitido, bloqueado y eventos relevantes.
  • Evaluar si las funciones IDS/IPS están activadas y ajustadas.
  • Controlar que las consolas administrativas no estén expuestas sin protección.
  • Revisar firewalls de host en servidores y estaciones críticas.
  • Documentar qué problema resuelve cada control.

5.20 Ideas clave para recordar

  • Packet filtering toma decisiones con información básica de paquetes.
  • Stateful agrega seguimiento de estado de conexiones.
  • Un proxy intermedia la comunicación y puede aplicar políticas más específicas.
  • Un NGFW agrega contexto de aplicación, usuario, reputación e inspección avanzada.
  • Un WAF protege aplicaciones web, pero no reemplaza al firewall de red.
  • Los firewalls de host y de nube complementan la defensa por capas.

5.21 Conclusión

Existen distintos tipos de firewalls porque existen distintos problemas defensivos. Algunos controles son adecuados para separar redes, otros para administrar sesiones, otros para controlar navegación, otros para inspeccionar aplicaciones y otros para proteger servicios web.

En el próximo tema estudiaremos cómo diseñar políticas de firewall: objetivos, alcance, riesgo y criterios de aceptación. Allí veremos cómo convertir necesidades defensivas en reglas claras y mantenibles.

Volver al índice