El firewall de "solo puerto y dirección IP" perteneció a la década del 2000. Hoy, más del 90% del tráfico web va cifrado con TLS, las aplicaciones SaaS conviven con servicios on-premise, y los atacantes abusan de protocolos legítimos para moverse lateralmente. El Next-Generation Firewall (NGFW) responde a ese contexto con inspección profunda, identificación de aplicaciones, IPS, antivirus y threat intelligence integrados.
En esta guía analizamos qué hace a un firewall "NGFW", cómo comparar Fortinet, Palo Alto, Cisco y otros vendors, cómo dimensionar correctamente y qué errores comunes evitar. Como marco de referencia usamos el concepto de NGFW definido por Gartner.
Contenido
¿Qué es un NGFW y qué lo diferencia?
Un firewall tradicional opera en capas 3 y 4 del modelo OSI: decide permitir o bloquear según IP origen/destino, puerto y protocolo. Un NGFW agrega:
- Deep Packet Inspection (DPI): mira el contenido del paquete, no solo la cabecera
- Application Control: identifica aplicaciones por firma (Facebook, WhatsApp, BitTorrent) independiente del puerto
- IPS (Intrusion Prevention System): detecta y bloquea patrones de ataque conocidos
- Antivirus y antimalware inline sobre tráfico web y correo
- Filtrado web por categorías (phishing, gambling, drogas, etc.)
- SSL/TLS inspection para ver tráfico cifrado
- Sandbox integration para análisis de archivos sospechosos
- Threat intelligence cloud con actualización continua
Capacidades imprescindibles en 2025
Identificación de usuario (User-ID)
La integración con Active Directory, LDAP, Azure AD o RADIUS permite políticas del tipo "el grupo Finanzas puede acceder al ERP; Marketing no". Todos los NGFW líderes soportan esto vía agente o captura Kerberos.
ZTNA y remote access moderno
El VPN SSL clásico está siendo reemplazado por ZTNA (Zero Trust Network Access). Fortinet, Palo Alto Prisma Access y Cisco Secure Client ofrecen modelos donde el acceso es por aplicación, no por subred. Complementa bien con estrategia Zero Trust.
SD-WAN integrado
Los NGFW modernos incluyen SD-WAN nativo. Un único appliance gestiona seguridad perimetral y enrutamiento WAN inteligente, reduciendo complejidad y costo. Ver guía de SD-WAN en Chile.
Automatización y API
Un NGFW que no expone API completa hoy es una pieza de museo. Integración con SIEM, SOAR, Terraform, Ansible y CI/CD es esencial para operar a escala.
Alta disponibilidad (HA)
Active-passive o active-active con failover sub-segundo. Sesiones sincronizadas para que el usuario no experimente caída. En Chile es obligatorio para cualquier operación seria.
Comparativa de vendors líderes
| Vendor | Familia | Fortalezas | Debilidades |
|---|---|---|---|
| Fortinet | FortiGate | Mejor TCO, hardware ASIC rápido, Security Fabric integrado | UI densa, curva de aprendizaje inicial |
| Palo Alto | PA-Series / VM-Series | Mejor App-ID, User-ID y threat prevention del mercado | Más caro (licencias suscripción anuales) |
| Cisco | Firepower / Meraki MX | Integración ecosistema Cisco, Talos threat intel | Firepower histórica complejidad, Meraki limitado en HA |
| Check Point | Quantum | SmartConsole madura, fuerte en enterprise | Licenciamiento complejo, costo alto |
| Sophos | XGS | Synchronized Security (endpoint+firewall), buen precio | Throughput real por debajo de especificaciones en algunos modelos |
| SonicWall | TZ / NSa | Precio accesible, despliegue rápido | Historial de vulnerabilidades zero-day, menos innovación reciente |
| pfSense / OPNsense | Open Source | Sin licencia, muy flexible | Requiere expertise, sin threat intel premium |
Cómo dimensionar un NGFW correctamente
El error más común en proyectos de firewall es comprar por el número de marketing ("hasta 10 Gbps de firewall throughput") en lugar de por el throughput real con funciones activas.
