Inicialmente, los nicos medios de proporcionar proteccin de firewall eran las listas de control de acceso (ACL), incluyendo estndar,

extendidas, numeradas y nombradas.

Los firewalls de estados (stateful) usan tablas para seguir el estado en tiempo real de las sesiones end-to-end.
Las ACLs dinmicas fueron desarrolladas para abrir un agujero en el firewall para trfico aprobado por un perodo determinado de tiempo.

tipos de firewalls disponibles, incluyendo los firewalls de filtrado de paquetes, de estados, de gateway de aplicacin (proxy), de traduccin de direcciones, basados en hosts, transparentes e hbridos. Listas de Control de Acceso (ACL) se usan regularmente en las redes de computadoras y en la seguridad de las redes para mitigar ataques de red y controlar el trfico de red . Las ACLs estndar filtran los paquetes examinando el campo de direccin IP de origen en el encabezado IP de ese paquete. Estas ACLs son usadas para filtrar paquetes basndose exclusivamente en la informacin de origen de capa 3.

Las ACLs estndar permiten o deniegan el trfico basndose en la direccin de origen. ACLs extendidas Filtran los paquetes basndose en la informacin de origen y destino de las capas 3 y 4. La informacin de capa 4 puede incluir informacin de puertos TCP y UDP. Las ACLs extendidas otorgan mayor flexibilidad y control sobre el acceso a la red que las ACLs estndar. Filtrado de paquetes de ACL estndar: se limitan a filtrar los paquetes slo por direccin de origen. Puede necesitar crear una ACL extendida para implementar su poltica de seguridad plenamente.

Orden de las sentencias: Las ACLs tienen una poltica de primera coincidencia. Cuando hay una coincidencia con una sentencia, el proceso de verificacin de la lista se detiene. Por ejemplo, el bloqueo de todo el trfico UDP al principio de la lista niega la sentencia que permite los paquetes SNMP que usan UDP, que est ms abajo en la lista. Filtrado direccional: tienen un filtro direccional que determina si los paquetes de entrada (hacia la interfaz) o los paquetes de salida (desde la interfaz) sern examinados. El administrador siempre debe revisar dos veces la direccin de los datos que la ACL filtra. Modificacin de ACLs: Cuando un router compara un paquete con una ACL, las entradas de la ACL son examinadas desde arriba hacia abajo. Cuando el router encuentra una sentencia que coincide, el procesamiento de la ACL se detiene y se permite o deniega el paquete segn la entrada en la ACL. Cuando se agregan nuevas entradas a una ACL, siempre se agregan al final.

Paquetes especiales: Los paquetes generados por el router, como las actualizaciones de la tabla de enrutamiento, no estn sujetos a las sentencias ACL de salida en el router de origen. Si la poltica de seguridad solicita un filtrado de este tipo de paquetes, deber realizarlo una ACL de entrada en un router adyacente o un mecanismo diferente de filtrado en routers que usen ACLs. Uso de ACLs IP Estandar y Extendidas: Determinar si usar una ACL estndar o extendida depende del objeto general de toda la ACL. Por ejemplo, imagine una situacin en la que debe denegarse acceso de todo el trfico de una sola subred, 172.16.4.0, a otra subred, pero todo el trfico restante debe permitirse.

Topologa y Flujo de las Listas de Control de Acceso: El trfico de entrada es aqul que ingresa al router, antes de acceder a la tabla de enrutamiento. El trfico de salida es todo aqul que ingres al router y fue procesado por l para determinar a dnde deber reenviar los datos.

Ubicacin de ACLs extendidas- se ubican en los routers lo ms cerca del origen que se est filtrando como sea posible. Ubicar una ACL extendida demasiado lejos del origen resulta en un uso ineficiente de los recursos de red. Por ejemplo, los paquetes pueden ser enviados en una ruta larga slo para ser descartados o denegados.

Ubicacin de ACLs estndar- se ubican lo ms cerca del destino como sea posible. Las ACLs estndar filtran paquetes basndose slo en la direccin de origen, por lo tanto, ubicarlas demasiado cerca del origen puede afectar adversamente a los paquetes al denegar todo el trfico, incluyendo el vlido.

En una red moderna, el firewall de la red debe ubicarse entre el interior y el exterior de la red. La idea bsica es que se bloquee el acceso al trfico del exterior salvo que se lo permita explcitamente por medio de una ACL, o, si se trata de trfico de retorno, que el mismo se corresponda con trfico que se inici dentro de la red interna. Este es el rol fundamental de un firewall de red, ya sea un dispositivo de hardware dedicado o un router Cisco con un IOS firewall. La mayor limitacin de las ACLs estndar y extendidas es que fueron diseadas para filtrar conexiones unidireccionales en lugar de bidireccionales. Las ACLs estndar y extendidas no monitorean el estado de la conexin. Si alguien dentro de la red enva trfico a Internet, es difcil permitir el ingreso a la red del trfico de retorno de una manera segura sin abrir una gran brecha en el router de permetro.

Las ACLs reflexivas trabajan utilizando entradas de control de acceso (ACEs) temporales insertadas en una ACL extendida, que se aplica en la interfaz externa del router. Una ACL extendida nombrada examina el trfico a medida que ste sale de la red. La ACL puede ser aplicada como de entrada en una interfaz interna o de salida en una interfaz externa.

Las ACLs dinmicas slo pueden utilizadas para trfico IP. Dependen de conectividad Telnet, autenticacin (local o remota) y ACLs extendidas.

La configuracin de una ACL dinmica comienza con la aplicacin de una ACL extendida para bloquear el trfico en el router. Los usuarios que quieran atravesar el router sern bloqueados hasta que utilicen Telnet para conectarse al router y logren autenticarse. La conexin Telnet es entonces descartada y se agrega una ACL dinmica de una sola entrada a la ACL extendida existente. Esto permite trfico por un perodo de tiempo particular. El vencimiento puede ser tanto absoluto o por inactividad.

Una de las razones por las que pueden usarse ACLs dinmicas es para proporcionar a un usuario remoto especfico o un grupo de usuarios remotos acceso a un host dentro de la red. Otra razn puede ser cuando un subgrupo de hosts de una red local necesita acceder a un host en una red remota que est protegido con un firewall.

Beneficios de Seguridad sobre las ACLs estndar y extendidas

Mecanismo de desafo para autenticar usuarios individuales Administracin simplificada en grandes redes Procesamiento reducido para ACLs Menores oportunidades para los hackers de forzar una entrada a la red Creacin de acceso dinmico de usuarios a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas.

ACLs Basada en tiempo Las ACLs basadas en tiempo ofrecen al profesional de la seguridad mayor control sobre los permisos de acceso a los recursos. Tambin permiten controlar los mensajes de registro. Las entradas ACL pueden registrar el trfico en ciertos momentos del da, pero no constantemente. El administrador puede simplemente denegar el acceso sin analizar los varios registros generados durante las horas pico.

Tipos de Firewall
Firewall de filtrado de paquetes - Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos:
Direccin IP de origen Direccin IP de destino Protocolo Nmero de puerto de origen Nmero de puerto de destino Firewall con estados - Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red

Firewall gateway de aplicacin (proxy) - La mayora del control y filtrado del firewall se hace por software. Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicacin encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la maquina donde se ejecuta recibe el nombre de Gateway de Aplicacin.

Firewall de traduccin de direcciones - Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red.