UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS

INFORME: MERCADO DE FIREWALL

GRUPO 5:
DOCENTE: Ing. Carlos Trigo Pérez
CURSO: Seguridad Informática
INTEGRANTES:
- Collantes Rosales, Abel
- Cornejo Cari, Irvin
- Álvaro Proleon, Raúl
- Guillen Huarcaya, Diego

2017-II
Mercado de los firewalls
En el presente informe daremos un vistazo a las soluciones de firewall que se encuentran en el
mercado actualmente. Este estará dividido por las empresas más reconocidas en el área,
mostrando así por cada una sus productos más representativos junto con sus características.

1. Check Point Software Technologies Ltd.

Es un proveedor global de soluciones de seguridad de TI. Conocido por sus productos de firewall
y VPN, Check Point fue pionero en la industria con FireWall-1 por incorporar una tecnología
patentada de inspección de estado. Con el tiempo, la compañía ha desarrollado, comercializado
y soportado una amplia gama de software y hardware combinados y productos de software que
cubren todo tipo de aspectos de seguridad de IT, incluyendo seguridad de red, seguridad
endpoint, seguridad de datos y gestión de seguridad.

Check Point ofrece a los clientes de todos los tamaños la última protección de seguridad de datos
y redes en una plataforma integrada de firewall de última generación, reduciendo la complejidad
y reduciendo el costo total de propiedad.

a) 23000 Security Appliances - Centros de datos y grandes empresas

Soluciones de seguridad integrales
Check Point 23000 Appliances ofrece una solución de seguridad
completa y consolidada disponible en dos paquetes completos:

Prevención de amenazas de próxima generación (NGTP): evite las

amenazas cibernéticas sofisticadas con IPS, Control de aplicaciones, Antivirus, Anti-Bot, Filtrado
de URL y Seguridad de correo electrónico
Extracción de amenazas de próxima generación (NGTX): prevención avanzada de amenazas de
día cero de próxima generación, NGTP con emulación de amenazas y extracción de amenazas

Evitar amenazas desconocidas y de día cero

Los 23000 dispositivos protegen a las organizaciones de amenazas tanto conocidas como
desconocidas con antivirus, Anti-Bot, SandBlast Threat Emulation (sandboxing) y SandBlast
Threat Extraction.

Como parte de la solución Check Point SandBlast Zero-Day Protection, el motor de Emulación
de amenazas basado en la nube detecta malware en la fase de explotación, incluso antes de que
los hackers puedan aplicar técnicas de evasión que intenten evitar la caja de seguridad. Los
archivos se ponen en cuarentena y se inspeccionan rápidamente, ejecutándose en una zona de
seguridad virtual para detectar comportamientos maliciosos antes de que entre en la red. Esta
solución innovadora combina la inspección a nivel de la CPU basada en la nube y el nivel de
seguridad en el entorno del sistema operativo para prevenir la infección de las explotaciones
más peligrosas y los ataques de día cero y de destino.

Además, SandBlast Threat Extraction elimina el contenido explotable, incluyendo el contenido

activo y los objetos incrustados, reconstruye los archivos para eliminar posibles amenazas y
entrega rápidamente contenido sanificado a los usuarios para mantener el flujo de negocios.

Paquete inclusivo de alto rendimiento

Los clientes con altos requisitos de capacidad de conexión pueden adquirir el paquete asequible
y de alto rendimiento. Esto incluye el dispositivo, además de dos tarjetas de interfaz SFP +
4x10Gb, transceptores y 64 GB de memoria para una alta capacidad de conexión.

