Saltar a contenido

Normas generales sobre el orden de reglas en firewalls

La efectividad de un firewall no depende solo de qué reglas se escriben, sino también del orden en que se procesan.

En la mayoría de los sistemas, el motor del firewall evalúa las reglas de arriba hacia abajo y detiene el análisis en la primera coincidencia. Por eso, la secuencia de reglas es clave.

Existen dos enfoques principales:

1. Esquema “Permitir todo y bloquear algo” (Blacklist)

Este enfoque parte de la confianza: todo el tráfico se permite, salvo el que esté explícitamente prohibido.

Orden de reglas

  1. Tráfico válido conocido:

    • Permitir conexiones ya establecidas (established) o relacionadas (related), si el firewall es stateful.
    • Bloquear tráfico inválido (invalid) o corrupto.

  2. Bloqueos específicos (DROP/DENY): al inicio, reglas que cortan tráfico no deseado (ejemplo: sitios prohibidos, puertos inseguros, IPs en listas negras).

  3. Permiso implícito o explícito: si un paquete no coincide con ningún bloqueo, se le permite pasar. Algunos firewalls dejan este permiso de forma implícita, otros requieren una regla ALLOW ANY al final.

Caso de uso

  • Entornos internos simples y de confianza, donde la seguridad no es crítica.
  • Segmentos de red donde casi todo está permitido y solo se filtran excepciones.

2. Esquema “Bloquear todo y permitir algo” (Whitelist / Zero Trust)

Este enfoque es el estándar profesional de seguridad: nada se permite salvo lo que esté autorizado.

Orden de reglas

  1. Tráfico válido conocido:

    • Permitir conexiones ya establecidas (established) o relacionadas (related), si el firewall es stateful.
    • Bloquear tráfico inválido (invalid) o corrupto.

  2. Bloqueos específicos (DROP/DENY): reglas para cortar tráfico malicioso conocido (listas negras, segmentación estricta entre redes, bloqueo de protocolos peligrosos).

  3. Permisos específicos (ALLOW): reglas que habilitan únicamente el tráfico necesario (acceso a servidores, navegación web de usuarios autorizados, administración desde IPs definidas).

  4. Bloqueo final (DEFAULT DENY): una regla de “denegar todo” al final garantiza que ningún tráfico no contemplado pueda pasar.

Caso de uso

  • Firewalls perimetrales que conectan con Internet.
  • Segmentación de redes internas críticas (ej.: VLANs de servidores, IoT, invitados).
  • Escenarios donde se requiere cumplimiento normativo o máxima seguridad.

Comparación de estrategias de firewall

Aspecto Blacklist (Permitir todo y bloquear algo) Whitelist (Bloquear todo y permitir algo)
Filosofía Todo está permitido salvo lo bloqueado explícitamente. Nada está permitido salvo lo autorizado explícitamente.
Orden típico de reglas 1. Stateful checks:
allow established, related
drop invalid
2. Bloqueos específicos (listas negras: IPs, puertos, dominios, (malware, aislamiento entre redes, protocolos no seguros, etc.)
3. Permiso general (implícito o explícito)		 1. Stateful checks:
allow established, related
drop invalid
2. Bloqueos específicos (listas negras: IPs, puertos, dominios, (malware, aislamiento entre redes, protocolos no seguros, etc.)
3. Permisos específicos (navegación de usuarios, acceso a servidores, administraciónm etc.)
4. Bloqueo final drop all
Seguridad Baja / Media: si olvidás bloquear algo, queda abierto. Alta: nada pasa salvo lo autorizado.
Facilidad de implementación Rápido y simple, poca planificación. Requiere diseño y conocimiento de flujos de tráfico.
Riesgo principal Se puede filtrar tráfico no contemplado. Podés cortar tráfico legítimo si olvidás autorizarlo.
Casos de uso Redes internas simples y de confianza. Firewalls perimetrales, segmentación de VLANs, entornos críticos.