{"id":4180,"date":"2026-05-14T12:58:48","date_gmt":"2026-05-14T12:58:48","guid":{"rendered":"https:\/\/enecworld.com\/?p=4180"},"modified":"2026-05-14T14:46:22","modified_gmt":"2026-05-14T14:46:22","slug":"que-es-un-firewall-como-funciona","status":"publish","type":"post","link":"https:\/\/enecworld.com\/en\/que-es-un-firewall-como-funciona\/","title":{"rendered":"\u00bfQu\u00e9 es un firewall? \u00bfC\u00f3mo funciona?"},"content":{"rendered":"

Un firewall <\/strong>es un sistema (hardware<\/strong>, software <\/strong>o ambos) que inspecciona el tr\u00e1fico de red entrante y saliente y decide qu\u00e9 pasa y qu\u00e9 no, conforme a un conjunto de reglas definidas en una pol\u00edtica de seguridad. Su funci\u00f3n es separar una red de confianza de otra que no lo es, normalmente internet.<\/p>\n\n\n\n

Sin firewall, cada endpoint <\/strong>expuesto a internet es un vector de ataque potencial. Los atacantes escanean rangos de IPs de forma contin\u00faa buscando puertos abiertos, servicios sin parchear o configuraciones incorrectas. No es paranoia: es el comportamiento normal de la red.<\/p>\n\n\n\n

 \u00bfC\u00f3mo funciona un firewall?<\/h2>\n\n\n\n

Cada paquete de datos<\/strong> que circula por la red lleva metadatos: IP de origen<\/strong>, IP de destino<\/strong>, puerto<\/strong>, protocolo (TCP<\/strong>, UDP<\/strong>, ICMP<\/strong>) y flags<\/strong>. El firewall compara esos datos contra sus reglas. Si el paquete cumple una regla de permiso, pasa. Si coincide con una regla de denegaci\u00f3n (o no encaja con ninguna), se descarta.<\/p>\n\n\n\n

\"\u00bfQu\u00e9
Imagen de Per\u00fa Data. Firewall<\/figcaption><\/figure>\n\n\n\n

Filtrado de paquetes. <\/h4>\n\n\n\n

Los tres mecanismos primcipales de inspecci\u00f3n son: <\/h3>\n\n\n\n

Opera en las capas 3 y 4 del modelo OSI.<\/strong> Revisa cabeceras IP <\/strong>y TCP\/UDP<\/strong> sin analizar el contenido del paquete. Es r\u00e1pido, pero no tiene contexto: no sabe si ese paquete forma parte de una sesi\u00f3n leg\u00edtima o es tr\u00e1fico inyectado externamente.<\/p>\n\n\n\n

Stateful Inspection<\/h4>\n\n\n\n

Mantiene una tabla de estado con las conexiones activas. No eval\u00faa solo el paquete individual, sino su relaci\u00f3n con la sesi\u00f3n. Sabe si el tr\u00e1fico entrante es la respuesta a una solicitud previa o si alguien est\u00e1 intentando colarse en una conexi\u00f3n que no ha iniciado.<\/p>\n\n\n\n

Deep Packet Inspection (DPI)<\/h4>\n\n\n\n

Analiza el payload<\/strong> completo, hasta la capa de aplicaci\u00f3n (capa 7). Detecta amenazas dentro de tr\u00e1fico que aparentemente es leg\u00edtimo: malware embebido en HTTP<\/strong>, exfiltraci\u00f3n de datos v\u00eda DNS<\/strong>, tunelizaci\u00f3n de protocolos no autorizados. Es el nivel de inspecci\u00f3n m\u00e1s costoso computacionalmente, pero tambi\u00e9n el m\u00e1s preciso.<\/p>\n\n\n\n