Una plataforma confiable y de servicio

El dispositivo Check Point 23000 ofrece continuidad y facilidad de servicio a través de funciones
tales como fuentes de alimentación redundantes intercambiables en caliente, unidades de disco
redundantes intercambiables en caliente (RAID), ventiladores redundantes y una tarjeta LOM
avanzada para gestión fuera de banda. Combinadas entre sí, estas características garantizan un
mayor grado de continuidad del negocio y facilidad de servicio cuando estos dispositivos se
despliegan en las redes del cliente

Gestión y supervisión remota

Una tarjeta Lights-Out-Management (LOM) proporciona administración remota fuera de banda
para diagnosticar remotamente, iniciar, reiniciar y administrar el dispositivo desde una
ubicación remota. Los administradores también pueden usar la interfaz web de LOM para
instalar de forma remota una imagen de SO desde un archivo ISO.

Conectividad de 25, 40 y 100 GbE

Las conexiones de alta velocidad son esenciales en los modernos entornos de centros de datos,
especialmente aquellos con servidores virtualizados de alta densidad. Si está listo para pasar de
10 a 25, 40 o 100 GbE, también lo son los 23000 electrodomésticos. Los dispositivos Check Point
23000 le permiten conectar sus enlaces ascendentes de servidor de 10 GbE a su red principal
con tarjetas de E / S 40 y 100/25 GbE.

b) 15000 Security Appliances – Empresas

Check Point 15000 Appliances ofrece una solución de seguridad
completa y consolidada disponible en dos paquetes completos:

Prevención de amenazas de próxima generación (NGTP): evite las

amenazas cibernéticas sofisticadas con IPS, Control de aplicaciones, Antivirus, Anti-Bot, Filtrado
de URL y Seguridad de correo electrónico
Extracción de amenazas de próxima generación (NGTX): prevención avanzada de amenazas de
día cero de próxima generación, NGTP con emulación de amenazas y extracción de amenazas

Evitar amenazas desconocidas

Los dispositivos 15000 protegen a las organizaciones de amenazas conocidas y desconocidas con
antivirus, Anti-Bot, SandBlast Threat Emulation (sandbox) y tecnologías SandBlast Threat
Extraction.

Como parte de la solución Check Point SandBlast Zero-Day Protection, el motor de Emulación
de amenazas basado en la nube detecta malware en la fase de explotación, incluso antes de que
los hackers puedan aplicar técnicas de evasión que intenten evitar la caja de seguridad. Los
archivos se ponen en cuarentena y se inspeccionan rápidamente, ejecutándose en una zona de
seguridad virtual para detectar comportamientos maliciosos antes de que entre en la red. Esta
solución innovadora combina la inspección a nivel de la CPU basada en la nube y el nivel de
seguridad en el entorno del sistema operativo para prevenir la infección de las explotaciones
más peligrosas y los ataques de día cero y de destino.
Además, SandBlast Threat Extraction elimina el contenido explotable, incluyendo el contenido
activo y los objetos incrustados, reconstruye los archivos para eliminar posibles amenazas y
entrega rápidamente contenido sanificado a los usuarios para mantener el flujo de negocios.

Paquete inclusivo de alto rendimiento

Los clientes con requisitos de alta capacidad de conexión pueden adquirir el paquete asequible
de alto rendimiento. Esto incluye el dispositivo más una tarjeta de interfaz 4x 10Gb SFP +,
transceptores y memoria adicional para una alta capacidad de conexión.

Una plataforma fiable y de servicio

El dispositivo Check Point 15000 ofrece continuidad y facilidad de servicio a través de funciones
tales como fuentes de alimentación redundantes intercambiables en caliente, unidades de disco
redundantes intercambiables en caliente (RAID), ventiladores redundantes y una tarjeta LOM
avanzada para gestión fuera de banda. Combinadas entre sí, estas características garantizan un
mayor grado de continuidad del negocio y facilidad de servicio cuando estos dispositivos se
despliegan en las redes del cliente.

Gestión y supervisión remota

Una tarjeta Lights-Out-Management (LOM) proporciona administración remota fuera de banda
para diagnosticar remotamente, iniciar, reiniciar y administrar el dispositivo desde una
ubicación remota. Los administradores también pueden usar la interfaz web de LOM para
instalar de forma remota una imagen de SO desde un archivo ISO.

