Configuració avançada de firewalls a servidors

Informatec Digital » Recursos » Configuració avançada de firewalls a servidors

Dominar la configuració avançada de firewalls a servidors ja no és cosa només de grans corporacions. Qualsevol empresa que es prengui seriosament la ciberseguretat necessita entendre com segmentar la xarxa, definir zones, crear regles detallades i esprémer al màxim tant el tallafoc perimetral com el mateix tallafocs de Windows a cada equip i servidor.

Al llarg d'aquesta guia veuràs, amb força nivell de detall, com funcionen els Tallafocs de nova generació (NGFW), com dissenyar zones (LAN, WAN, DMZ, VLAN), quins tipus de regles aplicar (programa, port, protocol, IP…), com aprofitar el Firewall de Windows amb seguretat avançada, quin paper juguen eines com SimpleWall i quines bones pràctiques convé seguir perquè tot aquest entramat no es converteixi en un caos impossible de mantenir.

Next Generation Firewalls a servidors: molt més que filtrat de ports

Els tallafocs de nova generació, com els FortiGate NGFW, combinen funcions de xarxa avançades i seguretat profunda en un mateix equip. No es limiten a obrir o tancar ports, sinó que analitzen el trànsit d'aplicació, inspeccionen contingut xifrat i s'integren amb arquitectures complexes de núvol, LAN, WLAN i accés remot.

En el cas de FortiGate, el cor del sistema és FortiOS, un sistema operatiu específic que unifica polítiques de seguretat i funcions de xarxa: SD-WAN integrada, ZTNA universal, control del trànsit en xarxes sense fil i cablejades, i una gestió centralitzada gràcies a FortiManager.

A més, aquests equips es recolzen en una arquitectura ASIC pròpia (xips dedicats) per accelerar la inspecció de paquets i el desxifrat sense destrossar el rendiment ni disparar el consum energètic, fins i tot quan la xarxa va al màxim de càrrega i hi ha centenars o milers de sessions simultànies.

La protecció davant amenaces es reforça amb els serveis FortiGuard, que afegeixen intel·ligència artificial per detectar codi maliciós (malware), trànsit sospitós, exploits i atacs dirigits, encaixant tot dins del concepte de Fortinet Security Fabric: una tela de seguretat que abasta xarxa, endpoints i núvol per respondre de forma coordinada davant d'incidents.

Disseny de zones de tallafocs i segmentació de xarxa en servidors

Abans de posar-se a crear regles com si no hi hagués un demà, cal dissenyar bé la arquitectura de zones i la segmentació de xarxa. Com més plana sigui la xarxa, més fàcil ho tindrà un atacant per moure's lateralment un cop aconsegueixi entrar.

El primer pas és identificar actius i serveis clau: servidors web, bases de dades, aplicacions internes, dispositius de punt de venda, centraletes VoIP, xarxes de convidats, etc. En funció de la seva criticitat i exposició, s'agrupen a diferents zones lògiques.

Una pràctica estàndard és crear una DMZ (zona desmilitaritzada) per als servidors que donen serveis directament a Internet (correu, VPN, aplicacions web, portals públics…). Aquests equips han d'estar aïllats tant de l'exterior com de la xarxa interna més sensible, limitant al màxim quin trànsit pot fluir entre zones i altres.

Els servidors als quals només s'accedeix des de la pròpia organització se situen a zones internes de servidors, separades alhora de la xarxa d'usuaris, de la xarxa d'administració i de qualsevol entorn de laboratori o proves. Perquè això tingui sentit a la pràctica, és habitual utilitzar switches amb suport de VLAN per mantenir la separació també a nivell 2.

En entorns IPv4, totes les xarxes internes han d'utilitzar rangs privats (RFC1918) i recolzar-se en mecanismes de NAT per sortir a Internet. La traducció es fa normalment al tallafoc perimetral, que a més serà qui imposi les polítiques de sortida i entrada per a cada zona concreta.

Llistes de control d'accés (ACL) i regles entre zones

Un cop definides les zones i assignades a les interfícies o subinterfícies del firewall, arriba el torn de les ACL (Access Control Lists), que són les regles que decideixen quin trànsit s'autoritza i quin es rebutja entre aquestes zones.

La idea és definir, per a cada interfície o subinterfície, un conjunt de regles el més específic i granular possible: IP o subxarxa d'origen, IP o subxarxa de destinació, protocol (TCP, UDP, ICMP, etc.), ports implicats i acció (permetre o denegar). Com menys genèriques siguin les regles, menys buits de seguretat hi haurà.

