¿Cuál es la diferencia entre el firewall de aplicaciones web (WAF) y el firewall de nueva generación (NGFW)?

Los firewalls representan una pieza crucial de la tecnología que supervisa y filtra el tráfico entrante o saliente de Internet con el objetivo último de proteger contra amenazas y evitar fugas de datos confidenciales. Las empresas y organizaciones confían en que estos dispositivos funcionen de forma constante y fiable para poder asegurar los recursos críticos frente a las infiltraciones.

Hay muchos tipos de firewall disponibles, y cada tipo tiene su propia funcionalidad y propósito. En este artículo, compararemos los firewalls de aplicaciones web (WAF) y los firewalls de nueva generación (NGFW) y, a continuación, exploraremos las formas de incluirlos como parte de una solución de seguridad integral.

¿Qué es un firewall de aplicaciones web (WAF)?

Un firewall de aplicaciones web (WAF) es un tipo de firewall que comprende un nivel de protocolo superior (HTTP o Capa 7) del tráfico entrante entre una aplicación web e Internet. Es capaz de detectar y responder a las solicitudes maliciosas antes de que sean aceptadas por las aplicaciones y los servidores web, lo que proporciona a las empresas una capa adicional de seguridad.

Cuando se utilizan WAF para proteger las aplicaciones web, normalmente se definen reglas que permiten, bloquean o supervisan las solicitudes web en función de determinados criterios. Por ejemplo, puede especificar una regla para bloquear todas las solicitudes entrantes procedentes de una IP concreta o sólo las solicitudes que contengan cabeceras HTTP o vulnerabilidades específicas. Si sólo desea supervisar el tráfico, puede configurar monitores que cuenten determinados endpoints. Esta flexibilidad permite a los administradores de seguridad registrar rápidamente lo que se solicita y bloquear las solicitudes no autorizadas o no deseadas cuando se producen incidentes y situaciones comprometidas.

Debido a que los WAF comprenden un mayor nivel de tráfico, son capaces de bloquear los ataques a aplicaciones web (entre otras ventajas). Muchos de estos ataques están estrechamente relacionados con la lista OWASP Top 10 , incluidos los ataques de scripting entre sitios (XSS), la inyección de SQL, la denegación de servicio (DoS) y la filtración de credenciales o información no segura.

¿Qué es un NGFW?

Un Firewall de nueva generación (NGFW) es un tipo de firewall de aplicaciones que combina las mejores características de un firewall de red tradicional y un firewall de aplicaciones web. Normalmente actúa como un firewall que bloquea las peticiones entrantes inspeccionando los paquetes de la capa de red, pero también tiene capacidades de inspección adicionales que desbloquean nuevas formas de bloquear el tráfico no deseado en su red privada.

Algunas de estas capacidades están relacionadas con la inspección y terminación de TLS, la detección y prevención de intrusiones, la inteligencia de amenazas y la posibilidad de configurar reglas de filtrado avanzadas basadas en el contenido del tráfico o las URL. La principal ventaja de esta flexibilidad es que permite a los administradores de seguridad manejar escenarios más avanzados y bloquear amenazas más sofisticadas que proceden de vectores de ataque coordinados.

Ahora que comprende los conceptos fundamentales de los WAF y los NGFW, explicaremos sus similitudes y diferencias.

Similitudes y diferencias entre los WAF y los NGFW

Es justo decir que existe un cierto solapamiento entre los WAF y los NGFW. Ambos emplean reglas y motores de políticas para filtrar el tráfico entrante y actuar en función de determinados criterios. Ambas son más fáciles de ejecutar en la actualidad y, dependiendo de la oferta del proveedor, no necesitará adquirir hardware dedicado para disfrutar de esas funciones.

Podría pensar que se solapan porque ambos trabajan en protocolos de la capa de aplicación, la capa 7 en particular. Es cierto. Puede pensar en los NGFW como extensiones de los firewall tradicionales con la capacidad añadida de procesar el tráfico de las capas OSI 3-4 y 7 y aprovechar esa información para tomar medidas antes de que llegue a una capa interna más cercana a la aplicación.