Conectividad de 25, 40 y 100 GbE

Las conexiones de alta velocidad son esenciales en los modernos entornos de centros de datos,
especialmente aquellos con servidores virtualizados de alta densidad. Si está listo para pasar de
10 a 25, 40 o 100 GbE, también lo son los 15000 electrodomésticos. Los dispositivos Check Point
15000 le permiten conectar sus enlaces ascendentes de servidor de 10 GbE a su red principal
con tarjetas de E / S de 40 y 100/25 GbE.

c) 700 Security Appliances – Pequeñas empresas

Protección avanzada contra cortafuegos y amenazas
Las pequeñas empresas enfrentan los mismos ataques de Internet
que las grandes empresas. El dispositivo de la serie Check Point 700
cuenta con las tecnologías de seguridad de cortafuegos, antivirus,
IPS y prevención de amenazas de última generación de la industria,
que ofrecen protección contra ataques cibernéticos. Proteja a su
empresa de las amenazas de hoy en día con la seguridad Check Point que se adapta a la pequeña
empresa.

Conjunto de protección integral

Los aparatos de la serie Check Point 700 proporcionan protecciones integrales para cualquier
entorno de oficina pequeña:
 Firewall de la siguiente generación
 Control de aplicaciones
 VPN
 Filtrado de URL
 IPS
 Antivirus
 Anti-Bot
 Anti-Spam
 Emulación de amenazas SandBlast (sandboxing)

Potente hardware
Disponibles en dos aparatos, el 730/750 y el 770/790, estos aparatos vienen de serie con ocho
(8) o dieciocho (18) puertos Ethernet de 1 Gigabit, respectivamente. Conéctese de forma segura
desde cualquier dispositivo directamente oa través de una conexión Wi-Fi autenticada y segura.
El Wi-Fi puede ser particionado, separando el acceso del huésped del empleado.

 Rendimiento de prevención de amenazas de hasta 200 Mbps (730/750) o 330 Mbps

(770/790)
 Opción inalámbrica 802.11ac disponible con cada modelo
 Múltiples opciones de acceso a Internet incluyendo el módem 3G / 4G / LTE

Configuración y administración fáciles de usar

Los aparatos de la serie Check Point 700 son fáciles de administrar para pequeñas empresas con
personal de TI limitado y se pueden configurar y desplegar en cuestión de minutos.

 Configurable en cuestión de minutos y requiere mínimo conocimiento de seguridad de TI

 Simple interfaz de administración local basada en web
 Informes potentes y automatizados y registros fáciles de entender

d) Zone Alarm Pro Firewall 2017 – Hogar

Firewall avanzado
Monitorea programas de comportamiento sospechoso detectando y deteniendo nuevos
ataques que eluden la protección antivirus tradicional.

Firewall de dos vías

Hace que su PC sea invisible para los hackers y evite que el spyware envíe sus datos a Internet.

Protección de Identidad
Ayuda a prevenir el robo de identidad guardando sus datos personales.

Copia de seguridad en línea

Hace una copia de seguridad de los archivos y restaura sus datos en caso de mal funcionamiento
del hardware.

Comentario
Mejor gestión central, grandes herramientas de solución de problemas con sólo unos pocos
inconvenientes (SecureXL), fácil de gestionar IPS con granularidad baja.

La capacidad de instalar el software en la parte superior de múltiples plataformas es atractiva

para muchas personas, pero se compromete un poco de rendimiento en comparación con los
aparatos dedicados verdad.
El VPN es generalmente simple a la disposición, pero al apartarse de los estándares
(supernetting) hace complicado conseguir el funcionamiento de “tunnels”.

El soporte es pobre en comparación con los otros proveedores. Las mejoras pueden ser difíciles,
dependiendo del camino que se desee escoger.