Una bona pràctica és acabar cada ACL amb una regla de “denegar-ho tot” implícita, que actuï com a xarxa de seguretat: si un paquet no coincideix amb cap regla de permís prèvia, es bloqueja. A partir d'aquí, es van creant excepcions molt concretes per als fluxos que realment calen.

També convé deshabilitar el accés públic a les interfícies d'administració del tallafoc (HTTP, HTTPS, SSH, etc.), permetent la gestió només des de xarxes internes molt concretes o mitjançant una VPN d'administració segura.

Als NGFW moderns es pot anar més enllà del port i la IP, aprofitant control d'aplicacions, categories web, IPS i anàlisi avançada d'arxius (sandboxing). Si ja has pagat per aquestes funcions, el més lògic és activar-les i configurar-les en els fluxos crítics, especialment en els que creuen el perímetre.

Firewall permissiu vs firewall restrictiu en servidors

Un punt clau quan es dissenya la política d'un tallafocs (ja sigui perimetral o de sistema operatiu) és decidir si es parteix d'una postura permissiva o restrictiva.

En un firewall permissiu la regla implícita final és «permetre-ho tot». Només es bloqueja allò que es defineix de manera expressa mitjançant regles de denegació. Aquest enfocament sol emprar-se en xarxes internes de confiança (LAN) o en equips configurats com a «xarxa privada» a Windows.

En un firewall restrictiu passa el contrari: la regla final és «denegar-ho tot». Únicament el trànsit que coincideix amb regles de permís explícites aconsegueix passar. Aquesta filosofia és l'habitual a la interfície cap a Internet (WAN), a firewalls com pfSense o NGFW corporatius, i en equips configurats com a «xarxa pública».

Windows, per exemple, utilitza per defecte política restrictiva en connexions entrants (bloqueja tot allò que no estigui expressament permès) i política permissiva en sortints (deixa sortir tot excepte el que hagis bloquejat). Això es pot ajustar des de les propietats avançades del tallafoc.

Què pot oferir realment el Firewall de Windows a servidors

El Firewall de Windows amb seguretat avançada és molt més potent del que molta gent creu. Podeu controlar trànsit entrant i sortint, filtrar per IP, port, protocol, servei, interfície de xarxa, tipus de perfil (domini, privat, públic) i fins i tot per usuari o grup en alguns escenaris.

Entre les seves capacitats, destaquen el filtrat de paquets a baix nivell, la generació de registres detallats (que després es poden analitzar amb el Visor d'esdeveniments o enviar-se a un SIEM), la detecció de xarxes públiques per aplicar un perfil més estricte automàticament, i la integració amb altres capes de seguretat com ara Windows Defender.

Per a petites empreses i molts entorns de servidor, ben configurat pot ser més que suficient, sobretot si es combina amb un antivirus sòlid i bones pràctiques dadministració. Això sí, cal ser conscient dels límits: no és un substitut d'un NGFW perimetral ni d'un IPS dedicat.

Com a punts febles, cal esmentar que el tallafocs de Windows no ofereix de sèrie inspecció profunda de paquets amb firmes avançades, no bloqueja de forma nativa la telemetria del propi sistema, les seves notificacions són discretes (amb prou feines avisa de connexions noves) i la forma de consultar els logs és poc amigable per a usuaris no tècnics.

Accés al Firewall de Windows amb seguretat avançada

Per gestionar la configuració avançada del tallafocs en un entorn de domini Active Directory, l'ideal és treballar amb GPO (Objectes de Directiva de Grup). És imprescindible pertànyer al grup Administradors de domini o disposar de permisos delegats sobre els GPO.

Des de la consola d'administració de directives es navega per Directives > Configuració de l'equip > Configuració de Windows > Configuració de seguretat > Firewall de Windows amb seguretat avançada. Allí es poden definir regles comunes per a equips clients i servidors units al domini.

Si es tracta d' un sol servidor o equip local, només cal tenir privilegis d'administrador en aquest dispositiu. La manera més ràpida d'obrir la consola és prémer START, escriure wf.msc i pressionar Intro. S'obrirà la consola de Firewall del Windows amb seguretat avançada per a aquest ordinador.

A la pantalla principal es mostren les regles d'entrada, regles de sortida, regles de seguretat de connexió i la configuració dels diferents perfils (domini, privat, públic), juntament amb una àrea de supervisió on es veuen només les regles actives.