Sus principales diferencias radican en sus modelos de responsabilidad básica y en sus capacidades generales. Los NGFW capturan más contexto de tráfico de red para poder prevenir los ataques entrantes antes de que lleguen a la capa de red. También pueden combinar motores de inteligencia de amenazas para ayudar en el proceso de toma de decisiones. Los WAF, por su parte, se limitan a la capa de aplicación, por lo que se especializan en la prevención de ataques comunes basados en la web como XSS e inyecciones de SQL. Los WAF no pueden utilizarse como firewalls primarios para su red, pero son ideales para proteger sus aplicaciones web expuestas a Internet.

Cuándo utilizar WAF frente a NGFW

Usted desea utilizar firewalls de aplicaciones web (WAFs) por las siguientes razones:

• Protegen contra los ataques específicos de la capa de aplicación. Los WAF pueden inspeccionar el tráfico de la capa de aplicación, y también tienen la capacidad de proteger contra los ataques comunes de la capa de aplicación. Algunos ejemplos son la inyección de SQL, XSS, DDoS y otros de la lista OWASP Top 10.
• Pueden ayudarle a cumplir los requisitos de conformidad. Por ejemplo, PCI DSS habla de cómo los WAF pueden ayudar a cumplir la opción 2 del requisito 6 junto con las prácticas de codificación segura.

Las soluciones de firewall de nueva generación (NGFW) protegen contra los ataques tanto a la red como a las aplicaciones. Sus características clave son:

• Pueden supervisar muchas capas (OSI 3-4 y 7). Esto les proporciona un mejor contexto y conocimiento del tipo de ataque. Por ejemplo, pueden determinar a qué aplicación se dirige cada paquete y establecer controles adicionales. Por lo tanto, un NGFW puede utilizarse como firewall primario.
• Incluyen herramientas y funciones sofisticadas. Los NGFW pueden aprovechar los servicios internos o externos para prevenir los ataques. Por ejemplo, pueden cargar datos de inteligencia de amenazas y reconfigurar automáticamente las reglas en función de las nuevas actualizaciones.
• Pueden inspeccionar el tráfico SSL. Los NGFW pueden actuar como proxies de terminación SSL, por lo que pueden inspeccionar el tráfico cifrado entrante y saliente antes de que llegue a su destino. Puede leer más sobre esta característica en este artículo relacionado.

Ahora que ya tiene una idea de cuándo utilizar un WAF frente a un NGFW, veamos cómo puede utilizar ambos para proporcionar una solución de defensa completa y en profundidad.

¿Cómo se complementan los WAF y los NGFW?

Dado que los WAF se dedican a proteger el tráfico de aplicaciones web, representan la opción ideal para proteger los servidores web. Sin embargo, los WAF no son la solución definitiva cuando se trata de seguridad integral, por lo que lo mejor es combinarlos con los NGFW.

La estrategia de defensa holística ideal es tener un WAF configurado para proteger contra los 10 ataques principales de OWASP con un NGFW que actúe como firewall de red tradicional capaz de detectar y prevenir ciertos ataques antes de que lleguen al WAF. Utilizando capacidades avanzadas como IDS/IPS y el modelado de amenazas, los NGFW pueden filtrar un porcentaje masivo de ataques y dejar el resto para que lo aborden los WAF.

Qué deben tener en cuenta los clientes al buscar una solución de seguridad para aplicaciones web

Cuando busque una solución de seguridad para aplicaciones web, debe tener en cuenta varios factores. En primer lugar, necesita un proveedor fiable y de confianza que ofrezca un conjunto integral de herramientas y servicios para proteger sus aplicaciones web. Palo Alto Networks es uno de estos proveedores que ofrece un conjunto de firewalls completo y fácil de usar, incluidos los NGFW y la plataforma de seguridad de aplicaciones web y API, que incluye un WAF integrado.

En segundo lugar, necesita una gran documentación y un excelente soporte técnico. Los desarrolladores y los administradores de seguridad confían en la documentación de referencia para poder entender cómo configurar correctamente los firewalls que se adhieren a sus políticas de seguridad. La documentación debe estar actualizada, ser precisa y fácilmente accesible para que cualquier implementación de las solicitudes entrantes pueda realizarse de forma eficiente con el mínimo riesgo de errores de configuración. Palo Alto Networks docs site es un sitio de documentación para desarrolladores robusto y fácil de navegar con listados profundos y detallados de las funciones, cómo configurarlas e información sobre la versión para garantizar la compatibilidad.

Preguntas frecuentes sobre WAF vs NGFW