A continuación, se presenta una comparación de Fortinet, Ubiquiti y Cisco

Fortinet:

Fortalezas:

Especialización en seguridad de red: Fortinet es conocido por sus soluciones de seguridad de

red, incluidos firewalls de próxima generación (NGFW) y sistemas de detección y prevención
de intrusiones (IDS/IPS).

Amplia funcionalidad: Ofrece una amplia gama de características de seguridad, incluida la

segmentación de red, VPN, filtrado de contenido y más.

Alta escalabilidad: Desde pequeñas empresas hasta grandes corporaciones, Fortinet tiene
soluciones escalables que pueden adaptarse a diferentes tamaños de red.

Consideraciones:

Puede ser costoso: Las soluciones de seguridad de Fortinet a menudo tienen un costo inicial
más alto, lo que puede no ser adecuado para todas las organizaciones.

Ubiquiti:

Fortalezas:

Asequibilidad: Ubiquiti ofrece firewalls a precios más asequibles en comparación con muchas
otras marcas.

Facilidad de uso: Sus productos suelen ser fáciles de configurar y administrar, lo que los hace
adecuados para usuarios no técnicos.

Escalabilidad para redes de tamaño mediano: Son una opción popular para pequeñas y
medianas empresas.

Consideraciones:

Menos funciones avanzadas: Ubiquiti puede carecer de algunas de las características

avanzadas que se encuentran en firewalls de gama alta.

Cisco:

Fortalezas:
 Amplia gama de opciones: Cisco ofrece una amplia variedad de firewalls que van desde
dispositivos pequeños hasta soluciones de nivel empresarial.

Funcionalidad avanzada: Los firewalls de Cisco tienen capacidades avanzadas de seguridad,

incluido el monitoreo en tiempo real y la protección contra amenazas sofisticadas.

Integración con otras soluciones de Cisco: Puede ser una elección lógica si su organización ya
utiliza otros productos de Cisco, ya que se integran bien entre sí.

Consideraciones:

Mayor costo: Los firewalls de Cisco tienden a ser más caros, especialmente los modelos de
gama alta.

Mayor complejidad: Configurar y administrar firewalls de Cisco puede requerir más

experiencia técnica.

Por lo que se considera la opción de Fortinet para la implementación en este proyecto debido a sus
múltiples soluciones, adaptabilidad a los requerimientos del negocio y facilidad de implementación y
configuración. A continuación se muestra un detalle de lo que ofrece cada una de estas marcas en
términos de seguridad de Firewalls.

Fortinet

Los Firewall Fortinet (también conocidos como firewalls de próxima generación NGFW o simplemente
FortiGate) son dispositivos de seguridad que permiten la creación de redes seguras y proporcionan una
protección amplia, integrada y automatizada contra amenazas emergentes y sofisticadas.

FortiGate proporciona una convergencia perfecta que se puede escalar a

cualquier ubicación: oficina remota, sucursal, campus, centro de datos y nube.
Se cumple con el concepto de firewalls de malla híbrida con FortiManager para
una administración unificada y una seguridad consistente en entornos híbridos
complejos. El sistema operativo FortiOS de Fortinet proporciona visibilidad y
seguridad profundas en una variedad de factores de forma.

DMZ:

El principal beneficio de una DMZ es proporcionar una red interna con una capa de seguridad
adicional al restringir el acceso a los servidores y datos confidenciales. Una DMZ permite que
los visitantes del sitio web obtengan ciertos servicios mientras proporcionan un búfer entre ellos
y la red privada de la organización. Como resultado, ofrece también beneficios de seguridad
adicionales, tales como:

1. Habilitación del control de acceso: Las empresas pueden proporcionar a los usuarios acceso a
servicios fuera de los perímetros de su red a través de Internet pública. La DMZ permite el
acceso a estos servicios al tiempo que implementa segmentación de red, para que a un usuario
no autorizado se le dificulte llegar a la red privada. Una DMZ también puede incluir un servidor
proxy, que centraliza el flujo de tráfico interno y simplifica el monitoreo y el registro de ese
tráfico.
2. Prevención del reconocimiento de la red: Al proporcionar un búfer entre Internet y una red
privada, una DMZ evita que los atacantes realicen el trabajo de reconocimiento que hacen
cuando obtienen datos de objetivos potenciales. Los servidores dentro de la DMZ están
expuestos públicamente, pero un firewall ofrece otra capa de seguridad que evita que un
atacante pueda ver dentro de la red interna. Incluso si un sistema DMZ se pone en peligro, el
firewall interno separa la red privada de la DMZ para mantenerla segura y dificultar el
reconocimiento externo.
3. Bloqueo de suplantación del protocolo de Internet (IP): Los atacantes pueden intentar obtener
acceso a los sistemas suplantando una dirección IP y haciéndose pasar por un dispositivo
aprobado que ha iniciado sesión en una red. Una DMZ puede descubrir y detener estos intentos
de suplantación de identidad, ya que otro servicio verifica la legitimidad de la dirección IP. La
DMZ también proporciona segmentación de red con el fin de crear un espacio para que se
organice el tráfico y se acceda a los servicios públicos lejos de la red privada interna.

Los servicios de una DMZ incluyen:

1. Servidores DNS
2. Servidores FTP
3. Servidores de correo
4. Servidores proxy
5. Servidores web

El firewall de próxima generación (NGFW) FortiGate de Fortinet contiene una

red DMZ que puede proteger los servidores y las redes de los usuarios. Crea un
agujero en la protección de red para que los usuarios accedan a un servidor
web protegido por la DMZ y solo otorga acceso que se ha habilitado
explícitamente.

Proxy Server:
Los servidores proxy proporcionan una valiosa capa de seguridad para la
computadora. Pueden configurarse como filtros web o firewalls, y protegen la
computadora y demás dispositivos de red contra amenazas de Internet como el
malware.

Esta seguridad adicional también es valiosa cuando se combina con una puerta
de enlace web segura o con otros productos de seguridad de correo electrónico.
De esta manera, puede filtrar el tráfico de acuerdo con su nivel de seguridad
o la cantidad de tráfico que su red, o las computadoras individuales, pueden
manejar.

Para una compañía, pueden utilizarse para realizar varias tareas clave como
las siguientes:

Mejorar la seguridad.

Proteger la actividad de los empleados en Internet de las personas que

intentan espiarlas.

Equilibrar el tráfico de Internet para evitar choques.

Controlar el acceso de los empleados a los sitios web.

Guardar el ancho de banda almacenando archivos en caché o comprimiendo el

tráfico entrante.

FortiGate abarca la capacidad de los proxies y las VPN. Protege a los usuarios
de las filtraciones de datos que a menudo ocurren con el tráfico de alta
velocidad y utiliza IPsec y SSL para mejorar la seguridad. FortiGate también
aprovecha el poder del acelerador de hardware FortiASIC para mejorar el
rendimiento sin comprometer la privacidad. Proteja su red con las capacidades
de FortiGate VPN y de proxy.
NAT:
Fortinet Security Fabric ofrece un enfoque unificado e integrado de seguridad para permitir a las
organizaciones proteger mejor sus redes contra una variedad de amenazas. Incluye varias funciones
integradas, como:

Un motor NAT para ocultar direcciones IP internas y proporcionar un nivel de filtrado de tráfico
Un sistema de monitoreo de tráfico para rastrear y registrar la actividad de la red.
Un sistema de prevención de intrusiones para detectar y bloquear tráfico sospechoso

Fortinet también aumenta la seguridad de la red a través del Firewall de próxima generación (NGFW)
FortiGate, que proporciona visibilidad completa y protección contra amenazas en toda la organización.
Hay varios beneficios de usar NAT. Estos incluyen seguridad mejorada, mayor privacidad y rendimiento
de red mejorado. NAT también puede ayudar a conservar las direcciones IP al permitir que varios
dispositivos compartan una única dirección IP pública.

Balanceo y redundancia:

SD-WAN (Software-Defined Wide Area Networking) de Fortinet es una solución de red empresarial que
utiliza tecnología de virtualización para proporcionar conectividad segura y confiable a través de
múltiples ubicaciones geográficas, como sucursales, oficinas remotas y centros de datos.

En lugar de depender de circuitos dedicados, la SD-WAN de Fortinet utiliza conexiones de Internet de

banda ancha y aplicaciones de seguridad integradas para ofrecer una conectividad de red más ágil y
rentable. La solución de Fortinet también incluye una funcionalidad de balanceo de carga que distribuye
el tráfico de red entre múltiples enlaces de Internet para optimizar el rendimiento y garantizar la
continuidad del negocio.

