Definition of a Next-Generation Firewalls (NGFWs)

A next-generation firewall ( NGFW ) is the convergence of traditional firewall technology with other network device filtering functions, such as inline application control, an integrated intrusion prevention system (IPS), threat prevention capabilities, and antivirus protection, to improve enterprise network security.

Next-generation Firewall vs. Traditional Firewall

Traditional firewalls only operate on Layers 3 and 4 of the Open Systems Interconnection (OSI) model to inform their actions, managing network traffic between hosts and end systems to ensure complete data transfers. They allow or block traffic based on port and protocol, leverage stateful inspection, and make decisions based on defined security policies. NGFW , purported at the time of its introduction as the next evolution in network security. It touted all the features one would expect from a traditional firewall, but with more granular capabilities that allow for even tighter policies for identity, user, location, and application.

Application control: NGFWs actively monitor which applications (and users) are bringing traffic to the network. They have an innate ability to analyze network traffic to detect application traffic, regardless of port or protocol, increasing overall visibility. IPS: At its core, an IPS is designed to continuously monitor a network, look for malicious events, then take careful action to prevent them. The IPS can send an alarm to an administrator, drop the packets, block the traffic, or reset the connection altogether. Threat intelligence: This can be described as the data or information collected by a variety of nodes across a network or IT ecosystem that helps teams understand the threats that are targeting—or have already targeted—an organization. This is an essential cybersecurity resource. Antivirus: As the name suggests, antivirus software detects viruses, responds to them, and updates detection functionality to oppose the ever-changing threat landscape.

What does an NGFW do?

When it comes to securing corporate networks, NGFWs go beyond the call of duty compared to traditional firewalls. They dig deeper into network traffic to understand where it’s coming from. As a result, they’re able to collect a greater body of knowledge about malicious traffic and its embedded threats that are constantly trying to infiltrate the network perimeter, access corporate data, and ruin an organization’s reputation. Where a traditional firewall only operates at Layers 3 and 4, NGFWs can operate all the way up to Layer 7—the application layer. This means app-level threats, which are some of the most dangerous and penetrative, are stopped before they breach, saving time and cost in remediation.

4 Core Benefits of Cloud Firewalls

Proxy-based architecture: This design dynamically inspects network traffic for all users, applications, devices, and locations. It natively inspects SSL/TLS traffic at scale to detect malware hidden in encrypted traffic. Plus, it enables granular network firewall policies spanning multiple layers based on network app, cloud app, fully qualified domain name (FQDN), and URL. Cloud IPS: A cloud-based IPS delivers always-on threat protection and coverage, regardless of connection type or location. It inspects all user traffic on and off network, even hard-to-inspect SSL traffic, to restore full visibility into user, app, and internet connections. DNS security and control: As the first line of defense, a cloud firewall protects users from reaching malicious domains. It optimizes DNS resolution to provide a better user experience and cloud application performance, which is especially critical for CDN-based apps. It also provides granular controls to detect and prevent DNS tunneling. Visibility and simplified management: A cloud-based firewall delivers real-time visibility, control, and immediate security policy enforcement across the platform. It logs every session in detail, and uses advanced analytics to correlate events as well as provide insight into threats and vulnerabilities for all users, applications, APIs, and locations from a single console.

Recursos > Glosario de términos de seguridad > Qué es un cortafuegos de nueva generación

¿Qué es un cortafuegos de nueva generación?

Un cortafuegos de nueva generación (NGFW) pertenece a la tercera generación de tecnología de cortafuegos y combina un cortafuegos tradicional con otras funciones de filtrado de dispositivos de red, como la inspección profunda de paquetes en línea (DPI) y un sistema de prevención de intrusiones (IPS).

Gartner creó el concepto de NGFW hace una década. Según Gartner, los NGFW son "cortafuegos de inspección profunda de paquetes que van más allá de la inspección y el bloqueo de puertos/protocolos para añadir la inspección a nivel de aplicaciones, la prevención de intrusiones y la aportación de inteligencia desde fuera del cortafuegos".

Los cortafuegos tradicionales operaban en el tercer y cuarto nivel, y permitían o bloqueaban el tráfico en función de puertos y protocolos, aprovechaban la inspección de estado y tomaban decisiones basadas en políticas definidas. A medida que los ataques evolucionaban y se volvían más sofisticados, los atacantes eran capaces de eludir los cortafuegos de inspección de estado, lo que hacía más crítica la seguridad mejorada.

Los NGFW surgieron para proporcionar todas las capacidades de un cortafuegos tradicional y las capacidades adicionales de control de aplicaciones y prevención de intrusiones integradas. También ofrecían capacidades más granulares para identificar al usuario, la ubicación y la aplicación.

Las capacidades de los cortafuegos de nueva generación son en realidad un requisito básico. Ha sido una de las principales consideraciones a la hora de seleccionar a Zscaler. No pudimos encontrar ningún otro servicio en la nube que tuviera la capacidad de un protocolo completo de nueva generación.

