NGFW de nueva generación: qué diferencia al cortafuegos de Palo Alto de las soluciones de red clásicas

El término «Cortafuegos de Nueva Generación» (NGFW) aparece en el marketing de muchos proveedores, pero no todos quieren decir lo mismo con él. La definición clásica de NGFW (Gartner, 2009) incluía la inspección de estados, la identificación de aplicaciones y usuarios y la integración con sistemas IPS. Desde el principio, Palo Alto Networks tuvo su propia visión, más ambiciosa, de lo que debía ser un cortafuegos de nueva generación, y esta visión ha dado forma a lo que diferencia hoy a Palo Alto Networks de las soluciones de red clásicas.

Índice

1. ¿Qué era el cortafuegos clásico y qué limitaciones tenía?
2. ¿Cómo está redefiniendo Palo Alto Networks los NGFW?
3. App-ID – identificación de aplicaciones en lugar de puertos
4. User-ID – políticas basadas en el usuario
5. Content-ID – inspección de contenidos y riesgos
6. Acceso a la Red de Confianza Cero de Palo Alto
7. Integración con el ecosistema Palo Alto (Prisma, Cortex)
8. Principales conclusiones
9. PREGUNTAS FRECUENTES
10. Resumen

¿Qué era el cortafuegos clásico y qué limitaciones tenía?

El cortafuegos clásico (stateful inspection) controlaba el acceso a la red basándose en direcciones IP, puertos y protocolos de transporte. La regla «permitir el puerto TCP 80 desde la LAN a Internet» parecía sensata en una época en la que el puerto 80 significaba HTTP y HTTP significaba navegación. Esa época terminó hace mucho tiempo.

Hoy en día, absolutamente todo pasa por el puerto 443 (HTTPS): Netflix, Dropbox, Salesforce, correo web, aplicaciones maliciosas, túneles de malware C2, datos robados. Un cortafuegos clásico ve: «Tráfico HTTPS a Internet – permitido». El NGFW Palo Alto ve: «aplicación X, usuario Y, que contiene archivo Z, con perfil de riesgo W – permitir/bloquear/restringir».

Esta diferencia de visibilidad se traduce directamente en la capacidad de aplicar políticas de seguridad significativas. La combinación con soluciones NAC crea una protección integral desde la capa de red hasta el punto final.

¿Cómo está redefiniendo Palo Alto Networks los NGFW?

Palo Alto Networks ha construido su NGFW en torno a tres motores de identificación: App-ID (identificación de aplicaciones), User-ID (identificación de usuarios) y Content-ID (inspección de contenidos). Los tres se ejecutan simultáneamente, en cada paquete, sin necesidad de configurar módulos separados. Es una arquitectura de «paso único – cada paquete es analizado por todos los motores una vez, en lugar de pasar por una cadena de unidades separadas.

En la práctica, esto significa que una política de seguridad podría decir: «permitir Salesforce para el grupo de Ventas, sólo durante las horas de trabajo, escanear el contenido para DLP, bloquear las cargas de PDF». Ningún cortafuegos clásico o combinación de cortafuegos + proxy + IPS permitirá definir una regla de este tipo en un solo lugar y aplicarla de una sola vez.

App-ID – identificación de aplicaciones en lugar de puertos

App-ID es una tecnología de Palo Alto que identifica una aplicación analizando su comportamiento en lugar de su número de puerto o protocolo. App-ID cuenta con una base de datos de más de 3.000 firmas de aplicaciones, desde empresariales (Salesforce, SAP, Teams) a redes sociales (Facebook, TikTok) o potencialmente maliciosas (herramientas de tunelización, anonimizadores, aplicaciones P2P).

La identificación es multinivel: puerto y protocolo de transporte como pista, descodificación del protocolo de la aplicación, análisis de la firma de la aplicación y, cuando es insuficiente, análisis heurístico del comportamiento. App-ID funciona incluso para el tráfico HTTPS cifrado mediante el análisis de SNI, certificados TLS y patrones de comportamiento.

El resultado es la posibilidad de escribir políticas orientadas a la aplicación: «bloquear BitTorrent independientemente del puerto» en lugar de «bloquear el puerto 6881-6889» (que BitTorrent puede eludir de todos modos). Las políticas orientadas a la aplicación son más semánticas y permanentes: no necesitan actualizarse cuando una aplicación cambia de puerto.

User-ID – políticas basadas en el usuario

User-ID asigna direcciones IP a identidades de usuario de Active Directory, LDAP, sistemas SSO y otras fuentes de identidad. El resultado es la capacidad de escribir políticas basadas en el usuario y el grupo en lugar de la dirección IP.

«Permitir YouTube para el grupo Marketing, bloquear para todos los demás». – es una regla imposible de ejecutar correctamente por un cortafuegos clásico cuando las direcciones IP de los usuarios son dinámicas (DHCP) o cuando varios usuarios comparten un mismo dispositivo. User-ID resuelve este problema mediante la asignación continua de identidad-IP a partir de registros AD, agentes en estaciones e integración con sistemas de Portal Cautivo.

