Este artículo establece un marco de buenas prácticas técnicas para asegurar el correcto funcionamiento, desempeño y seguridad de los firewalls dentro de la infraestructura de TI de la organización.
Los objetivos principales son:
- Reducir riesgos operativos y de seguridad.
- Prevenir degradaciones de servicio por sobrecarga o mala configuración.
- Facilitar la operación diaria, el monitoreo y la resolución de incidentes.
- Servir como referencia técnica común para equipos de red, seguridad y operaciones.
- Promover una gestión controlada, auditable y alineada al negocio.
Aplica a todos los firewalls de la organización y/o cliente, sin excepción, independientemente de:
- Fabricante o modelo
- Tecnología
- Físico
- Virtual
- Cloud / FWaaS
- Ubicación lógica
- Perimetral
- Datacenter
- Segmentación interna
- Entornos híbridos o multicloud
La salud de un firewall no depende únicamente de su disponibilidad, sino de una combinación de factores técnicos y operativos.
Debe existir conocimiento claro y actualizado sobre:
- Qué protege el firewall.
- Qué tráfico procesa.
- Qué impacto tiene una falla o degradación.
Configuraciones simples:
- Reducen errores operativos.
- Facilitan troubleshooting.
- Mejoran desempeño y estabilidad.
El firewall debe:
- Mantener continuidad del servicio.
- Evitar convertirse en un punto único de falla.
Una correcta operación reduce:
- Superficie de ataque.
- Riesgos por configuraciones heredadas o reglas laxas.
Toda la operación debe ser:
- Controlada.
- Documentada.
- Auditada.
Para una operación saludable, es indispensable contar con:
Debe incluir como mínimo:
- Nombre lógico y ubicación.
- Rol (perimetral, segmentación, acceso remoto, etc.).
- Modelo, versión y licenciamiento.
- Entornos que protege (producción, QA, desarrollo).
- Diagramas de red actualizados.
- Flujos de tráfico críticos documentados.
- Dependencias con aplicaciones y servicios.
Cada firewall debe tener:
- Rol técnico claramente definido.
- Equipo responsable asignado.
- Envío de registros a una plataforma central (SIEM, syslog).
- Permite análisis, auditoría y correlación de eventos.
Monitorear al menos:
- Uso de CPU.
- Uso de memoria.
- Sesiones concurrentes.
- Estado de interfaces.
Todos los firewalls deben operar bajo una configuración base segura y estandarizada.
- Eliminación de reglas, objetos y políticas heredadas.
- Remoción de configuraciones no utilizadas.
- Reglas estrictamente necesarias.
- Accesos administrativos limitados por rol.
- Deshabilitar servicios no utilizados.
- Evitar protocolos inseguros o legacy.
- Uso exclusivo de métodos cifrados.
- Restricción de acceso administrativo por IP/red.
- Autenticación centralizada cuando sea posible.
- Separar tráfico de administración del tráfico de usuarios/aplicaciones.
La política de seguridad impacta directamente en seguridad, desempeño y estabilidad.
Buenas prácticas:
- Reglas específicas (evitar
any-any).
- Uso de objetos y grupos.
- Políticas basadas en aplicación o servicio cuando aplique.
- Comentarios obligatorios:
- Propósito
- Sistema o aplicación
- Responsable
- Identificación periódica de reglas sin tráfico.
- Deshabilitación controlada antes de eliminar.
- Validación con responsables de negocio.
- Uso de reglas temporales con fecha de expiración.
- Reglas ordenadas por:
- Especificidad
- Frecuencia de uso
- Identificación de reglas shadowed.
- Separación lógica por:
- Zonas
- Aplicaciones
- Entornos
- Convenciones de nombres consistentes.
Todo cambio debe:
- Seguir un proceso formal.
- Incluir justificación y aprobación.
- Registrar:
- Solicitante
- Aprobador
- Fecha
- Considerar pruebas post-cambio.
- Tener plan de reversión documentado.
El monitoreo debe ser continuo y proactivo, no reacti