Además, Fortinet ha integrado su solución de SD-WAN con su plataforma de seguridad, lo que permite a
las organizaciones proteger su tráfico de red con capacidades avanzadas de seguridad, incluyendo
firewalls, IPS, VPN y protección contra amenazas.

Ubiquiti

Gateway Professional UXG-Pro-U ofrece:

Rendimiento WAN redundante con conmutación por error y

equilibrio de carga
WiFi QoS con AP UniFi
QoS basada en aplicaciones, dominios y países
Identificación del tipo de aplicación y dispositivo
Conmutación por error de Internet adicional con
 LTE Backup
Informes de interrupciones y calidad de Internet

Seguridad de siguiente generación Reglas de firewall sensibles a las aplicaciones

Detección de amenazas IPS/IDS basada en firmas
Filtrado de contenido, país, dominio y anuncios.
Segmentación del tráfico basada en VLAN/subred
Firewall con estado completo

Red avanzada SD-WAN sin licencia*

Servidor WireGuard, L2TP y OpenVPN
Cliente OpenVPN
VPN de sitio a sitio OpenVPN e IPsec
Teletransporte con un clic y VPN UID
Enrutamiento WAN y VPN basado en políticas
retransmisión DHCP
Servidor DHCP personalizable
proxy IGMP
Compatibilidad con proveedores de servicios de
Internet IPv6

*Cuando se combina con una Cloud Key o una

Cloud Console.

Cisco
Cisco Secure Firewall es un elemento básico de la plataforma de seguridad más abierta y completa del
sector.

El portafolio de Cisco Secure Firewall ofrece mayores protecciones para su red

contra un conjunto de amenazas cada vez más complejo y en constante evolución.

Cisco ofrece una variedad de opciones de administración personalizadas para satisfacer sus
necesidades empresariales:

● Administrador de dispositivos Cisco Secure Firewall: administra un único firewall de

manera local; solución de administración en el dispositivo para Firewall Threat Defense
● Cisco Secure Firewall Management Center: administra una implementación de firewall a
gran escala; disponible en todos los factores de forma, como en las instalaciones, la nube
privada, la nube pública y el software como servicio (SaaS)
● Cisco Defense Orchestrator: un administrador basado en la nube que optimiza las políticas de
seguridad y la administración de dispositivos en varios productos de Cisco, como Cisco Secure
Firewall, Meraki MX y dispositivos Cisco IOS®

Cisco también ofrece Cisco Security Analytics y Logging para una administración de registros
escalable. Mejora la detección de amenazas y satisface los mandatos de cumplimiento en toda la
organización con capacidades de análisis de comportamiento y retención más prolongadas.

Funcionalidades avanzadas de Cisco Secure Firewall

Funcionalidades
Detalles
avanzadas

●La integración de Cisco Secure Workload (Tetration)

permite una visibilidad completa y la aplicación de
Integración de Cisco políticas para aplicaciones modernas distribuidas y
Secure Workload dinámicas en toda la red y la carga de trabajo, para
una aplicación uniforme de manera escalable.

●Creada con Kubernetes y disponible por primera vez en

AWS, Secure Firewall Native Cloud es una solución de
Cisco Secure Firewall acceso a aplicaciones fácil de usar para los
Cloud Native desarrolladores con el fin de crear una
infraestructura nativa de la nube sumamente elástica.

●Los atributos dinámicos admiten etiquetas de VMware,

AWS y Azure para situaciones en las que las
direcciones IP estáticas no están disponibles.
Soporte de políticas
●Cisco ha sido pionero en políticas basadas en
dinámicas
etiquetas con etiquetas de grupo de seguridad (SGT) y
soporte de atributos de Cisco Identity Services
Engine (ISE).

●El siguiente paso en la protección contra amenazas

con Snort 3 de código abierto, líder del sector,
Sistema de prevención
de intrusiones Snort 3 ayuda a mejorar la detección, a simplificar la
personalización y a mejorar el rendimiento.
Funcionalidades
Detalles
avanzadas

●Le permite mantener políticas de capa 7 en tráfico

TLS 1.3 cifrado. Mantenga la visibilidad y el
Detección e identidad
control en un mundo cifrado donde no es factible
del servidor de
seguridad de la capa de desencriptar e inspeccionar cada flujo de tráfico.
transporte (TLS) Los firewalls de la competencia rompen las políticas
de capa 7 con tráfico TLS 1.3 cifrado.

