{"id":41399,"date":"2026-04-12T23:13:41","date_gmt":"2026-04-12T23:13:41","guid":{"rendered":"https:\/\/ramsdata.com.pl\/ngfw-de-nueva-generacion-que-diferencia-al-cortafuegos-de-palo-alto-de-las-soluciones-de-red-clasicas\/"},"modified":"2026-04-12T23:13:41","modified_gmt":"2026-04-12T23:13:41","slug":"ngfw-de-nueva-generacion-que-diferencia-al-cortafuegos-de-palo-alto-de-las-soluciones-de-red-clasicas","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/es\/ngfw-de-nueva-generacion-que-diferencia-al-cortafuegos-de-palo-alto-de-las-soluciones-de-red-clasicas\/","title":{"rendered":"NGFW de nueva generaci\u00f3n: qu\u00e9 diferencia al cortafuegos de Palo Alto de las soluciones de red cl\u00e1sicas"},"content":{"rendered":"

El t\u00e9rmino \u00abCortafuegos de Nueva Generaci\u00f3n\u00bb (NGFW) aparece en el marketing de muchos proveedores, pero no todos quieren decir lo mismo con \u00e9l. La definici\u00f3n cl\u00e1sica de NGFW (Gartner, 2009) inclu\u00eda la inspecci\u00f3n de estados, la identificaci\u00f3n de aplicaciones y usuarios y la integraci\u00f3n con sistemas IPS. Desde el principio, Palo Alto Networks tuvo su propia visi\u00f3n, m\u00e1s ambiciosa, de lo que deb\u00eda ser un cortafuegos de nueva generaci\u00f3n, y esta visi\u00f3n ha dado forma a lo que diferencia hoy a Palo Alto Networks<\/a> de las soluciones de red cl\u00e1sicas. <\/p>\n

\u00cdndice<\/h3>\n
    \n
  1. \u00bfQu\u00e9 era el cortafuegos cl\u00e1sico y qu\u00e9 limitaciones ten\u00eda?<\/li>\n
  2. \u00bfC\u00f3mo est\u00e1 redefiniendo Palo Alto Networks los NGFW?<\/li>\n
  3. App-ID – identificaci\u00f3n de aplicaciones en lugar de puertos<\/li>\n
  4. User-ID – pol\u00edticas basadas en el usuario<\/li>\n
  5. Content-ID – inspecci\u00f3n de contenidos y riesgos<\/li>\n
  6. Acceso a la Red de Confianza Cero de Palo Alto<\/li>\n
  7. Integraci\u00f3n con el ecosistema Palo Alto (Prisma, Cortex)<\/li>\n
  8. Principales conclusiones<\/li>\n
  9. PREGUNTAS FRECUENTES<\/li>\n
  10. Resumen<\/li>\n<\/ol>\n

    \u00bfQu\u00e9 era el cortafuegos cl\u00e1sico y qu\u00e9 limitaciones ten\u00eda?<\/h3>\n

    El cortafuegos cl\u00e1sico (stateful inspection) controlaba el acceso a la red bas\u00e1ndose en direcciones IP, puertos y protocolos de transporte. La regla \u00abpermitir el puerto TCP 80 desde la LAN a Internet\u00bb parec\u00eda sensata en una \u00e9poca en la que el puerto 80 significaba HTTP y HTTP significaba navegaci\u00f3n. Esa \u00e9poca termin\u00f3 hace mucho tiempo. <\/p>\n

    Hoy en d\u00eda, absolutamente todo pasa por el puerto 443 (HTTPS): Netflix, Dropbox, Salesforce, correo web, aplicaciones maliciosas, t\u00faneles de malware C2, datos robados. Un cortafuegos cl\u00e1sico ve: \u00abTr\u00e1fico HTTPS a Internet – permitido\u00bb. El NGFW Palo Alto ve: \u00abaplicaci\u00f3n X, usuario Y, que contiene archivo Z, con perfil de riesgo W – permitir\/bloquear\/restringir\u00bb. <\/p>\n

