What Is a DMZ Firewall?

Un firewall de zona desmilitarizada (DMZ) separa la DMZ o la subred filtrada de una organización del resto de la red corporativa. Esto ayuda a evitar que las intrusiones se muevan de la DMZ al resto de la red corporativa.

Get a Personal Firewall Demo Punto de referencia de seguridad NGFW de Miercom 2024

Usos comunes de DMZ

Una DMZ es una sección de la red corporativa que está separada del resto de los sistemas de la organización. Se usa para alojar servidores que interactúan con usuarios externos (incluidos los de la Internet pública y las organizaciones de terceros que no son de confianza) y podría ser explotado por un atacante.

Algunos servidores que probablemente residan en la DMZ incluyen:

  • Servidores sitio web
  • Servidores de email
  • Servidores DNS
  • Servidores FTP
  • Servidores proxy

Estos servidores proporcionan servicios a usuarios externos y corren el riesgo de ser explotados por un usuario malicioso. Separarlos del resto de la red corporativa hace que sea más difícil para un atacante pasar de un servidor público a otros recursos corporativos más valiosos.

Enfoques para la implementación de la DMZ

Las DMZ alojan servidores que podrían representar una amenaza para el resto de la red privada debido a su mayor potencial de explotación por parte de un atacante. Una organización debe identificar los servidores que proporcionan servicios públicos y colocarlos dentro de la DMZ.

La DMZ está separada del resto de la red externa por un firewall. Esto podría implementar de una de dos maneras:

  • Firewall único: Se puede emplear un solo firewall con al menos tres interfaces de red para crear una DMZ. Una interfaz se conecta a la red pública, la segunda a la DMZ y la tercera a la red corporativa interna. Separar la DMZ en una interfaz separada ayuda a aislarla y permite a la compañía limitar su contacto con la red interna en función de las reglas de firewall y los controles de acceso.
  • Firewall dobles: También se puede construir una DMZ empleando dos firewall distintos. El primer firewall separa la DMZ de la Internet pública, mientras que el segundo divide la DMZ de la red interna. Este diseño es más seguro ya que implementa la defensa en profundidad, obligando al atacante a saltar dos firewall para llegar al rojo corporativo interno.

Importancia de la DMZ

La DMZ es un componente importante de una red corporativa porque separa los sistemas de alto riesgo de los de alto valor. Un servidor sitio web es un sistema de alto riesgo para la organización porque las aplicaciones sitio web suelen contener vulnerabilidades explotables que podrían dar al atacante acceso al servidor que las aloja.

Aislar estos sistemas del resto de la red corporativa tiene sentido para proteger otros sistemas corporativos de estos intrusos.

A medida que las organizaciones implementan el acceso rojo de confianza cero (ZTNA), las DMZ pueden volver menos vitales, ya que cada aplicación y sistema está aislado de todos los demás por firewall y controles de acceso. Una arquitectura de confianza cero coloca efectivamente cada parte de la red corporativa en su propia DMZ, mejorando la capa de seguridad de la red en su conjunto.

Prácticas recomendadas para DMZ

Para cerciorar de que la red perimetral funciona correctamente y protege a la organización frente a posibles amenazas, implemente las siguientes prácticas recomendadas:

  1. Protección de doble firewall: Las DMZ se pueden diseñar con un solo firewall firewall o doble. El uso de dos firewalls reduce el riesgo al obligar al atacante a derrotar varios firewalls para obtener acceso a sistemas de alto valor dentro de la LAN corporativa.
  2. Implementar Granular Controles de acceso: Las organizaciones deben implementar controles de acceso para el tráfico externo que entra y sale de la red corporativa y fluye entre ella y la LAN corporativa interna. Idealmente, estos serán controles de acceso con privilegios mínimos implementados como parte de una estrategia de seguridad confiable cero.
  3. Aplique las actualizaciones con prontitud: El firewall DMZ es esencial para proteger el rojo corporativo interno de posibles intrusiones de la DMZ. Las organizaciones deben comprobar y aplicar periódicamente actualizaciones de firewall para cerciorar de que cualquier intervalo de seguridad se cierra antes de que un atacante pueda aprovecharlo.
  4. Realizar Regular Evaluaciones de vulnerabilidad: Además de la administración de parches, los equipos de seguridad también deben realizar análisis y evaluaciones de vulnerabilidades regulares para identificar cualquier problema de seguridad con su DMZ. Además de los sistemas sin parches, estos podrían incluir errores de configuración, intrusiones pasadas por alto y cualquier otra cosa que pueda poner en riesgo a la organización.

Aumente la seguridad con el firewall con tecnología de IA de Check Point

Una DMZ es una parte importante de la arquitectura de seguridad de una organización que protege el resto de la red corporativa contra posibles riesgos de los servidores sitio web y otros servicios públicos. Sin embargo, la DMZ solo es efectiva si está protegida por un firewall capaz de bloquear a los atacantes para que no se muevan a la red interna.

Esto requiere un Firewall de última generación (NGFW), idealmente versiones que aprovechen la potencia de los motores de IA/ML para bloquear las amenazas de día cero.  Obtenga más información sobre lo que debe buscar en un firewall empresarial moderno con esta guía del comprador.

Los NGFW de Check Point están disponibles como soluciones independientes o como parte de Harmony SASE. Para obtener más información, no dude en registrar para una demostración gratis de Check Point Quantum Force NGFW.

Comenzar

Firewall de última generación

Check Point Infinity

Quantum Force

Soluciones de seguridad en redes

Temas relacionados

DMZ rojo

AI Security

¿Qué es un firewall?

¿Qué es SASE?

x
  Comentarios
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
Aceptar