Tipos de firewall:<\/h2>\n\n\n\n

Filtrado de paquetes<\/h4>\n\n\n\n

El m\u00e1s b\u00e1sico. Compara cada paquete contra ACLs<\/strong> (Access Control Lists) basadas en IP, puerto y protocolo. No mantiene estado, lo que lo deja expuesto a ataques como IP spoofing<\/strong> o fragmentaci\u00f3n maliciosa de paquetes. Tiene sentido en contextos muy controlados o como primera capa dentro de una arquitectura m\u00e1s completa, no como soluci\u00f3n \u00fanica.<\/p>\n\n\n\n

Stateful Inspection<\/h4>\n\n\n\n

Introduce el seguimiento de conexi\u00f3n (connection tracking). Guarda en memoria el estado de cada sesi\u00f3n TCP\/UDP<\/strong> activa y distingue tr\u00e1fico de retorno leg\u00edtimo de tr\u00e1fico inyectado. Es el m\u00ednimo razonable para cualquier entorno corporativo.<\/p>\n\n\n\n

Firewall de aplicaci\u00f3n (Proxy Firewall)<\/h4>\n\n\n\n

Opera en capa 7. Act\u00faa como proxy<\/strong>: termina la conexi\u00f3n del cliente, inspecciona la solicitud en profundidad y, si es v\u00e1lida, abre una nueva conexi\u00f3n hacia el servidor. Puede bloquear payloads maliciosos aunque vayan encapsulados en protocolos permitidos como HTTP<\/strong> o SMTP<\/strong>. La penalizaci\u00f3n en latencia es el trade-off<\/strong> habitual con este enfoque.<\/p>\n\n\n\n

Next-Generation Firewall (NGFW)<\/h4>\n\n\n\n

Los NGFW <\/strong>integran en un \u00fanico appliance lo que antes eran dispositivos separados: stateful inspection, DPI, IDS\/IPS,<\/strong> control de aplicaciones, filtrado de URL, sandboxing <\/strong>y feeds de threat intelligence en tiempo real. Fabricantes como Palo Alto Networks, Fortinet, Check Point o Cisco Firepower<\/strong> son los referentes en este segmento.<\/p>\n\n\n\n

Lo que los diferencia de un firewall <\/strong>convencional no es solo la lista de funcionalidades: es la capacidad de identificar aplicaciones con independencia del puerto. Un P2P <\/strong>que use el puerto 443 no enga\u00f1a a un NGFW<\/strong>. Puedes permitir acceso a una herramienta SaaS<\/strong> y bloquear la transferencia de archivos dentro de esa misma herramienta.<\/p>\n\n\n\n

Web Application Firewall (WAF)<\/h4>\n\n\n\n

Protege aplicaciones web de ataques de capa 7: SQL injection<\/strong>, XSS<\/strong> (cross-site scripting), CSRF<\/strong>, inclusi\u00f3n de archivos remotos (RFI<\/strong>), ataques de fuerza bruta contra endpoints <\/strong>de autenticaci\u00f3n, y las vulnerabilidades del OWASP <\/strong>Top 10 en general. Un WAF <\/strong>no reemplaza al firewall de red; opera como capa adicional delante del servidor o la API<\/strong>.<\/p>\n\n\n\n

Unified Threat Management (UTM)<\/h4>\n\n\n\n

Firewall<\/strong>, antivirus<\/strong>, antispam<\/strong>, VPN<\/strong>, filtrado web y control de aplicaciones en un \u00fanico dispositivo. Muy habitual en entornos PYME por su operaci\u00f3n simplificada. El coste es que concentrar todo en un solo punto puede crear un cuello de botella tanto en rendimiento como en superficie de fallo.<\/p>\n\n\n\n

Arquitecturas de red<\/h2>\n\n\n\n

DMZ (zona desmilitarizada)<\/h4>\n\n\n\n

La DMZ <\/strong>es un segmento intermedio entre internet y la red interna. Los servidores que necesitan ser accesibles desde fuera \u2014web, correo, DNS<\/strong>\u2014 van en la DMZ<\/strong>. Si un atacante compromete uno de esos servidores, no llega directamente a la LAN <\/strong>porque hay un segundo firewall, o reglas estrictas, separando ambas zonas.<\/p>\n\n\n\n