Perfils, polítiques globals i comportament per defecte

Al panell de propietats del firewall es controlen les opcions globals de cada perfil de xarxa (domini, privat, públic). Aquestes opcions determinen com comporta el tallafoc quan un adaptador de xarxa s'associa a un tipus de xarxa concret.

Per a cada perfil es pot decidir si el tallafocs està activat o desactivat, si les connexions entrants que no coincideixen amb cap regla es bloquegen o es permeten, i el mateix per a les connexions sortints.

També es poden ajustar paràmetres com les notificacions en bloquejar un programa, la ubicació on es guarden els registres del firewall, la mida màxima daquests registres i el tractament especial del trànsit protegit mitjançant túnels VPN IPsec, que normalment es considera més fiable.

A la secció de Supervisió es mostren totes les regles actualment vigents, incloent-hi les que provenen de GPO i les definides localment. És el lloc on cal acudir per veure quines regles estan realment actives i amb quins paràmetres, i des d'aquí es poden obrir les seves propietats i modificar-les.

Regles d'entrada i sortida: sentit del trànsit

En treballar amb regles al tallafocs de Windows, un dels errors més habituals és confondre la direcció del trànsit. Les normes d'entrada s'apliquen a paquets que arriben a l'ordinador; les de sortida a paquets que surten des de l'equip cap a una altra màquina.

Si el que es pretén és evitar connexions des d'Internet cap a un servidor, cal crear o modificar regles d'entrada. Si, per contra, el que es vol és impedir que un servei o programa del servidor es connecti a l'exterior, caldrà actuar sobre les regles de sortida.

Cada entrada del llistat indica si la regla està habilitada (icona amb marca verda) o deshabilitada. Les regles deshabilitades no afecten el trànsit, encara que segueixin definides. És habitual trobar moltes regles predefinides de Windows que són presents però no actives fins que es necessitin.

Entendre bé el flux origen/destí i el port local/remoto és fonamental per no crear regles que mai no s'apliquen o que obren més del que realment cal, cosa molt freqüent en configurar serveis complexos.

Tipus de regles al Firewall de Windows

L'assistent de nova regla del tallafocs de Windows ofereix quatre categories principals: programa, port, predefinida i personalitzada. Cadascuna està pensada per a un escenari diferent i convé triar bé en funció del que es vulgui aconseguir.

Les regles de programa se centren en un executable concret; les de port filtren per número de port TCP o UDP; les predefinides simplifiquen la gestió de serveis de Windows ja coneguts; i les personalitzades permeten filar molt fi combinant múltiples criteris alhora.

En tots els casos, l'assistent acaba demanant quina acció volem aplicar (permetre, permetre només si és segura amb IPsec o bloquejar) i en quins perfils de xarxa s'aplicarà aquesta regla (domini, privat, públic). Finalment s'assigna un nom i una descripció per poder-la identificar fàcilment més endavant.

En servidors crítics val la pena dedicar una estona a documentar bé les regles, indicant quin servei protegeix i per què existeix, perquè en futures auditories o canvis no hi hagi dubtes sobre la seva utilitat.

Regles per programa: control fi de serveis concrets

Les regles de tipus programa són una forma còmoda de controlar el trànsit duna aplicació sense haver de conèixer de memòria tots els ports que utilitza. Es poden aplicar tant a trànsit entrant com a sortint.

A l'assistent s'escull l'opció «Aquesta ruta d'accés del programa» i s'indica el path de l'executable. Podeu utilitzar variables d'entorn per garantir que la regla s'apliqui correctament encara que el programa estigui instal·lat en rutes diferents entre equips.

En servidors que allotgen serveis dins de svchost.exe o altres contenidors de múltiples serveis, és possible personalitzar la regla perquè s'apliqui només a determinats serveis, seleccionant el servei per nom curt. Això permet diferenciar, per exemple, el trànsit d'un servei RPC concret dins del mateix procés.

És molt recomanable combinar una regla de programa amb restriccions a la pestanya de Protocols i ports, indicant de manera explícita quins ports pot escoltar o utilitzar aquesta aplicació. Si intenteu obrir un port diferent, el tallafocs el bloquejarà.

Regles de port: filtratge clàssic TCP/UDP

Les regles de tipus port permeten permetre o bloquejar trànsit en funció del número de port local o remot i del protocol (TCP o UDP principalment). Es poden utilitzar tant per a regles dentrada com de sortida.