El Clustering tiene algunas opciones muy buenas, por lo que es bueno para la empresa. Los
aparatos de la rama más nuevos se encuentran muy por delante de los firewalls antiguos, pero
aún no brinda control completo. Se recomienda alejarse de muchas de las características de la
capa 7, ya que son donde la mayoría de los errores de tráfico de impacto provienen.

2. Cisco Systems
Es una empresa global con sede en San José,1 California, Estados Unidos, principalmente
dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de
telecomunicaciones.
 Dispositivos de conexión para redes informáticas: routers (enrutadores, encaminadores o
ruteadores), switches (conmutadores) y hubs (concentradores).
 Dispositivos de seguridad como cortafuegos y concentradores para VPN.
 Productos de telefonía IP como teléfonos y el CallManager (una PBX IP).
 Software de gestión de red como CiscoWorks.
 Equipos para redes de área de almacenamiento.

a) Cisco ASA with FirePOWER Services

Protección Superior Multicapa
Cisco ASA con FirePOWER Services brinda servicios de
seguridad de próxima generación, especialmente
orientados a amenazas, a los firewalls de próxima
generación Cisco ASA 5500-X y productos de firewall
Cisco ASA 5585-X Adaptive Security Appliance.
Proporciona una protección completa contra las
amenazas conocidas y avanzadas, incluida la protección
contra ataques maliciosos específicos y persistentes.
Cisco ASA es el cortafuegos con estado más ampliamente implementado del mundo. Cisco ASA
con FirePOWER Services cuenta con estas capacidades integrales:

 El acceso VPN de sitio a sitio y remoto y el agrupamiento avanzado proporcionan acceso

altamente seguro y de alto rendimiento y alta disponibilidad para garantizar la continuidad
del negocio.
 Visibilidad y control de aplicaciones granulares (AVC) soporta más de 4.000 controles
basados en la capa de aplicación y basados en el riesgo que pueden implementar políticas
personalizadas de detección de amenazas del sistema de prevención de intrusiones (IPS)
para optimizar la eficacia de la seguridad.
 El Cisco ASA con FirePOWER de próxima generación (NGIPS) proporciona una prevención
de amenazas altamente efectiva y una plena conciencia contextual de los usuarios, la
infraestructura, las aplicaciones y el contenido para detectar amenazas multivectoras y
automatizar la respuesta de la defensa.
 El filtrado de URL basado en la reputación y la categoría ofrece alertas completas y control
sobre el tráfico web sospechoso y aplica políticas en cientos de millones de URL en más de
80 categorías.
 AMP proporciona una eficacia de detección de brechas líder en la industria, sandboxing, un
bajo coste total de propiedad y un valor de protección superior que le ayuda a descubrir,
comprender y detener el malware y las amenazas emergentes que se pierden en otras
capas de seguridad.

Visibilidad de red sin precedentes

Cisco ASA con FirePOWER Services es gestionado de forma centralizada por el Centro de Gestión
de Firepower de Cisco (antes conocido como Cisco FireSIGHT Management Center), que
proporciona a los equipos de seguridad una visibilidad y un control exhaustivos de la actividad
dentro de la red. Esta visibilidad incluye usuarios, dispositivos, comunicación entre máquinas
virtuales, vulnerabilidades, amenazas, aplicaciones del lado del cliente, archivos y sitios web. Las
indicaciones de compromiso (IoCs) lineales e interactivas correlacionan información detallada
de eventos de red y de punto final y proporcionan mayor visibilidad de las infecciones de
malware. Las herramientas de administración de clase empresarial de Cisco ayudan a los
administradores a reducir la complejidad con visibilidad y control sin igual en las
implementaciones NGFW. Cisco Firepower Management Center también proporciona
conocimiento sobre el contenido con una trayectoria de archivo de malware que ayuda a
determinar el alcance de la infección y la determinación de la causa raíz para acelerar el tiempo
de remediación.