La arquitectura m\u00e1s habitual usa dos firewalls<\/strong>: uno entre internet y la DMZ<\/strong>, otro entre la DMZ <\/strong>y la LAN<\/strong>. Algunas implementaciones usan un \u00fanico firewall con tres interfaces. La primera opci\u00f3n es m\u00e1s robusta, aunque m\u00e1s cara de mantener.<\/p>\n\n\n\n

Firewall en entornos cloud<\/h4>\n\n\n\n

En AWS<\/strong>, Azure <\/strong>o GCP<\/strong> el firewall perimetral tradicional convive con Security Groups<\/strong>, Network ACLs <\/strong>y firewalls virtuales de pr\u00f3xima generaci\u00f3n desplegados como appliances en la VPC <\/strong>o VNet<\/strong>. En arquitecturas multi-cloud<\/strong> o h\u00edbridas, mantener una pol\u00edtica de seguridad coherente entre entornos es uno de los retos operacionales m\u00e1s complicados en la pr\u00e1ctica.<\/p>\n\n\n\n

El modelo Zero Trust Architecture<\/strong> cambia el enfoque: no existe per\u00edmetro de confianza. Cada solicitud, independientemente de si viene de dentro o de fuera de la red, debe autenticarse y autorizarse. El firewall no desaparece en ZTA<\/strong>, pero su rol pasa de guardi\u00e1n perimetral a control de microsegmentaci\u00f3n entre workloads<\/strong>. Es un cambio de mentalidad m\u00e1s que de tecnolog\u00eda.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Reglas de firewall: lo que funciona en la pr\u00e1ctica<\/h2>\n\n\n\n

La calidad de la pol\u00edtica de seguridad determina la utilidad del firewall. Un appliance <\/strong>de \u00faltima generaci\u00f3n con reglas mal dise\u00f1adas da una falsa sensaci\u00f3n de protecci\u00f3n.<\/p>\n\n\n\n

M\u00ednimo privilegio.<\/h4>\n\n\n\n

Solo abrir los puertos y protocolos que sean estrictamente necesarios. Cada regla permisiva es superficie de ataque.<\/p>\n\n\n\n

Implicit deny.<\/h4>\n\n\n\n

La \u00faltima regla debe denegar todo el tr\u00e1fico no expl\u00edcitamente permitido. Si no est\u00e1 en la whitelist<\/strong>, no pasa.<\/p>\n\n\n\n

Segmentaci\u00f3n por zonas.<\/h4>\n\n\n\n

 Separar servidores, usuarios, dispositivos IoT <\/strong>e invitados en segmentos con niveles de confianza diferenciados, con control de tr\u00e1fico entre zonas. Una impresora de oficina no tiene por qu\u00e9 llegar a un servidor de base de datos.<\/p>\n\n\n\n

Logging.<\/h4>\n\n\n\n

Sin logs, un firewall es una caja negra. Registrar drops <\/strong>y eventos de alerta es indispensable para detectar incidentes. Lo que no se registra no se puede investigar.<\/p>\n\n\n\n

Revisi\u00f3n peri\u00f3dica de reglas.<\/h4>\n\n\n\n

Las reglas obsoletas acumulan riesgo. Una regla abierta para un proyecto que ya no existe es una vulnerabilidad permanente. Hay que auditarlas con periodicidad.<\/p>\n\n\n\n

Gesti\u00f3n de cambios.<\/h4>\n\n\n\n

Cualquier modificaci\u00f3n de la pol\u00edtica tiene que pasar por un proceso documentado. Los cambios ad-hoc<\/strong> sin documentar son una fuente frecuente de brechas que luego son muy dif\u00edciles de rastrear.<\/p>\n\n\n\n

