En inform�tica, un cortafuegos (del t�rmino original en ingl�s firewall) es la

parte de un sistema inform�tico o una red inform�tica que est� dise�ada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas.[cita requerida]

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,

limitar, cifrar o descifrar el tr�fico entre los diferentes �mbitos sobre la base
de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una

combinaci�n de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a trav�s del cortafuegos, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. Tambi�n es
frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organizaci�n que deben permanecer
accesibles desde la red exterior.

Un cortafuegos correctamente configurado a�ade una protecci�n necesaria a la red,

pero que en ning�n caso debe considerarse suficiente. La seguridad inform�tica
abarca m�s �mbitos y m�s niveles de trabajo y protecci�n contra virus, malware...

�ndice
1 Historia del cortafuegos
1.1 Primera generaci�n � cortafuegos de red: filtrado de paquetes
1.2 Segunda generaci�n � cortafuegos de estado
1.3 Tercera generaci�n � cortafuegos de aplicaci�n
1.4 Acontecimientos posteriores
2 Tipos de cortafuegos
2.1 Nivel de aplicaci�n de pasarela
2.2 Circuito a nivel de pasarela
2.3 Cortafuegos de capa de red o de filtrado de paquetes
2.4 Cortafuegos de capa de aplicaci�n
2.5 Cortafuegos personal
2.6 Traducci�n de direcciones de red (NAT)
3 Ventajas de un cortafuegos
4 Limitaciones de un cortafuegos
5 Pol�ticas del cortafuegos
6 V�ase tambi�n
7 Referencias
8 Enlaces externos
Historia del cortafuegos
El t�rmino ingl�s firewall significaba originalmente un muro cortafuegos, es decir,
una pared para confinar un incendio o riesgo potencial de incendio en un edificio.
M�s adelante se us� para referirse a estructuras similares de metal que separaban
el compartimiento del motor de un veh�culo o aeronave del compartimento de
pasajeros o cabina.[cita requerida] En el �rea de las redes inform�ticas el t�rmino
comenz� a usarse a finales de la d�cada de 1980, cuando Internet era a�n una
tecnolog�a bastante nueva en cuanto a su uso y conectividad a nivel global.[cita
requerida] Los predecesores de los cortafuegos inform�ticos fueron los routers
utilizados a finales de los 1980, ya que estos manten�an las distintas redes de
ordenadores separadas unas de otras, evitando que los problemas se propagaran de
unas a otras.1?:2 La visi�n de Internet como una comunidad relativamente peque�a de
usuarios con m�quinas compatibles, que valoraba la predisposici�n para el
intercambio y la colaboraci�n, termin� con una serie de importantes violaciones de
seguridad de Internet que se produjo a finales de los 80:1?:4
Clifford Stoll, que descubri� la forma de manipular el sistema de espionaje
alem�n.1?:4
Bill Cheswick, cuando en 1992 instal� una c�rcel simple electr�nica para observar a
un atacante.1?:4
En 1988, un empleado del Centro de Investigaci�n Ames de la NASA, en California,
envi� una nota por correo electr�nico a sus colegas2? que dec�a:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San
Diego, Lawrence Livermore, Stanford y la NASA Ames".
El Gusano Morris, que se extendi� a trav�s de m�ltiples vulnerabilidades en las
m�quinas de la �poca. Aunque no era malicioso, el gusano Morris fue el primer
ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba
preparada para hacer frente a su ataque.3?
Primera generaci�n � cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnolog�a firewall data de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarroll� los sistemas de
filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante
b�sico, fue la primera generaci�n de lo que se convertir�a en una caracter�stica
m�s t�cnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick
y Steve Bellovin continuaban sus investigaciones en el filtrado de paquetes y
desarrollaron un modelo de trabajo para su propia empresa, con base en su
arquitectura original de la primera generaci�n.1?:11-12

El filtrado de paquetes act�a mediante la inspecci�n de los paquetes (que

representan la unidad b�sica de transferencia de datos entre ordenadores en
Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete
se reducir� (descarte silencioso) o ser� rechazado (desprendi�ndose de �l y
enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no
presta atenci�n a si el paquete es parte de una secuencia existente de tr�fico. En
su lugar, se filtra cada paquete bas�ndose �nicamente en la informaci�n contenida
en el paquete en s� (por lo general utiliza una combinaci�n del emisor del paquete
y la direcci�n de destino, su protocolo, y, en el tr�fico TCP y UDP, el n�mero de
puerto).4? Los protocolos TCP y UDP comprenden la mayor parte de comunicaci�n a
trav�s de Internet, utilizando por convenci�n puertos bien conocidos para
determinados tipos de tr�fico, por lo que un filtro de paquetes puede distinguir
entre ambos tipos de tr�fico (ya sean navegaci�n web, impresi�n remota, env�o y
recepci�n de correo electr�nico, transferencia de archivos�); a menos que las
m�quinas a cada lado del filtro de paquetes est�n a la vez utilizando los mismos
puertos no est�ndar.5?

El filtrado de paquetes llevado a cabo por un cortafuegos act�a en las tres

primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo
lo realiza entre la red y las capas f�sicas.6? Cuando el emisor origina un paquete
y es filtrado por el cortafuegos, este �ltimo comprueba las reglas de filtrado de
paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia.
Cuando el paquete pasa a trav�s de cortafuegos, �ste filtra el paquete mediante un
protocolo y un n�mero de puerto base (GSS). Por ejemplo, si existe una norma en el
cortafuegos para bloquear el acceso telnet, bloquear� el protocolo TCP para el
n�mero de puerto 23.