En una regla d'entrada típica per obrir, per exemple, el port 21 TCP, se selecciona TCP, s'indica «ports locals específics» i s'introdueix 21. Es poden especificar diversos ports separats per comes (per exemple, 21,20,22) o rangs com 5000-5100, fins i tot barrejant ports solts i rangs a la mateixa regla.

Després es decideix l'acció (permetre, permetre si és segura, bloquejar) i els perfils on s'aplicarà. És una manera senzilla d'obrir determinats serveis estàndard (HTTP, HTTPS, RDP, etc.) sense entrar en detalls de programes concrets.

En el cas de les regles de sortida, el més habitual és especificar el port remot, ja que és la destinació a què el servidor intenta connectar-se. Un ús típic seria bloquejar tot el trànsit sortint cap a ports sospitosos o restringir que certes aplicacions només es puguin comunicar en ports molt concrets.

Regles predefinides i personalitzades

Les regles predefinides agrupen configuracions ja llistes per a serveis de Windows habituals (Compartir fitxers i impressores, Escriptori remot, etc.). Només cal triar el servei, indicar si es vol permetre o bloquejar, triar perfils i llest.

Aquesta opció resulta còmoda quan es vol habilitar o restringir de manera ràpida un servei intern sense haver d'investigar quins ports i protocols utilitza en cada cas. Darrere, el sistema crea diverses regles concretes que donen cobertura a aquest servei.

Les regles personalitzades són les més completes i les que ofereixen més control. Permeten especificar tots els paràmetres: programa (o tots), tipus de servei, protocol IP (amb llistat de TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, etc.), combinació de ports locals i remots, adreces IP d'origen i destinació (inclosos rangs i subxarxes) i condicions addicionals.

En protocols com ICMPv4 o ICMPv6 es pot triar si es permeten tots els tipus d'ICMP o només certs missatges (echo request, echo reply, time exceeded, etc.). Fins i tot es poden definir tipus i codis concrets que no apareguin al llistat general.

Així mateix, en definir les adreces IP a l'apartat d'àmbit, l'assistent permet afegir rangs complets o subxarxes (per exemple, 192.168.10.0/24) per acotar encara més quins equips poden fer servir aquesta regla, tant en local com en remot.

Regles ICMP d'entrada als servidors

Permetre o no el trànsit ICMP cap a un servidor és una decisió estratègica. Una regla ICMP entrant permet que l'equip respongui a pings ia certs missatges de diagnòstic de xarxa, cosa que ajuda molt en tasques d'administració, però també pot proporcionar informació a un atacant.

Per crear una regla ICMP d'entrada al tallafoc de Windows s'obre la consola avançada, es va a Regles d'entrada i es crea una nova regla personalitzada. A l'apartat de programa se sol triar «Tots els programes».

A la pantalla de protocol se selecciona ICMPv4 o ICMPv6 segons la pila que s'utilitzi a la xarxa. Si es treballa tant amb IPv4 com amb IPv6 caldrà crear una regla per a cadascú. A través de l'opció de personalitzar se seleccionen els tipus específics d'ICMP que es volen permetre (només fet request/ret reply, o un conjunt més ampli).

Després es defineix làmbit (quins IPs poden fer ping), lacció (normalment permetre la connexió) i els perfils de xarxa on la regla tindrà efecte. Finalment, s'assigna un nom descriptiu a aquesta regla per identificar-la fàcilment.

Regles de servei o programa entrant i sortint

En alguns escenaris es vol deixar que un servei concret escolti trànsit entrant a qualsevol port que necessiti, o just al contrari: impedir que un programa es pugui comunicar amb l'exterior per cap port.

Per a la part entrant, es crea una regla de tipus personalitzat, se selecciona "Aquesta ruta d'accés del programa" i s'indica l'executable del servei. A continuació, es pot personalitzar perquè la regla només s'apliqui a serveis allotjats dins aquest executable, escollint el servei pel seu nom curt.

Hi ha fins i tot l'opció d'ajustar el tipus de SID del servei mitjançant l'ordre sc sidtype . Això condiciona com es pot fer servir aquest servei dins de les regles de tallafocs. Canviar-ho a RESTRICTED pot impedir-ne l'inici, així que cal fer-ho amb compte i només quan es necessita aquest tipus de protecció.