Cisco Security Manager proporciona una gestión de flujo de trabajo de operaciones de red
escalable y centralizada. Integra un potente conjunto de capacidades; Incluyendo
administración de políticas y objetos, administración de eventos, informes y solución de
problemas para las funciones de firewall de Cisco ASA cuando se utiliza Cisco Firepower
Management Center.

Para la administración local de dispositivos, incluidos despliegues para pequeñas y medianas

empresas, el Administrador de Dispositivos de Seguridad Adaptativa de Cisco (ASDM) 7.3.x
proporciona, control de acceso y administración avanzada de defensa contra amenazas. ASDM
V 7.3.x proporciona una interfaz de usuario mejorada que proporciona vistas rápidas sobre las
tendencias y la capacidad de profundizar para un análisis posterior.

Costos y complejidad reducidos

Cisco ASA con FirePOWER Services incorpora un enfoque integrado para la defensa contra
amenazas, reduciendo los costos de capital y operación y la complejidad administrativa. Se
integra sin problemas con el entorno de TI existente, el flujo de trabajo y el tejido de red. La
familia de dispositivos es altamente escalable, funciona a velocidades de hasta multigigabit y
proporciona una seguridad consistente y robusta a través de sucursales, bordes de Internet y
centros de datos en entornos físicos y virtuales.

Con Cisco Firepower Management Center, los administradores pueden agilizar las operaciones
para correlacionar amenazas, evaluar su impacto, ajustar automáticamente la política de
seguridad y atribuir fácilmente las identidades de los usuarios a eventos de seguridad. Cisco
Firepower Management Center supervisa continuamente cómo la red está cambiando con el
tiempo. Las nuevas amenazas se evalúan automáticamente para determinar cuáles pueden
afectar su negocio. Las respuestas se centran entonces en la remediación y las defensas de la
red se adaptan a las condiciones de amenaza cambiantes. Las actividades críticas de seguridad,
como el ajuste de políticas, se automatizan, ahorrando tiempo y esfuerzo, mientras que las
protecciones y contramedidas se mantienen en un estado óptimo.

Cisco Firepower Management Center se integra fácilmente con soluciones de seguridad de

terceros a través de la API de eStreamer para agilizar los flujos de trabajo de operación y adaptar
los tejidos de red existentes.

b) Cisco Firepower serie 4100

Soporte de imagen de la plataforma
Cisco Firepower NGFW incluye Visibilidad y control de
aplicaciones (AVC), IPS opcional de próxima generación
(NGIPS), Protección antivirus avanzada (AMP) Cisco® para
redes y Filtrado de URL. Los dispositivos Cisco Firepower
serie 2100, 4100 y 9300 utilizan la imagen del software Cisco
Firepower Threat Defense. Como alternativa, los
dispositivos Cisco Firepower 4100 Series y 9300 pueden
admitir la imagen del software de Cisco Adaptive Security
Appliance (ASA).

Opciones de gestión
Cisco Firepower NGFWs puede administrarse de diversas maneras dependiendo de su forma de
trabajar, su entorno y sus necesidades.

Cisco Firepower Management Center (anteriormente FireSIGHT) proporciona una gestión

centralizada de Cisco Firepower NGFW, Cisco Firepower NGIPS y Cisco AMP for Networks.
También proporciona correlación de amenazas para sensores de red y Protección avanzada
contra malware (AMP) para puntos finales.

Cisco Adaptive Security Device Manager está disponible para la administración local de los
dispositivos Cisco Firepower 4100, Cisco Firepower 9300 y Cisco ASA 5500-X que ejecutan la
imagen del software ASA.

La gestión basada en la nube de Cisco Defense Orchestrator también está disponible para la
gestión coherente de políticas en dispositivos de seguridad de Cisco que ejecutan la imagen del
software ASA, lo que permite una mayor eficiencia de gestión para la empresa distribuida.

