Cortafuegos de próxima generación

¿Qué es un cortafuegos de próxima generación (NGFW)?

Los NGFW presentan unas funciones más sofisticadas que un cortafuegos de red tradicional o heredado. Estas son algunas de las funciones comunes de los NGFW:

• Inspección profunda de paquetes: los cortafuegos de red examinan los datos dentro de las cuatro capas de comunicación TCP/IP (de mayor a menor): aplicación, transporte, IP/red y enlace de hardware/datos. Los NGFW pueden inspeccionar el tráfico en capas de comunicación TCIP/IP de orden superior, incluida la capa de aplicación. Esto proporciona a los NGFW conocimiento de las aplicaciones, por ejemplo, del contexto sobre el origen y el destino del tráfico de la aplicación o referencias del comportamiento esperado de los usuarios y aplicaciones con las que comparar los patrones de tránsito.
• Detección y prevención de intrusiones: la inspección del tráfico en capas TCIP/IP de orden superior mejora la capacidad de los NGFW de detectar y prevenir ciberataques. Los NGFW pueden supervisar actividades potencialmente maliciosas basándose en anomalías o firmas de comportamiento específicas y luego bloquear el tráfico sospechoso de la red. Estas capacidades se denominan servicios de detección de intrusiones (IDS) y servicios de prevención de intrusos (IPS).
• Protección de denegación de servicios distribuida: los ataques de denegación de servicio (DoS) son intentos maliciosos de cerrar un servicio inundándolo intencionalmente con solicitudes fraudulentas, a fin de que no pueda responder a las solicitudes legítimas de los usuarios. Los ataques de denegación de servicio distribuido (DDoS) utilizan múltiples ordenadores para generar una avalancha de solicitudes fraudulentas. Los NGFW son más capaces de detectar y prevenir este tipo de ataques que los cortafuegos tradicionales, ya que los NGFW son cortafuegos con estado. El estado permite que el cortafuegos compruebe más características de las solicitudes de conexión en comparación con las de las conexiones establecidas, lo que ayuda en la detección de solicitudes fraudulentas, incluso cuando tienen orígenes distintos o provienen de diferentes ordenadores.

Los NGFW ofrecen varios beneficios, entre ellos:

• Protección mejorada contra las amenazas cibernéticas: los NGFW pueden inspeccionar y analizar el tráfico de manera más exhaustiva que los cortafuegos tradicionales, lo que les ayuda a detectar y prevenir una mayor variedad de ciberataques que los cortafuegos tradicionales. Por ejemplo, los NGFW pueden detectar el tráfico que se dirige de forma malintencionada hacia la red y evitar la intrusión poniéndolo en cuarentena o bloqueándolo.
• Compatibilidad con los mandatos de cumplimiento normativo: los NGFW evitan que los usuarios no autorizados accedan a los recursos confidenciales de una red, lo que supone un requisito importante para las normas de privacidad y protección de datos, como la Ley de portabilidad y responsabilidad de seguros médicos de EE. UU. y el Reglamento General de Protección de Datos de la UE.
• Arquitectura de red optimizada: los NGFW ofrecen una protección avanzada frente amenazas, así como capacidades de cortafuegos básicas. La combinación de las capacidades de múltiples dispositivos dentro de una sola plataforma ayuda a reducir la complejidad de la infraestructura de red.

Los NGFW protegen a las empresas de infracciones y amenazas cibernéticas, por lo que es importante confirmar que el NGFW puede cumplir las funciones anunciadas. Los mejores NGFW están rigurosamente probados y certificados por evaluadores de garantía de productos tecnológicos independientes y de confianza, como ICSA Labs. Comprueba que el laboratorio de pruebas aplica criterios de prueba objetivos para evaluar el rendimiento del producto.

Cuando estés estudiando posibles soluciones, ten en cuenta que es posible que el mejor NGFW forme parte de una solución más amplia. Por ejemplo, la plataforma HPE Aruba Networking EdgeConnect SD-WAN combina capacidades avanzadas de SD-WAN con segmentación del tráfico basada en identidad y roles, reforzada con un cortafuegos integrado de última generación (que incluye IDS/IPS y otras funciones de seguridad). HPE Aruba Networking también fue el primer proveedor de SD-WAN en obtener la certificación de SD-WAN segura de ICSA Labs, con lo que se valida la eficacia de su cortafuegos de última generación y de sus prestaciones avanzadas de seguridad integrada.