Un firewall de hardware es un componente de filtrado físico que inspecciona los paquetes de datos de la red antes de que lleguen a las PC y a otros dispositivos de una red. Un firewall de hardware es una unidad independiente que no utiliza los recursos de las PC que protege, por lo que el rendimiento de procesamiento no se ve afectado. Es posible configurar el firewall para que bloquee varios puertos individuales, un rango de puertos o, incluso, el tráfico específico de una aplicación. El router inalámbrico Linksys E2500 también es un firewall de hardware.
Los firewalls de hardware permiten el paso de dos tipos de tráfico diferentes a la red:
- Las respuestas al tráfico que se origina desde el interior de la red.
- El tráfico destinado a un puerto que se dejó intencionalmente abierto.
Existen varios tipos de configuraciones de firewall de hardware:
- Filtro de paquetes: los paquetes no pueden atravesar el firewall, a menos que coincidan con la regla establecida configurada en el firewall. El tráfico puede filtrarse en función de diferentes atributos, como la dirección IP de origen, el puerto de origen, o la dirección IP o el puerto de destino. El tráfico también puede filtrarse en función de los servicios o protocolos de destino, como WWW o FTP.
- Inspección de paquetes con estado: es un firewall que realiza un seguimiento del estado de las conexiones de red que atraviesan el firewall. Los paquetes que no forman parte de una conexión conocida se descartan.
- Capa de aplicación: se interceptan todos los paquetes que se desplazan desde una aplicación o hacia ella. Se impide que todo el tráfico externo no deseado llegue a los dispositivos protegidos.
- Proxy: es un firewall instalado en un servidor proxy que inspecciona todo el tráfico y admite o rechaza paquetes según las reglas configuradas. Un servidor proxy es aquel que actúa como relé entre un cliente y un servidor de destino en Internet.
Los firewalls de hardware y software protegen los datos y los equipos de una red del acceso no autorizado. Se debe utilizar un firewall junto con un software de seguridad. En la Figura 1, se comparan los firewalls de hardware y software.
Para configurar los parámetros del firewall de hardware del router Linksys E2500, como se muestra en la Figura 2, utilice la siguiente ruta:
Security > Firewall (Seguridad > Firewall); seleccione Enable (Habilitar) para la protección de firewall SPI. A continuación, seleccione los demás filtros de Internet y filtros Web necesarios para proteger la red. Haga clic en Save Settings > Continue (Guardar configuración > Continuar).
NOTA: incluso en una red segura, debe habilitarse el firewall interno del sistema operativo para obtener seguridad adicional. Es posible que algunas aplicaciones no funcionen correctamente, a menos que se configure el firewall para estas como corresponde.
Zona desmilitarizada
Una zona desmilitarizada (DMZ, Demilitarized Zone) es una subred que proporciona servicios a una red no confiable. Los servidores de correo electrónico, Web o FTP suelen colocarse dentro de la DMZ para que el tráfico que utiliza el servidor no ingrese a la red local. Si bien esto protege la red interna contra los ataques de este tráfico, no brinda ningún tipo de protección a los servidores de la DMZ. Es común que un firewall o proxy administren el tráfico que entra a la DMZ y sale de ella.
En el router Linksys E2500, es posible crear una DMZ para un dispositivo reenviando todos los puertos de tráfico de Internet a una dirección IP o MAC específica. Se puede colocar un servidor, una consola de juegos o una cámara Web en la DMZ para que todos tengan acceso al dispositivo. No obstante, el dispositivo de la DMZ está expuesto a los ataques de los piratas informáticos de Internet.