    Esta diferencia de visibilidad se traduce directamente en la capacidad de aplicar pol\u00edticas de seguridad significativas. La combinaci\u00f3n con soluciones NAC<\/a> crea una protecci\u00f3n integral desde la capa de red hasta el punto final. <\/p>\n

    \u00bfC\u00f3mo est\u00e1 redefiniendo Palo Alto Networks los NGFW?<\/h3>\n

    Palo Alto Networks ha construido su NGFW en torno a tres motores de identificaci\u00f3n: App-ID (identificaci\u00f3n de aplicaciones), User-ID (identificaci\u00f3n de usuarios) y Content-ID (inspecci\u00f3n de contenidos). Los tres se ejecutan simult\u00e1neamente, en cada paquete, sin necesidad de configurar m\u00f3dulos separados. Es una arquitectura de \u00abpaso \u00fanico – cada paquete es analizado por todos los motores una vez, en lugar de pasar por una cadena de unidades separadas. <\/p>\n

    En la pr\u00e1ctica, esto significa que una pol\u00edtica de seguridad podr\u00eda decir: \u00abpermitir Salesforce para el grupo de Ventas, s\u00f3lo durante las horas de trabajo, escanear el contenido para DLP, bloquear las cargas de PDF\u00bb. Ning\u00fan cortafuegos cl\u00e1sico o combinaci\u00f3n de cortafuegos + proxy + IPS permitir\u00e1 definir una regla de este tipo en un solo lugar y aplicarla de una sola vez. <\/p>\n

    App-ID – identificaci\u00f3n de aplicaciones en lugar de puertos<\/h3>\n

    App-ID es una tecnolog\u00eda de Palo Alto que identifica una aplicaci\u00f3n analizando su comportamiento en lugar de su n\u00famero de puerto o protocolo. App-ID cuenta con una base de datos de m\u00e1s de 3.000 firmas de aplicaciones, desde empresariales (Salesforce, SAP, Teams) a redes sociales (Facebook, TikTok) o potencialmente maliciosas (herramientas de tunelizaci\u00f3n, anonimizadores, aplicaciones P2P). <\/p>\n

    La identificaci\u00f3n es multinivel: puerto y protocolo de transporte como pista, descodificaci\u00f3n del protocolo de la aplicaci\u00f3n, an\u00e1lisis de la firma de la aplicaci\u00f3n y, cuando es insuficiente, an\u00e1lisis heur\u00edstico del comportamiento. App-ID funciona incluso para el tr\u00e1fico HTTPS cifrado mediante el an\u00e1lisis de SNI, certificados TLS y patrones de comportamiento. <\/p>\n

    El resultado es la posibilidad de escribir pol\u00edticas orientadas a la aplicaci\u00f3n: \u00abbloquear BitTorrent independientemente del puerto\u00bb en lugar de \u00abbloquear el puerto 6881-6889\u00bb (que BitTorrent puede eludir de todos modos). Las pol\u00edticas orientadas a la aplicaci\u00f3n son m\u00e1s sem\u00e1nticas y permanentes: no necesitan actualizarse cuando una aplicaci\u00f3n cambia de puerto. <\/p>\n

    User-ID – pol\u00edticas basadas en el usuario<\/h3>\n

    User-ID asigna direcciones IP a identidades de usuario de Active Directory, LDAP, sistemas SSO y otras fuentes de identidad. El resultado es la capacidad de escribir pol\u00edticas basadas en el usuario y el grupo en lugar de la direcci\u00f3n IP. <\/p>\n