Per a la part sortint, el procés és similar però creant una regla de sortida. Si voleu bloquejar completament que aquest programa surti a Internet, es defineix la ruta de l'executable, s'estableix l'acció a «Bloqueja la connexió» i es trien els perfils que es vulguin limitar.

Configuracions especials per a RPC i ports dinàmics

Els serveis que utilitzen RPC (Trucada de procediment remot) poden ser especialment delicats perquè utilitzen ports dinàmics que el sistema assigna en temps d'execució. Per permetre aquest trànsit de forma controlada al tallafoc de Windows, sol ser necessari crear dues regles específiques.

La primera es dirigeix ​​al Servei assignador de punts d'enllaç RPC, allotjat a %systemroot%\system32\svchost.exe. Es personalitza la regla perquè s'apliqui al servei RpcSs, s'estableix TCP com a protocol i, al port local, s'escull l'opció «Assignador de punts d'enllaç RPC».

La segona regla es crea per al servei de xarxa habilitat per a RPC que vulguem permetre, especificant la ruta de l'executable que ho hostatgi, i també associant-ho a aquest servei en concret. En aquest cas, a port local s'escullen «Ports dinàmics RPC».

A les dues regles s'ajusta després l'àmbit (adreces IP permeses), l'acció (permetre la connexió) i els perfils. D'aquesta manera, només els equips i els serveis que compleixin aquestes condicions podran aprofitar el redireccionament de ports RPC.

Registre, auditoria i solució de problemes a firewalls de Windows

Quan alguna cosa no funciona com caldria, el registre del tallafocs i els esdeveniments d'auditoria són la primera font d'informació. Convé tenir la recopilació de logs ben configurada abans de necessitar-la.

A les propietats del tallafoc, pestanya de cada perfil, es pot personalitzar la ruta del fitxer de registre, la mida màxima en KB, i si es registren paquets descartats, connexions correctes o ambdues coses. En entorns de servidor sol ser bona idea registrar tots dos per tenir una visió clara.

D'altra banda, amb l'eina de línia d'ordres auditpol.exe es poden habilitar subcategories concretes d'auditoria, com ara canvis de directiva, perquè el sistema generi esdeveniments detallats quan es modifiquen les polítiques del tallafoc o IPsec.

Quan s'investiga un problema, és útil capturar l'estat de la xarxa amb netstat -ano > netstat.txt i la llista de processos amb tasklist > tasklist.txt. Creuant el PID dels processos en tasklist amb les connexions actives a netstat és possible saber quin programa està usant un port concret.

En escenaris complexos, Microsoft proporciona scripts com TSS.ps1 per recopilar traces avançades del motor de filtratge de Windows (WFP), que després s'empaqueten en un ZIP i es poden analitzar o remetre al suport tècnic.

Eines externes: SimpleWall i firewalls de tercers

El tallafoc integrat a Windows funciona bé, però moltes vegades es troba a faltar una interfície més intuïtiva i notificacions clares quan una aplicació intenta accedir a Internet per primera vegada. Aquí entren en joc solucions de tercers.

Una de les opcions lleugeres i de codi obert per a Windows és SimpleWall, que es recolza a la plataforma de filtratge de Windows (WFP) però no modifica directament el tallafocs de Windows. En canvi, creeu les vostres regles mitjançant WFP per controlar quines aplicacions hi tenen accés.

Entre les seves característiques hi ha un editor de regles senzill, llistes internes per bloquejar telemetria i espionatge de Windows, registres de paquets bloquejats, compatibilitat amb IPv6 i suport per a serveis del sistema i aplicacions de la Microsoft Store.

SimpleWall permet crear regles permanents o temporals (que desapareixen després de reiniciar), activar filtres de manera global, i classificar programes en permesos, bloquejats o bloquejats de forma silenciosa. Això sí, perquè les seves regles facin efecte, el mateix SimpleWall ha d'estar executant-se en segon pla.

Més enllà de SimpleWall, alguns usuaris opten per firewalls comercials amb més funcions: inspecció profunda de paquets, llistes antirastreig preconfigurades, sandboxing, anàlisi de comportament, panells gràfics avançats i millor visibilitat sobre el trànsit sortint. Molts daquests productes sintegren amb el tallafoc de Windows o el substitueixen en part.

Rendiment, avantatges i desavantatges d'usar firewalls a servidors

Usar un tallafocs, ja sigui perimetral oa nivell de sistema operatiu, té un petit cost en rendiment, perquè cada paquet de xarxa s'analitza contra una o més regles. En equips amb maquinari molt limitat o molt antics, això es pot notar. Revisa la guia d'optimització de servidors Linux per mitigar impactes.

