Tipos de cortafuegos

Clasificación atendiendo a la ubicación en la que se encuentra el firewall

• Firewalls basados en servidores: consta de una aplicación de firewall que se instala y ejecuta en un sistema operativo de red (NOS), que normalmente ofrece otra serie de servicios como enrutamiento, proxy, DNS, DHCP, etc

• Firewalls dedicados: equipos que tienen instalada una aplicación específica de cortafuegos y, por tanto, trabajan de forma autónoma como cortafuegos.

• Firewalls integrados: se integran en un dispositivo hardware para ofrecer la funcionalidad de fierewall (ejemplo: router, switch...)

• Firewalls personales: se instalan en los distintos equipos de la red de forma que los proteja individualmente de amenazas externas

Arquitectura de los cortafuegos más implementados:

• Screening router: como frontera entre la red privada y la red pública se encuentra un router que realiza tareas de filtrado

• Dual Homed-Host: como frontera se dispone un equipo servidor que realizará tareas de filtrado y enrutamiento mediante al menos 2 tarjetas de red, esto permitirá mayor flexibilidad en la configuración e instalación de aplicaciones de seguridad

• Screened Host: combina un router como equipo fronterizo exterior y un servidor proxy que filtrará y permitirá añadir reglas de filtrado en las aplicaciones más empleadas

• Screened-subnet: mediante la creación de una subred intermedia, denominada DMZ o zon desmilitarizada, entre la red externa y la red privada interna, permitirá tener dos niveles de seguridad, uno algo menor en el cortafuegos más externo y uno de mayor nivel de seguirdad en el cortafuegos de acceso a la red interna.

DMZ

Red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet, donde se ubican los servidores HTTP, DNS, FTP y otros que sean de caracter público.

Habitualmente, una configuración DMZ es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. 

La política de seguridad para la DMZ es la siguiente:

• El tráfico de la red externa a la DMZ está autorizado y a la red interna está prohibido.
• El tráfico de la red interna a la DMZ está autorizado y a la red externa está autorizado.

Normalmente, el DMZ host está separado de Internet a través de un router y un cortafuegos, o se encuentran integrados. Es aconsejable que en el cortafuegos se abran al exterior únicamente los puertos de los servicios que se pretenden ofrecer con los servidores disponibles en la DMZ.