    \u00abPermitir YouTube para el grupo Marketing, bloquear para todos los dem\u00e1s\u00bb. – es una regla imposible de ejecutar correctamente por un cortafuegos cl\u00e1sico cuando las direcciones IP de los usuarios son din\u00e1micas (DHCP) o cuando varios usuarios comparten un mismo dispositivo. User-ID resuelve este problema mediante la asignaci\u00f3n continua de identidad-IP a partir de registros AD, agentes en estaciones e integraci\u00f3n con sistemas de Portal Cautivo. <\/p>\n

    La consecuencia tambi\u00e9n es una mejor auditor\u00eda: los registros del cortafuegos muestran \u00abJohn Smith se conect\u00f3 a Dropbox y subi\u00f3 500 MB\u00bb en lugar de \u00abdirecci\u00f3n IP 192.168.1.45 conectada a IP 1.2.3.4 a trav\u00e9s del puerto 443\u00bb.<\/p>\n

    Content-ID – inspecci\u00f3n de contenidos y riesgos<\/h3>\n

    Content-ID es un motor de inspecci\u00f3n profunda de paquetes (DPI) que incluye: IPS (sistema de prevenci\u00f3n de intrusiones) con una base de datos de firmas de exploits y ataques, an\u00e1lisis antivirus\/antimalware de archivos en el tr\u00e1fico de red, filtrado de URL con categorizaci\u00f3n de miles de millones de URL, bloqueo de archivos por tipo (no s\u00f3lo extensi\u00f3n, sino contenido real) y detecci\u00f3n de datos sensibles (DLP b\u00e1sico en el tr\u00e1fico de red).<\/p>\n

    Todas estas funciones operan \u00aben l\u00ednea\u00bb – en tiempo real, sobre el tr\u00e1fico que fluye. A diferencia de una arquitectura multicaja (IPS independiente, proxy independiente, antivirus independiente), la arquitectura unificada de Palo Alto elimina las \u00abbrechas\u00bb entre productos por las que las amenazas pueden colarse sin ser detectadas. <\/p>\n

    La integraci\u00f3n con la seguridad web de nueva generaci\u00f3n<\/a> completa la protecci\u00f3n con el filtrado avanzado de contenidos web.<\/p>\n

    Acceso a la red de confianza cero de Palo Alto<\/h3>\n

    Zero Trust es un modelo de seguridad \u00abnunca conf\u00edes, siempre verifica\u00bb. – Todo acceso debe estar autorizado, independientemente de la ubicaci\u00f3n del usuario. Palo Alto Networks implementa Zero Trust a trav\u00e9s de varios productos: Prisma Access (ZTNA para usuarios remotos), NGFW como microper\u00edmetro que segmenta la red interna y Prisma Cloud para entornos en la nube. <\/p>\n

    El NGFW de Palo Alto en un entorno de confianza cero act\u00faa como ejecutor de las pol\u00edticas de acceso entre segmentos de red, sustituyendo el modelo tradicional de red plana con tr\u00e1fico libre de este a oeste restringido por pol\u00edticas de App-ID + User-ID.<\/p>\n

    Integraci\u00f3n con el ecosistema de Palo Alto (Prisma, Cortex)<\/h3>\n

    El NGFW de Palo Alto no es un producto independiente, sino parte de un ecosistema m\u00e1s amplio. Cortex XDR recopila telemetr\u00eda del NGFW para an\u00e1lisis de correlaci\u00f3n y detecci\u00f3n de amenazas avanzadas (APT). Cortex XSOAR utiliza datos de la NGFW para automatizar la respuesta a incidentes. Panorama es la gesti\u00f3n central de m\u00faltiples dispositivos NGFW desde una \u00fanica consola. <\/p>\n

    Intercambio de informaci\u00f3n sobre amenazas: todos los dispositivos de Palo Alto del mundo contribuyen a la base de datos de amenazas de WildFire; los archivos desconocidos se analizan en un espacio aislado y las firmas de nuevas amenazas se distribuyen a toda la flota en cuesti\u00f3n de minutos.<\/p>\n

    Principales conclusiones<\/h3>\n