Mitigación DDoS de Firepower

También está disponible en los dispositivos Cisco Firepower 4100 Series y 9300 una mitigación
de DDoS globalmente integral y comprensiva para la protección de la infraestructura de la red y
de la aplicación. Esta mitigación de DDoS es Defensive DefensePro (vDP) de Radware. Está
disponible y soportado directamente por Cisco.

La Cisco Firepower 4100 Series es una familia de cuatro plataformas de seguridad NGFW
enfocadas en amenazas. Su rendimiento oscila entre 35 y 75 Gbps, dirigiéndose a los casos de
uso del centro de datos. Proporcionan una defensa de amenaza superior, a velocidades más
rápidas, con una huella más pequeña.
Comentario
Plataforma muy estable y popular. Las herramientas de solución de problemas son pobres en
comparación con algunos de los otros proveedores. ASDM proporciona una GUI fácil de usar.

La VPN básica es fácil de configurar, pero es complicado obtener granularidad en la diferencia

entre los parámetros IPSec y la política de seguridad. Clustering (A / A Failover y A / P Failover)
es único en la forma en que maneja las direcciones IP.

El apoyo es decente si se posee un problema de tráfico; si es de otro tema es más complicado.

Las actualizaciones suelen ser de bajo riesgo y fáciles de revertir. El software y la configuración
de ASA son consistentes en firewalls de gama alta.

Cisco parece obligar a sus protocolos o configuraciones de propiedad sobre la interoperabilidad.

Si tiene una tienda de Cisco y todos sus socios también, Cisco probablemente será su plataforma
favorita.

3. Juniper Networks
Es una corporación multinacional estadounidense con sede en Sunnyvale, California, que
desarrolla y comercializa productos de redes. Sus productos incluyen routers, conmutadores,
software de gestión de red, productos de seguridad de red y tecnología de red definida por
software.

a) SRX1500 Services Gateway

Requisito de
Característica / Solución SRX1500 Ventajas
negocio
 Se adapta mejor a los despliegues del
Alto Hasta 9 Gbps de centro empresarial y del centro de datos
rendimiento rendimiento de firewall  Aborda las necesidades futuras de
capacidad de escala y características
 Detecta 3.500 + Capa 3-7 aplicaciones,
incluyendo Web 2.0
Experiencia de
Visibilidad y control de la  Controla y prioriza el tráfico basado en el
usuario final de
aplicación rol de aplicación y uso
alta calidad
Inspecciona y detecta aplicaciones dentro
del tráfico cifrado SSL
 Proporciona actualizaciones en tiempo real
a las firmas IPS y protege contra
Sistema de prevención
explotaciones
de intrusiones (IPS),
Protección Implementa el antivirus y el filtrado de URL
antivirus, antispam,
contra líderes del sector
Spotlight Secure, Sky
amenazas  Ofrece una plataforma abierta de
Advanced Threat
inteligencia de amenazas que se integra
Prevention
con los feeds de terceros
 Protege contra ataques de día cero
Servicios de Enrutamiento,  Soporta routing avanzado de clase
redes conmutación y cable portadora, calidad de servicio (QoS) y
profesionales seguro servicios
  Ofrece modos de implementación flexibles
(L1 / L2 / L3)

 Proporciona VPN IPsec de alto rendimiento

con motor de criptografía dedicado
Simplifica despliegues VPN grandes con
Muy seguro IPsec VPN, inicio seguro
VPN y VPN de grupo
 Verifica los binarios que se ejecutan en el
hardware con inicio seguro
 Proporciona configuración de estado y
sincronización de sesión
Soporta escenarios de implementación
Clúster del chasis, fuente
activos / activos y activos / de copia de
Alta fiabilidad de alimentación
seguridad
redundante
 Ofrece hardware de alta disponibilidad con
doble fuente de alimentación,
almacenamiento dual
 Permite la administración centralizada para
el aprovisionamiento automático, la
administración de directivas de firewall, la
Fácil de
On-box GUI, Director de traducción de direcciones de red (NAT) y
manejar y
seguridad las implementaciones VPN de IPsec
escalar
 Incluye una interfaz gráfica de usuario
sencilla y fácil de usar para administración
local
 Integra enrutamiento, conmutación y
seguridad en un solo dispositivo
Menor TCO Junos OS
 Reduce OpEx con las capacidades de
automatización de Junos OS

