Es tan importante saber seleccionar y definir las políticas de seguridad adecuadas, como saber dónde ubicar el firewall, ya que si su emplazamiento no es correcto, puede que no sirva para nada. A continuación, vamos a ver los escenarios más habituales de aplicación.
Dual-Homed Host
La arquitectura Dual-Homed Host se refiere a un equipo que funciona como punto de unión entre dos redes. Su función es analizar, filtrar y, en caso de que sea permitido, reenviar el tráfico entre ambas partes. Su funcionamiento es el siguiente: Si una máquina de la red interna quiere acceder a una página Web, le pedirá la página al firewall, este comprobará si el tipo de conexión está permitida y en caso de que no lo esté, realizará la petición real. Una vez obtenida la respuesta, se la reenviará al cliente. Este modo de trabajo también es conocido como proxy.
Screened Host
En esta arquitectura, el firewall sigue actuando como proxy pero con una sola interfaz de red. Este se encuentra conectado a la red como una maquina más y, por tanto, no es obligatorio que el tráfico pase por él en todo momento. Para que el firewall pueda hacer su labor, los equipos deben tener configurada su dirección IP como puerta de enlace. De esta forma, todo el tráfico destinado a las redes externas pasará a través de él, siempre que las políticas de seguridad lo permitan. Este escenario es extremadamente inseguro, pues cualquier usuario, cambiando su puerta de enlace, puede evitar que el firewall actúe como intermediario y por tanto controle las conexiones. En algunos casos se implementa esta arquitectura para evitar problemas con soluciones VPN, pues algunas no se llevan demasiado bien con los proxy.
Screened Subnet
Esta es la arquitectura más común hoy en día ya que establece niveles de seguridad diferenciados para cada subred.
Se trata de crear diferentes niveles separando cada red por cortafuegos independientes a modo de perímetros de seguridad. Los servicios más críticos estarán ubicados en el perímetro más interno, de forma que para llegar a ellos, deberán vulnerar todos los anteriores.
En este caso tenemos dos perímetros de seguridad. El primer firewall, normalmente conocidos como bastión, permite la entrada a los servicios que se encuentran en la zona desmilitarizada. Por zona desmilitarizada (DMZ) se entiende la parte de la red más expuesta, en la que conviven los servicios que necesitan estar accesibles desde internet.
Que una máquina se encuentre en la DMZ no quiere decir que no importe y que esta dejada de la mano de dios, dado que estas se protegen a nivel local utilizando firewall personales.
El segundo firewall, o firewall de contención, tiene un nivel de seguridad más restrictivo, ya que protege a la red de área local donde se encuentran el resto de servicios y equipos de usuarios. Esta zona recibe el nombre de perímetro interno.
Otro modo de implementar esta solución es utilizando cortafuegos capaces de gestionar tres o más interfaces.
En este escenario implementamos tres niveles o perímetros de seguridad. El primero para la zona desmilitarizada, el segundo para la parte de la red inalámbrica y el tercero para la red interna.
Estos tipos de firewall permiten definir políticas de seguridad y de acceso desde una interfaz a cualquiera de las otras. Es un poco más complejo de configurar y de mantener, pero es la solución más elegante puesto que ahorra espacio y consumo electrónico.
Entorno de alta disponibilidad
Para asegurar la accesibilidad de los servicio no sirve de nada tener líneas de respaldo (líneas de backup), routers redundantes, sistemas de alimentación ininterrumpida (SAI), etc., si no tenemos al menos un cortafuegos redundante que nos mantenga y proteja los servicios disponibles en caso de fallo del firewall principal.
En el caso de la familia ASA de Cisco Systems, es una característica que se adquiere por separado y consta de un puerto específico para este propósito, llamado puerto de failover. Este puerto se utiliza únicamente por los firewall y por él circula la información del estado de cada uno de ellos. Cada cierto tiempo el secundario pregunta al primario por su estado y si este no responde, el secundario activa las reglas configuraciones en el primario y asume el control de todo el tráfico a partir de ese mismo instante.