Cortafuegos.

Un cortafuegos aplica una política de control de acceso en la frontera de la red inspeccionando paquetes y permitiéndolos, denegándolos o registrándolos según reglas que hacen referencia a la IP de origen y destino, los puertos y los protocolos. La tecnología evolucionó a través de tres generaciones: filtros de paquetes sin estado que evalúan cada paquete de forma aislada; la inspección con estado, introducida por Check Point FireWall-1 en 1994, que rastrea el estado de la conexión para que el tráfico de retorno se asocie a una sesión ya establecida; y los cortafuegos de nueva generación (NGFW), que añaden identificación de aplicaciones, inspección TLS, conocimiento del usuario e IPS integrado.

Los cortafuegos perimetrales tienen puntos ciegos bien conocidos: no pueden inspeccionar el tráfico este-oeste cifrado dentro de una red plana, y una sola regla permisiva o solapada puede socavar toda la política. La configuración incorrecta es el modo de fallo dominante en el mundo real: la brecha de Capital One de 2019, que expuso unos 100 millones de registros, se originó en un rol de web-application-firewall demasiado permisivo abusado mediante SSRF para alcanzar los metadatos de la nube. Un despliegue eficaz implica conjuntos de reglas con denegación por defecto, reglas de mínimo privilegio, recertificación periódica para eliminar entradas obsoletas, gestión del cambio y registro centralizado enviado a un SIEM para detectar desviaciones y movimiento lateral. Los diseños modernos combinan cortafuegos con microsegmentación y pasarelas zero-trust en lugar de depender de un único perímetro rígido.

flowchart TD
  P[Paquete entrante] --> S{¿Coincide con la tabla de estado?}
  S -- Sí --> A[Permitir flujo establecido]
  S -- No --> R{¿Coincide con una regla?}
  R -- Permitir --> L[Permitir, registrar, añadir a la tabla de estado]
  R -- Denegar --> D[Descartar o rechazar, registrar]
  R -- Sin coincidencia --> DD[Denegación por defecto]