Comentario
El SRX es una plataforma estable y una gran capa 3-4 y firewall VPN. Las características de la
capa 7 funcionan bien, sin embargo, otros proveedores las implementan mejor. La configuración
del VPN es muy granular, y Junos es el mejor en cumplir con los estándares abiertos, lo que lo
convierte en una buena opción para la interoperabilidad. Para el enrutamiento avanzado, SRX
es el ganador.

El soporte es variable en el primer nivel y normalmente es bueno al subir de niveles. Las mejoras
pueden tener algunas molestias, pero son aún más fáciles que Check Point. Los dispositivos de
gama alta requieren mayor nivel de configuración para obtener la información que necesita.

4. Palo Alto
Palo Alto Networks, Inc. es una empresa de seguridad de redes y empresas con sede en Santa
Clara, California. Los principales productos de la compañía son una plataforma que incluye
firewalls avanzados diseñados para proporcionar seguridad de red, visibilidad y control granular
de la actividad de red basada en la aplicación, el usuario y la identificación de contenido y ofertas
basadas en la nube que amplían esos cortafuegos para cubrir otros aspectos de seguridad.

a) PA-7000 Series
Clasifica todas las aplicaciones, en todos los puertos, todo el tiempo
 Identifica la aplicación, independientemente del puerto,
cifrado (SSL o SSH) o técnica evasiva empleada.
 Utiliza la aplicación, no el puerto, como base para todas sus
decisiones de política de habilitación segura: permitir,
denegar, programar, inspeccionar y aplicar la configuración
del tráfico.
 Categoriza aplicaciones no identificadas para el control de
políticas, amenazas forenses o desarrollo de App-ID ™.

Hace cumplir las políticas de seguridad para cualquier usuario, en cualquier ubicación
 Implementa políticas coherentes para usuarios locales y remotos que se ejecutan en las
plataformas Windows®, MacOS ™, Linux®, Android® o Apple® iOS.
 Permite la integración sin agentes con Microsoft® Active Directory® y Servicios de Terminal
Server, LDAP, Novell® eDirectory ™ y Citrix®.
 Integra fácilmente sus políticas de firewall con 802.1X wireless, proxies, soluciones NAC y
cualquier otra fuente de información de identidad del usuario.

Evita las amenazas conocidas y desconocidas

 Bloquea una serie de amenazas conocidas, incluyendo vulnerabilidades, malware y spyware,
a través de todos los puertos, independientemente de las tácticas comunes de evasión de
amenazas empleadas.
 Limita la transferencia no autorizada de archivos y datos confidenciales, y permite de forma
segura la navegación web no relacionada con el trabajo.
 Identifica malware desconocido, lo analiza basado en cientos de comportamientos
maliciosos y, a continuación, crea y proporciona automáticamente protección.

Comentario
Si necesita características de capa 7 en la empresa, definitivamente se debe buscar Palo Alto.
Palo Alto tiene algunas de las mejores implementaciones para características como filtrado de
URL e identidad de usuario si las necesita en un firewall de alta gama.

La cantidad de energía necesitada es mucho mayor a los otros firewalls. La administración

central de Palo Alto es una interfaz web directa. Es bueno para compartir objetos y políticas, así
como piezas de configuración. No es tan fácil de usar como Check Point.