Ken Athanasiou, CISO y vicepresidente de AutoNation

Desafíos para los NGFW

El backhauling del tráfico a un NGFW en un centro de datos corporativo o regional tenía sentido cuando las aplicaciones se encontraban en el centro de datos corporativo, y la mayoría de los trabajadores se encontraban en las oficinas corporativas o regionales. Sin embargo, las aplicaciones empezaron a salir del centro de datos y a entrar en la nube, y las organizaciones tenían cada vez más sucursales y trabajadores remotos. Los trabajadores salieron de la red corporativa y empezaron a conectarse desde cualquier lugar, lo que hizo que los enfoques tradicionales de redes y seguridad, incluido el NGFW, fueran insuficientes.

Las aplicaciones en la nube, como Salesforce y Microsoft Office 365, fueron diseñadas acceder a ellas directamente a través de Internet. Por lo tanto, el tráfico de Internet debe enrutarse localmente para ofrecer una experiencia de usuario rápida. Enrutar el tráfico de vuelta a los NGFW en los centros de datos corporativos para que salga a Internet ya no tiene sentido.

Sin embargo, la seguridad tradicional para los breakouts locales de Internet significa que las organizaciones tendrían que replicar la pila de seguridad corporativa en cada ubicación. Esto requiere la implementación de NGFW o pilas de dispositivos de seguridad en cada sucursal, una opción que simplemente no es viable en términos de coste y complejidad de la implementación y gestión de todos ellos.

Además, los NGFW nunca fueron diseñados para soportar aplicaciones en la nube. Los NGFW se ven fácilmente sobrepasados por las aplicaciones en la nube, porque no pueden escalar para soportar el alto volumen de conexiones de larga duración que crean las aplicaciones. Tampoco pueden gestionar de forma nativa el tráfico cifrado con SSL. Esto se ha vuelto cada vez más importante con el crecimiento exponencial del tráfico cifrado durante los últimos años. La inspección de SSL requiere que los NGFW incluyan capacidades de proxy que ejecuten la inspección de SSL en el software, en lugar de a nivel de chip. Esto repercute significativamente en el rendimiento y provoca una experiencia negativa para el usuario.

Mejor en la nube

Los cortafuegos de nueva generación (NGFW) utilizados hoy en día se diseñaron hace más de una década. Pero proporcionar seguridad y controles de acceso para la empresa que prioriza la nube requiere capacidades dinámicas para las que los NGFW no fueron diseñados.

Conforme las organizaciones adoptan un enfoque que da prioridad a la nube, siguen necesitando ofrecer capacidades de cortafuegos empresariales a través de sus breakouts locales de Internet. Por desgracia, los NGFW no están diseñados para soportar aplicaciones en la nube, y sus homólogos de cortafuegos virtuales le dejan con muchas de las mismas limitaciones y desafíos que los dispositivos NGFW tradicionales. Resulta lógico que, a medida que las aplicaciones se trasladan a la nube, sus cortafuegos se trasladen también a la nube.

Un cortafuegos basado en la nube ofrece múltiples ventajas con respecto a los NGFW basados en dispositivos, entre ellas:

Arquitectura basada en proxy: en este diseño se inspecciona dinámicamente el tráfico de todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS (a escala) para detectar el malware oculto en el tráfico cifrado. Además, permite aplicar políticas de cortafuegos granulares en varias capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio (FQDN) y la URL. Se requiere una arquitectura basada en proxy para detener las amenazas avanzadas de hoy en día.
IPS en la nube: un sistema de prevención de intrusiones (IPS) basado en la nube ofrece protección y cobertura continua contra las amenazas, independientemente del tipo de conexión o la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de llegar a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, que es especialmente crítico para las aplicaciones basadas en CDN. Además, proporciona controles granulares para detectar y evitar el túnel de DNS.
Visibilidad y gestión simplificada: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas en toda la plataforma. Registra cada sesión en detalle y utiliza analíticas avanzadas para correlacionar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones y ubicaciones desde una sola consola.

Vea usted mismo la diferencia

¿Sigue confiando en los NGFW antiguos? ¿Está tan seguro como debería? Solicite una demostración para saber cómo un cortafuegos en la nube puede proporcionar más seguridad que un NGFW.

Acelere su transformación

Líder del Cuadrante Mágico de Gartner

Haga posible el trabajo híbrido

La protección contra ransomware más eficaz del mundo

Haga posible la agilidad de la sucursal

Asegure su implementación de ServiceNow

Biblioteca de contenidos de confianza cero

Biblioteca de contenidos de confianza cero

Biblioteca de contenidos de confianza cero

Zscaler Empleos

Zscaler Empleos

Zscaler Empleos

¿Qué es un cortafuegos de nueva generación?