La sigla "NGFW" —firewall de nueva generación— lleva ya años siendo "nueva", y bajo el marketing hay una diferencia real y concreta con el firewall tradicional. Entenderla, junto con su asterisco más importante —la inspección del tráfico cifrado y su costo—, es clave para no comprar de más ni esperar de menos.
El firewall tradicional: puertos y direcciones
Un firewall tradicional decide qué pasa mirando las capas 3 y 4: direcciones IP, puertos y protocolo. "Permite el puerto 443 hacia este servidor, bloquea el resto." Es stateful —recuerda las conexiones en curso para dejar volver sus respuestas—, y hace bien su trabajo básico. Pero tiene un punto ciego enorme: no sabe qué va dentro. Para él, todo lo que viaja por el puerto 443 es "web", sin distinguir si es tu ERP, una videollamada, una descarga de malware o alguien filtrando datos.
El NGFW: conciencia de aplicación y de usuario
El firewall de nueva generación añade la capa 7, la de las aplicaciones. Ahora sí distingue qué viaja por ese puerto 443: puede permitir Salesforce pero bloquear un juego, o dejar navegar pero impedir subir archivos a un almacenamiento personal. Suma además identidad de usuario (integrándose con el directorio, las reglas pueden decir "el equipo de finanzas puede X, el resto no"), un IPS integrado, filtrado web por categorías y control de aplicaciones. Pasa de "¿qué puerto?" a "¿qué aplicación, qué usuario, qué contenido?".
El NGFW añade la capa de aplicación; para ver dentro del cifrado hace inspección TLS (descifra, inspecciona, re-cifra), con su costo de CPU y fricciones.
El gran asterisco: la inspección TLS
Aquí está el detalle que decide si un NGFW cumple su promesa. Hoy casi todo el tráfico va cifrado (HTTPS, TLS). Y un firewall —por más "next-gen" que sea— no puede ver dentro de lo que está cifrado. Para inspeccionar ese tráfico tiene que hacer inspección TLS (también llamada SSL inspection o deep inspection): se coloca como un "intermediario autorizado" que descifra el tráfico, lo inspecciona, y lo vuelve a cifrar antes de reenviarlo. Sin esto, buena parte de la conciencia de aplicación y el IPS trabajan a ciegas sobre el grueso del tráfico moderno.
Por qué la inspección TLS no es gratis
Y aquí la honestidad que las hojas de datos esconden en la letra chica. Descifrar y volver a cifrar todo el tráfico es carísimo en cómputo: es la razón por la que un NGFW anuncia un throughput altísimo "de firewall" y uno mucho menor "con inspección de amenazas activada" —a veces una fracción—. Dimensionar el firewall por la cifra grande y activar luego la inspección es la receta para un equipo que se ahoga. Además, la inspección TLS trae fricciones reales: hay que desplegar certificados en los equipos, y ciertas aplicaciones usan certificate pinning y sencillamente se rompen al ser interceptadas, obligando a excepciones. La decisión es un trade-off explícito: ver dentro del cifrado a cambio de rendimiento y complejidad.
La idea que se queda
El firewall tradicional filtra por puerto; el NGFW entiende aplicaciones, usuarios y contenido. Pero su superpoder —ver dentro del tráfico— depende de la inspección TLS, que cuesta mucho cómputo y trae fricciones, y que hay que dimensionar con honestidad. Comprar un NGFW y no dimensionar la inspección es comprar medio firewall. Una pieza del perímetro moderno.