●Ofrece una administración unificada de firewalls,

control de aplicaciones, prevención de intrusiones,
filtrado de URL y políticas de defensa contra
malware.
Cisco Secure Firewall
●La integración con Cisco Secure Workload
Management Center
(anteriormente, Tetration) permite una visibilidad
completa y la aplicación de políticas para
aplicaciones dinámicas en toda la red y la carga de
trabajo.

●Administración de firewall basada en la nube que le

Cisco Defense permite administrar las políticas de manera uniforme
Orchestrator y sencilla en los Cisco Secure Firewalls.

Cisco Security ●Administración de registros de firewalls de gran

Analytics y Logging escalabilidad en las instalaciones y basada en la nube
con análisis del comportamiento para la detección de
amenazas en tiempo real y tiempos de respuesta más
rápidos. Además de análisis continuo para refinar
todavía más su postura de seguridad para defenderse
mejor de futuros intentos.

●Satisfaga sus necesidades de cumplimiento con la

agregación de registros en todos los Cisco Secure
Firewalls.

●Integración estrecha con los administradores de

firewalls para un registro y análisis extendidos, así
como para agregar datos de registro de firewalls en
Funcionalidades
Detalles
avanzadas

una única vista intuitiva.

●Aproveche la plataforma SecureX para acelerar la

detección y detección de amenazas. Cada Secure
Firewall incluye acceso a Cisco SecureX. La nueva
Cisco SecureX cinta de SecureX en Firewall Management Center
permite que SecOps gire al instante a la plataforma
abierta de SecureX, lo que acelera la respuesta a
incidentes.

●Cisco Talos Intelligence Group es uno de los equipos

de inteligencia de amenazas comerciales más grandes
del mundo. Crean inteligencia de amenazas precisa,
Inteligencia de
amenazas de Cisco rápida y procesable para los clientes, los productos
Talos® y los servicios de Cisco. Talos mantiene los
conjuntos de reglas oficiales de Snort.org, ClamAV y
SpamCop.

NAT en el ASA en la versión 8.3 y posteriores se divide en dos tipos conocidos como NAT automática
(NAT de objeto) y NAT manual (NAT doble). El primero de los dos, Object NAT, se configura dentro de la
definición de un objeto de red. Más adelante en este documento se proporciona un ejemplo de esto.
Una ventaja principal de este método NAT es que el ASA ordena automáticamente las reglas de
procesamiento para evitar conflictos. Esta es la forma más sencilla de NAT, pero esa facilidad conlleva
una limitación en la granularidad de la configuración. Por ejemplo, no puede tomar una decisión de
traducción basándose en el destino del paquete como podría hacerlo con el segundo tipo de NAT,
Manual Nat. La NAT manual es más sólida en su granularidad, pero requiere que las líneas se configuren
en el orden correcto para que pueda lograr el comportamiento correcto.

Balanceo de carga por destino

El balanceo de carga por destino significa que el enrutador distribuye los paquetes según la dirección de
destino. Dadas dos rutas a la misma red, todos los paquetes para el destino 1 en esa red van por la
primera ruta, todos los paquetes para el destino 2 en esa red van por la segunda ruta, y así
sucesivamente. Esto preserva el orden de los paquetes, con un posible uso desigual de los enlaces. Si un
host recibe la mayor parte del tráfico, todos los paquetes utilizan un enlace, lo que deja sin utilizar el
ancho de banda de otros enlaces. Una mayor cantidad de direcciones de destino conduce a enlaces que
se utilizan con mayor igualdad. Para lograr enlaces más utilizados, utilice el software Cisco IOS para crear
una entrada de caché de ruta para cada dirección de destino, en lugar de cada red de destino, como es
el caso cuando solo existe una ruta. Por lo tanto, el tráfico de diferentes hosts en la misma red de
destino puede utilizar rutas diferentes. La desventaja de este enfoque es que para los enrutadores
troncales centrales que transportan tráfico para miles de hosts de destino, los requisitos de memoria y
procesamiento para mantener el caché se convierten en un desafío.