La consecuencia también es una mejor auditoría: los registros del cortafuegos muestran «John Smith se conectó a Dropbox y subió 500 MB» en lugar de «dirección IP 192.168.1.45 conectada a IP 1.2.3.4 a través del puerto 443».

Content-ID – inspección de contenidos y riesgos

Content-ID es un motor de inspección profunda de paquetes (DPI) que incluye: IPS (sistema de prevención de intrusiones) con una base de datos de firmas de exploits y ataques, análisis antivirus/antimalware de archivos en el tráfico de red, filtrado de URL con categorización de miles de millones de URL, bloqueo de archivos por tipo (no sólo extensión, sino contenido real) y detección de datos sensibles (DLP básico en el tráfico de red).

Todas estas funciones operan «en línea» – en tiempo real, sobre el tráfico que fluye. A diferencia de una arquitectura multicaja (IPS independiente, proxy independiente, antivirus independiente), la arquitectura unificada de Palo Alto elimina las «brechas» entre productos por las que las amenazas pueden colarse sin ser detectadas.

La integración con la seguridad web de nueva generación completa la protección con el filtrado avanzado de contenidos web.

Acceso a la red de confianza cero de Palo Alto

Zero Trust es un modelo de seguridad «nunca confíes, siempre verifica». – Todo acceso debe estar autorizado, independientemente de la ubicación del usuario. Palo Alto Networks implementa Zero Trust a través de varios productos: Prisma Access (ZTNA para usuarios remotos), NGFW como microperímetro que segmenta la red interna y Prisma Cloud para entornos en la nube.

El NGFW de Palo Alto en un entorno de confianza cero actúa como ejecutor de las políticas de acceso entre segmentos de red, sustituyendo el modelo tradicional de red plana con tráfico libre de este a oeste restringido por políticas de App-ID + User-ID.

Integración con el ecosistema de Palo Alto (Prisma, Cortex)

El NGFW de Palo Alto no es un producto independiente, sino parte de un ecosistema más amplio. Cortex XDR recopila telemetría del NGFW para análisis de correlación y detección de amenazas avanzadas (APT). Cortex XSOAR utiliza datos de la NGFW para automatizar la respuesta a incidentes. Panorama es la gestión central de múltiples dispositivos NGFW desde una única consola.

Intercambio de información sobre amenazas: todos los dispositivos de Palo Alto del mundo contribuyen a la base de datos de amenazas de WildFire; los archivos desconocidos se analizan en un espacio aislado y las firmas de nuevas amenazas se distribuyen a toda la flota en cuestión de minutos.

Principales conclusiones

• El NGFW de Palo Alto va más allá de la definición clásica: combina App-ID, User-ID y Content-ID en una arquitectura de paso único.
• App-ID identifica las aplicaciones en función de su comportamiento, no del puerto, lo que elimina la ocultación de aplicaciones en puertos no estándar.
• User-ID mapea la IP a la identidad AD – las políticas se basan en el usuario y el grupo, no en la dirección IP.
• Content-ID es IPS, antivirus, filtrado de URL y DLP en un solo motor, que funciona en línea.
• La integración con Cortex y Prisma crea un ecosistema en el que NGFW es el punto de recogida de telemetría y ejecución de políticas.

PREGUNTAS FRECUENTES

¿El NGFW de Palo Alto sustituye a un IPS y un proxy dedicados? En muchos casos, sí: App-ID, Content-ID y la inspección SSL eliminan la necesidad de dispositivos separados. Para aplicaciones especializadas (por ejemplo, proxy web completo con autenticación Kerberos) las soluciones dedicadas pueden ser un complemento.

¿Cómo gestiona Palo Alto NGFW el tráfico cifrado TLS 1.3? Palo Alto admite el descifrado SSL/TLS para la inspección del tráfico cifrado, incluido TLS 1.3 con Perfect Forward Secrecy. La gestión de certificados y las excepciones son necesarias para las categorías (por ejemplo, banca, salud) que no deben descifrarse.

¿Cómo se gestionan varios dispositivos Palo Alto en una gran organización? Panorama es la consola de gestión central para varios NGFW, que te permite aplicar políticas a toda la flota, recopilar registros y elaborar informes.

¿Está disponible Palo Alto NGFW como VM en la nube? Sí – VM-Series es una versión virtualizada de NGFW disponible para AWS, Azure, GCP y entornos de virtualización (VMware, KVM).

Resumen

El cortafuegos NGFW de Palo Alto es una categoría de producto que redefine lo que debe ser un cortafuegos moderno, no añadiendo funciones a una arquitectura antigua, sino diseñándolo desde cero teniendo en cuenta la visibilidad de las aplicaciones, la identidad y el contenido. Para las organizaciones que aún basan la seguridad de la red en reglas de puertos e IP, migrar a NGFW es uno de los pasos más importantes hacia una seguridad madura. Ponte en contacto con Ramsdata para averiguar cómo Palo Alto Networks puede reforzar la seguridad de la red de tu organización.