IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

NGFW vs firewall tradicional (y el verdadero costo de la inspección TLS)

14/07/2026 3 min de lectura Rubén Espinoza

La sigla "NGFW" —firewall de nueva generación— lleva ya años siendo "nueva", y bajo el marketing hay una diferencia real y concreta con el firewall tradicional. Entenderla, junto con su asterisco más importante —la inspección del tráfico cifrado y su costo—, es clave para no comprar de más ni esperar de menos.

El firewall tradicional: puertos y direcciones

Un firewall tradicional decide qué pasa mirando las capas 3 y 4: direcciones IP, puertos y protocolo. "Permite el puerto 443 hacia este servidor, bloquea el resto." Es stateful —recuerda las conexiones en curso para dejar volver sus respuestas—, y hace bien su trabajo básico. Pero tiene un punto ciego enorme: no sabe qué va dentro. Para él, todo lo que viaja por el puerto 443 es "web", sin distinguir si es tu ERP, una videollamada, una descarga de malware o alguien filtrando datos.

El NGFW: conciencia de aplicación y de usuario

El firewall de nueva generación añade la capa 7, la de las aplicaciones. Ahora sí distingue qué viaja por ese puerto 443: puede permitir Salesforce pero bloquear un juego, o dejar navegar pero impedir subir archivos a un almacenamiento personal. Suma además identidad de usuario (integrándose con el directorio, las reglas pueden decir "el equipo de finanzas puede X, el resto no"), un IPS integrado, filtrado web por categorías y control de aplicaciones. Pasa de "¿qué puerto?" a "¿qué aplicación, qué usuario, qué contenido?".

Diagrama NGFW e inspeccion TLS: firewall tradicional por puerto, NGFW por aplicacion, y la inspeccion TLS que descifra e inspecciona

El NGFW añade la capa de aplicación; para ver dentro del cifrado hace inspección TLS (descifra, inspecciona, re-cifra), con su costo de CPU y fricciones.

El gran asterisco: la inspección TLS

Aquí está el detalle que decide si un NGFW cumple su promesa. Hoy casi todo el tráfico va cifrado (HTTPS, TLS). Y un firewall —por más "next-gen" que sea— no puede ver dentro de lo que está cifrado. Para inspeccionar ese tráfico tiene que hacer inspección TLS (también llamada SSL inspection o deep inspection): se coloca como un "intermediario autorizado" que descifra el tráfico, lo inspecciona, y lo vuelve a cifrar antes de reenviarlo. Sin esto, buena parte de la conciencia de aplicación y el IPS trabajan a ciegas sobre el grueso del tráfico moderno.

Por qué la inspección TLS no es gratis

Y aquí la honestidad que las hojas de datos esconden en la letra chica. Descifrar y volver a cifrar todo el tráfico es carísimo en cómputo: es la razón por la que un NGFW anuncia un throughput altísimo "de firewall" y uno mucho menor "con inspección de amenazas activada" —a veces una fracción—. Dimensionar el firewall por la cifra grande y activar luego la inspección es la receta para un equipo que se ahoga. Además, la inspección TLS trae fricciones reales: hay que desplegar certificados en los equipos, y ciertas aplicaciones usan certificate pinning y sencillamente se rompen al ser interceptadas, obligando a excepciones. La decisión es un trade-off explícito: ver dentro del cifrado a cambio de rendimiento y complejidad.

La idea que se queda

El firewall tradicional filtra por puerto; el NGFW entiende aplicaciones, usuarios y contenido. Pero su superpoder —ver dentro del tráfico— depende de la inspección TLS, que cuesta mucho cómputo y trae fricciones, y que hay que dimensionar con honestidad. Comprar un NGFW y no dimensionar la inspección es comprar medio firewall. Una pieza del perímetro moderno.

#ngfw #firewall #inspección tls #ssl inspection #capa 7 #fortinet

Preguntas frecuentes

¿Qué es la inspección TLS (o SSL) en un firewall?

Como hoy casi todo el tráfico va cifrado con HTTPS/TLS, un firewall no puede ver dentro de él sin descifrarlo. La inspección TLS coloca al firewall como un intermediario autorizado que descifra el tráfico, lo inspecciona (con el IPS, el control de aplicaciones, el antivirus) y lo vuelve a cifrar antes de reenviarlo. Sin ella, buena parte de la conciencia de aplicación y del IPS trabajan a ciegas sobre el grueso del tráfico moderno.

¿Por qué mi NGFW rinde mucho menos con la inspección de amenazas activada?

Porque descifrar y volver a cifrar todo el tráfico es carísimo en cómputo. Por eso las hojas de datos anuncian un throughput altísimo "de firewall" y uno mucho menor "con inspección de amenazas", a veces una fracción. Si dimensionas el equipo por la cifra grande y luego activas la inspección, el firewall se ahoga. Hay que dimensionar por el rendimiento real con las funciones que vas a usar activadas.

¿La inspección TLS tiene inconvenientes además del rendimiento?

Sí. Requiere desplegar certificados en los equipos para que confíen en el firewall como intermediario, lo que añade gestión. Y ciertas aplicaciones usan certificate pinning, una técnica que hace que se rompan al ser interceptadas, obligando a crear excepciones para ellas. Es un trade-off explícito: ganas visibilidad dentro del tráfico cifrado a cambio de rendimiento y complejidad operativa.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Qué logra (y qué no) el IPS de un firewall
Reglas de firewall que envejecen mal: cómo auditar un policy set
VPN de acceso remoto vs ZTNA: acceso a la red vs a la aplicación