Métricas que importan
- Threat Protection Throughput: con IPS+AV+App Control activos (suele ser 15-30% del "firewall throughput")
- SSL Inspection Throughput: típicamente 50-70% menor que threat protection
- Concurrent sessions: sesiones TCP/UDP simultáneas
- New connections per second: importante para servidores web públicos
- IPSec VPN throughput: si vas a terminar VPNs site-to-site masivas
Ejemplo práctico: 80 usuarios de oficina
Asumamos enlace WAN de 300 Mbps, 80 usuarios concurrentes, tráfico mayoritario web/SaaS con SSL inspection activa:
| Vendor/Modelo | Threat Protection | SSL Inspection | Adecuación |
|---|---|---|---|
| Fortinet FortiGate 80F | 1 Gbps | 480 Mbps | Adecuado con margen |
| Palo Alto PA-440 | 2.2 Gbps | 1.1 Gbps | Adecuado, holgado |
| Cisco Meraki MX85 | 1 Gbps | - | Adecuado si no requieres SSL deep inspection |
| Sophos XGS 116 | 950 Mbps | 420 Mbps | Justo, revisar picos |
Inspección SSL/TLS: hacerla bien
Sin SSL inspection, el NGFW no ve el 90% del tráfico. Con ella, puede detectar malware, C2 y DLP en flujos HTTPS, pero exige cuidado:
- CA interna: el firewall presenta un certificado firmado por tu CA corporativa. Deploy la CA en el trust store de todos los equipos (GPO/MDM)
- Exclusiones necesarias: banca (por pinning), salud, servicios que validan certificados internos, actualizaciones Microsoft
- Comunicar al usuario: la política de privacidad laboral debe mencionar inspección SSL
- Monitorear CPU: SSL inspection consume 3-5x más CPU que inspección normal
Errores comunes al implementar
1. Reglas "any-any-allow" bajo presión
Bajo la urgencia de "que funcione el sistema", se crean reglas demasiado permisivas que nunca se revisan. Auditoría trimestral de reglas es obligatoria.
2. No actualizar firmware
Los NGFW han sido targets frecuentes: Fortinet y SonicWall tuvieron zero-days críticos en 2022-2024. Política de parches mensual + revisión de PSIRT semanal.
3. Reglas gestionadas solo por nombre IP
"192.168.10.42" no dice nada. Usa grupos de direcciones con nombres descriptivos (SERVIDOR-ERP, GRP-CONTABILIDAD). Facilita auditoría y rotación.
4. No integrar logs con SIEM
Los logs del firewall son oro para detección de incidentes. Envíalos a Graylog, Wazuh, ELK, Splunk o Microsoft Sentinel. Complementa con monitoreo proactivo.
5. Olvidar el egreso
Muchas empresas filtran fuertemente el ingreso y dejan salida libre. Un malware compromete un endpoint y usa egress libre para C2. Política: denegar por defecto, permitir solo lo necesario también hacia afuera.
¿Implementamos tu NGFW con garantías?
UpTech es partner de Fortinet, Palo Alto, Sophos y Cisco. Diseño, implementación, hardening y operación 24/7.
Ver Redes e Infraestructura →Preguntas frecuentes
¿Qué es un firewall NGFW?
Un Next-Generation Firewall combina firewall tradicional con Deep Packet Inspection, IPS, control de aplicaciones, antivirus, filtrado web, SSL inspection y threat intelligence cloud en un único appliance o VM.
¿Cuál es mejor: Fortinet, Palo Alto o Cisco?
Depende del caso. Fortinet ofrece el mejor TCO y es dominante en PYMES chilenas. Palo Alto lidera en capacidades de seguridad avanzadas (App-ID, User-ID) y entornos críticos. Cisco es fuerte donde ya existe ecosistema Cisco. Los tres son líderes del cuadrante Gartner.
¿Qué tamaño de NGFW necesito?
Dimensiona por Threat Protection Throughput con SSL inspection activa, no por el "firewall throughput" nominal. Para 50 usuarios con SSL inspection: mínimo 500 Mbps de threat protection. Para 200 usuarios: 1.5-2 Gbps mínimo con margen del 40%.
¿Debo activar inspección SSL?
Sí, más del 90% del tráfico web va cifrado con TLS. Sin SSL inspection, el NGFW no puede ver el contenido. Requiere CPU adicional, instalación de CA corporativa y excepciones para servicios que usan certificate pinning (banca, salud).
¿Un UTM es lo mismo que un NGFW?
Son conceptos relacionados pero no idénticos. UTM (Unified Threat Management) consolidó varias funciones en un único appliance; NGFW implica integración más profunda y capacidad de aplicar políticas por aplicación/usuario. En la práctica, los productos modernos son ambas cosas.
¿Puedo usar pfSense/OPNsense en empresa?
Sí para PYMES pequeñas o labs. No recomendado para operaciones críticas sin soporte formal: te pierdes threat intelligence premium, SLA, integraciones nativas con SIEM empresariales y certificaciones (ISO 27001, PCI-DSS). Considera soporte comercial de Netgate si optas por pfSense Plus.