IDS, IPS y firewall: qu\u00e9 hace cada uno.<\/h2>\n\n\n\n

Un IDS <\/strong>(Intrusion Detection System) analiza el tr\u00e1fico buscando patrones de ataque conocidos o comportamientos an\u00f3malos y genera alertas. No bloquea nada por s\u00ed mismo. Un IPS <\/strong>(Intrusion Prevention System) a\u00f1ade la capacidad de bloqueo inline.<\/p>\n\n\n\n

Los NGFW <\/strong>modernos integran IPS<\/strong>, por lo que la frontera entre ambos conceptos se ha difuminado en la pr\u00e1ctica. La diferencia de fondo sigue siendo \u00fatil: el firewall trabaja con pol\u00edtica de red (IP, puerto, protocolo, aplicaci\u00f3n); el IPS trabaja con firmas de amenazas y an\u00e1lisis de comportamiento. Son capas complementarias, no excluyentes.<\/p>\n\n\n\n

Hardware vs software.<\/h2>\n\n\n\n

Los firewalls hardware son appliances dedicados \u2014Cisco ASA, Fortinet FortiGate, Palo Alto PA-Series, Check Point Quantum<\/strong>\u2014 con chips especializados (ASICs<\/strong>, FPGAs<\/strong>) para el procesamiento de paquetes a alta velocidad: throughput<\/strong> en decenas de Gbps <\/strong>con latencias bajas. Son la opci\u00f3n en entornos donde el rendimiento y la disponibilidad son cr\u00edticos.<\/p>\n\n\n\n

Los firewalls software \u2014iptables\/nftables<\/strong> en Linux<\/strong>, pfSense<\/strong>, OPNsense<\/strong>, Windows Firewall\u2014 corren sobre hardware de prop\u00f3sito general. Son econ\u00f3micos y flexibles, pero dependen de la CPU del sistema para el procesamiento de paquetes, lo que puede ser un cuello de botella en tr\u00e1fico intenso.<\/p>\n\n\n\n

En entornos cloud y virtualizados, los firewalls virtuales (VMs <\/strong>con el software del fabricante: Palo Alto VM-Series<\/strong>, Fortinet FortiGate VM, Check Point CloudGuard<\/strong>) son la opci\u00f3n predominante por su elasticidad y facilidad de integraci\u00f3n con los planos de control cloud.<\/p>\n\n\n\n

Un firewall <\/strong>bien configurado no resuelve todos los problemas de seguridad de una red. S\u00ed resuelve muchos de ellos y es la primera capa sobre la que construir el resto. Sin \u00e9l, lo dem\u00e1s tiene poca solidez.<\/p>\n\n\n\n

El tipo de firewall adecuado depende del entorno: una pyme con tr\u00e1fico web moderado tiene necesidades distintas a una empresa con infraestructura h\u00edbrida y m\u00faltiples sedes. En todos los casos, lo que marca la diferencia no es solo el appliance elegido, sino la calidad de la pol\u00edtica de seguridad que lo sustenta y la monitorizaci\u00f3n continua que lo respalda.<\/p>\n\n\n\n

Art\u00edculo publicado por Enecworld | Seguridad de red y ciberseguridad empresarial<\/h5>\n\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"

Un firewall es un sistema (hardware, software o ambos) que inspecciona el tr\u00e1fico de red entrante y saliente y decide qu\u00e9 pasa y qu\u00e9 no, conforme a un conjunto de reglas definidas en una pol\u00edtica de seguridad. Su funci\u00f3n es separar una red de confianza de otra que no lo es, normalmente internet. Sin firewall, […]<\/p>\n","protected":false},"author":3,"featured_media":4186,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4180","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"_links":{"self":[{"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/posts\/4180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/comments?post=4180"}],"version-history":[{"count":3,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/posts\/4180\/revisions"}],"predecessor-version":[{"id":4185,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/posts\/4180\/revisions\/4185"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/media\/4186"}],"wp:attachment":[{"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/media?parent=4180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/categories?post=4180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enecworld.com\/en\/wp-json\/wp\/v2\/tags?post=4180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}