El propósito de un firewall es administrar los tipos de tráfico que pueden entrar y salir de una red protegida. El firewall se ubica en el límite de la red e inspecciona todo el tráfico que intenta cruzar ese límite, tanto entrante como saliente. Según su conjunto de reglas definido, el firewall permitirá o bloqueará el tráfico que cruce ese límite.
firewall vienen en una variedad de formas y se pueden clasificar de diferentes maneras. Si bien es importante conocer la diferencia entre un firewall para pequeñas empresas y un firewall empresarial , existen distinciones aún más fundamentales, como si un firewall tiene estado o no.
Un firewall con estado es un firewall que mantiene un "estado" o almacena información sobre las conexiones de red activas. Cuando se abre una conexión, el firewall comienza a rastrearla y actualiza su estado interno a medida que el firewall inspecciona y procesa nuevos paquetes.
La capacidad de mantener el estado permite al firewall identificar paquetes aparentemente legítimos que están fuera de secuencia y no son válidos. Por ejemplo, la mayoría de las organizaciones permiten el tráfico DNS entrante porque los equipos dentro de la organización necesitan realizar solicitudes DNS para determinar la dirección IP asociada con varios sitios web. Un firewall con estado que inspecciona el encabezado de un paquete de respuesta DNS entrante verá que tiene un número de puerto 53, que es un número de puerto permitido para el tráfico entrante según sus reglas definidas.
Sin embargo, un paquete de respuesta DNS solo es válido si viene en respuesta a una consulta correspondiente. Un firewall con estado tendrá un registro de las consultas de DNS realizadas por el sistema de destino que no tienen respuesta. Si un firewall con estado ve una respuesta DNS sin una solicitud correspondiente, sabe que debe bloquear esa respuesta maliciosa.
Un firewall sin estado se diferencia de uno con estado en que no mantiene un estado interno de un paquete a otro. En su lugar, cada paquete se evalúa en función de los datos que contiene en su encabezado.
Esto permite que el firewall realice un filtrado básico de conexiones entrantes y salientes. La inspección de la dirección IP de un paquete puede determinar si está permitido por la política o no. Del mismo modo, un firewall sin estado bloquea paquetes que utilizan protocolos de red a los que no se les permite entrar ni salir de la red protegida.
firewall con estado y sin estado se diferencian en gran medida en que un tipo rastrea el estado entre paquetes mientras que el otro no. De lo contrario, ambos tipos de firewall funcionan de la misma manera, inspeccionando los encabezados de los paquetes y utilizando la información que contienen para determinar si el tráfico es válido o no según reglas predefinidas. El estado mantenido por firewall con estado le permite identificar diversas amenazas que firewall sin estado no puede.
Algunos tipos de ataques utilizan y abusan de paquetes legítimos para lograr sus objetivos, incluyendo los siguientes:
En ambos casos, cada paquete individual es legítimo, lo que significa que un firewall sin estado le permitirá pasar. Identificar el ataque requiere contexto, que sólo tendría un firewall con estado.
Un firewall con estado puede hacer todo lo que puede hacer uno sin estado, pero lo contrario no es cierto. Ciertos ataques solo pueden detectarse con el contexto que proporciona el seguimiento de estado, por lo que las empresas siempre deben seleccionar un firewall con estado en lugar de uno sin estado.
Sin embargo, al seleccionar un firewall, también es importante considerar otros factores. Por ejemplo, tanto firewall con estado como los sin estado normalmente inspeccionan sólo los encabezados de los paquetes al tomar decisiones. Como resultado, pueden estar ciegos a los ataques en los que se transporta contenido malicioso en la carga útil del paquete. En el panorama moderno de amenazas cibernéticas, la mayoría de los ataques cibernéticos caen en esta categoría.
Como resultado, un Firewall de última generación (NGFW), que tiene la capacidad de inspeccionar el contenido de los paquetes e integra otras funciones de seguridad como un sistema de prevención de intrusiones (IPS), es la opción correcta para las organizaciones que buscan protegerse contra la ciberseguridad moderna. amenazas.
firewall vienen en diferentes tipos, y elegir el adecuado para su organización es esencial para una ciberseguridad efectiva. Si bien un NGFW es esencial para protegerse contra las amenazas modernas, es importante saber qué buscar y cómo evaluar sus opciones. Obtenga más información en esta guía para el comprador de NGFW.
La gama de NGFW de Check Point incluye una solución para cada organización. Para obtener más información sobre cómo un NGFW de Check Point puede mejorar la ciberseguridad de su organización y obtener ayuda para elegir el más adecuado para sus casos de uso, regístrese para una demostración gratuita hoy.