El soporte es muy impredecible con tiempos de respuesta más lentos. Las actualizaciones son
más fáciles que Check Point pero no tan fáciles como Cisco. La configuración VPN es granular,
similar a Junos. El Clustering es más fácil que Cisco, pero aun así no supera a otros porveedores.
Los puntos bajos principales están en las limitaciones (siempre esperando en la próxima versión
para algo que se necesita), capacidad y estabilidad.
5. FortiGate
Fortinet es una empresa multinacional de Estados Unidos con sede en Sunnyvale, California. Se
dedica al desarrollo y la comercialización de software, dispositivos y servicios de ciberseguridad,
como firewalls, antivirus, prevención de intrusiones y seguridad en dispositivos de usuario, entre
otros. Es la cuarta compañía de seguridad de redes más (grandes) por volumen de ingresos.

a) FortiGate 7060E
 Ofrece la seguridad más avanzada con el mayor
rendimiento en su clase
 Simplicidad y gestión de un aparato con la mejor
protección de la inversión y la capacidad de actualización
de un sistema de chasis.
 Licencia centralizada que está vinculada a chasis en lugar
de a blades individuales, para reducir la complejidad y
mejorar el rendimiento de precios.
 Flexibilidad de red y ancho de banda sin precedentes, con interfaces que incluyen hasta
ocho puertos GE, dieciséis 40 puertos GE o sesenta y cuatro puertos GE.
 Basado en el último procesador de seguridad CP9 de Fortinet para proporcionar una
aceleración de inspección SSL superior. Con más del 70% del tráfico web de los 10
principales países ahora encriptado por SSL, el 7060 proporciona el mejor rendimiento y
eficacia para el tráfico cifrado de HTTPS.
 Independientemente validado por Ixia CloudStorm 100 módulo de carga de prueba de
aplicaciones y seguridad de GE.
b) FortiGate 3900E
 Ideal para empresas que necesitan un rendimiento de
red muy alto y una inspección profunda entregada en
un factor de forma compacto que reduce la huella y
los costes operativos.
 Cuenta con hasta 32 SSP discretas para acelerar los
procesos de seguridad y de red, a la vez que reduce el
consumo de calor y energía.
 El FortiGate 3900E también aloja dos puertos GE RJ45, dieciséis 1/10 GE SFP / SFP + y hasta
diez puertos QSFP28 de 100 Gigabits para máxima densidad y flexibilidad
c) FortiGate 1500D
La serie FortiGate 1000 ofrece una excelente solución de seguridad de red para centros de
datos y entornos de campus. Las capacidades de seguridad de alto rendimiento y las interfaces
flexibles de alta velocidad le permiten estar a la vanguardia de las necesidades de la red en
constante evolución, los requisitos de rendimiento de la red cada vez mayores y las amenazas
cada vez más sofisticadas.
Comentarios
La interfaz web es muy buena, y exhibe las variadas cosas que puede hacer en la capa 7. Las
características de la capa 7 trabajan bien, por lo menos en una escala pequeña. El apoyo es
decente. Las mejoras suelen ser sencillas, pero la comunidad no es tan grande como otros
vendedores para reportar problemas.

La administración central es una interfaz web, similar en aspecto y funcionalidad al Panorama

de Palo Alto. La configuración de la VPN es muy granular e incluye opciones como VPN en ruta
en la interfaz web.

El principal inconveniente es el Command Line Interface (CLI). La configuración es un archivo de

texto plano como los proveedores distintos de Check Point. La solución de problemas en la CLI
de Fortinet es más difícil que otros proveedores y la configuración de clústeres no es tan sencilla.

Selección de firewall
El firewall que se adaptaría mejor a la empresa sería el firewall de Cisco, Firepower serie 4100.
Esto porque, en primer lugar, la empresa es una empresa pequeña contando con una baja
cantidad de equipos informático comparado con otros. También, la empresa trabaja con una
tercera que se encarga de la contabilidad y ellos poseen un contrato con Cisco lo que significaría
que tener un firewall del mismo proveedor permitiría una más fácil integración.

Hay que tomar en cuenta también que la instalación de este firewall necesitará personal
capacitado para poder manejarlo, y Cisco es una empresa con alta penetración en seguridad de
redes en Lima, y sería más sencilla la capacitación.