No obstant això, lavantatge de comptar amb una primera barrera de defensa és enorme: es redueix exposició a atacs externs, es controla quines aplicacions es poden connectar fora, es generen registres útils per a auditoria, i s'adapta el nivell de protecció segons s'estigui en una xarxa de confiança o en una xarxa pública.

Els principals desavantatges, a banda de l'impacte en rendiment, són els complexitat de manteniment (especialment per a usuaris sense experiència) i la falsa sensació de seguretat: un tallafocs no substitueix un bon antivirus, l'actualització de sistemes ni, per descomptat, el sentit comú de l'administrador.

A més, la correcta gestió de regles exigeix ​​temps: revisar què està realment en ús, eliminar regles obsoletes, documentar canvis i verificar que no es deixen portes obertes sense voler fer proves ràpides o excepcions temporals.

Bones pràctiques avançades per a la seguretat de tallafocs a servidors

En un entorn de servidor seriós no n'hi ha prou de posar quatre regles i oblidar-se. Hi ha una sèrie de bones pràctiques que ajuden a mantenir el control i reduir riscos a llarg termini.

La primera és aplicar el principi de privilegi mínim (PoLP): tant per a usuaris com per a regles. Evita regles genèriques com ara «permetre-ho tot des de qualsevol IP» i, al seu lloc, defineix regles ajustades a IPs o subxarxes concretes, ports específics i aplicacions conegudes.

Una altra clau és mantenir el tallafocs i els seus components sempre actualitzats. Això implica aplicar pegats del sistema operatiu, microprogramari del tallafoc físic, firmes IPS i qualsevol actualització que el proveïdor publiqui, preferiblement provant abans en un entorn de proves.

Finalment, resulta essencial desplegar monitorització i registre efectius: enviar els logs a un SIEM, definir alertes davant de patrons sospitosos (per exemple, molts paquets bloquejats des d'una mateixa IP) i revisar periòdicament els informes, no només recollir-los «per si de cas».

A més de la capa lògica, la seguretat física del tallafocs importa: equips en racks tancats, accés restringit a la sala tècnica i còpies de seguretat de la configuració per poder fer rollback ràpid si alguna cosa es trenca després d'un canvi.

Capes addicionals: filtratge d'URL, VPN, IPS, QoS i control d'aplicacions

A la majoria de NGFW moderns es poden habilitar funcions avançades que complementen el filtratge bàsic de paquets i regles IP/port.

El filtratge d'URL permet classificar llocs web per categories (malware, xarxes socials, contingut adult, descàrregues P2P, etc.) i bloquejar aquells que es considerin inadequats o perillosos, cosa que ajuda tant a reforçar la seguretat com a aplicar polítiques dús acceptable.

Les VPN, ja siguin lloc a lloc o d'accés remot, es recolzen en protocols com IPsec o SSL/TLS per xifrar el trànsit entre seus i usuaris remots. Els tallafocs solen integrar la terminació d'aquestes VPN i aplicar al trànsit xifrat les mateixes polítiques de control que a la resta de la xarxa.

Un Sistema de Prevenció d'Intrusions (IPS) inspecciona el trànsit en temps real buscant patrons datacs coneguts o comportaments estranys, i pot bloquejar automàticament connexions que intentin explotar vulnerabilitats de sistemes o aplicacions.

El control d'aplicacions dóna una visibilitat molt més gran que el simple port: permet decidir quines aplicacions concretes (per exemple, Skype, Dropbox, aplicacions de joc, etc.) es permeten o es bloquegen, fins i tot quan usen ports estàndard o xifrat.

Finalment, la Qualitat de Servei (QoS) permet prioritzar trànsit crític (veu, videoconferència, aplicacions de negoci) davant d'altres fluxos menys importants, evitant que una descàrrega massiva o una còpia de seguretat degeneri en una xarxa inutilitzable per a l'usuari final.

Cuidar a fons la configuració avançada de firewalls a servidors, des del disseny de zones i regles granulars fins a l'ús de funcions de nova generació, registres, auditoria i eines com ara SimpleWall o NGFW dedicats, marca la diferència entre una xarxa que «més o menys va tirant» i una infraestructura realment preparada per resistir atacs, créixer sense perdre el control i complir les exigències de seguretat actuals.