Hasta hace poco tiempo, las firewalls solían utilizar software para examinar cada paquete de datos y decidir luego si enviarlo o deshacerse de él (técnica conocida como packet filtering), lo cual suponía un enorme impacto en la velocidad de transmisión.

Cuando los administradores las ubicaban a la entrada de conexiones WAN, el rendimiento de la conexión no se veía afectado ya que las conexiones WAN era ya de por si lentas. Sin embargo, los puntos de accesos al exterior no son los únicos lugares en los que se instalan firewalls. Por ejemplo la red de un departamento de finanzas puede necesitar estar protegida del resto de usuarios departamentos de la misma empresa. En este caso, la conexión entre departamentos es normalmente de alta velocidad (Ethernet 100 o Ethernet 1Gb), y una firewall que realice filtrado de paquetes supondrá una penalización importante en el rendimiento.

Al mismo tiempo, la velocidad de los enlaces WAN está aumentando debido al crecimiento de internet. Enlaces de varios gigabits por segundo a redes metropolitanas pasarán a ser comunes en los próximos años. Y a estas velocidades, las viejas firewalls crearan enormes cuellos de botella.

Nueva tecnología reconoce el tipo de flujo de datos
Afortunadamente ya están apareciendo una nueva generación de firewalls que pueden reconocer y actuar según el tipo de flujo de datos, y pueden eliminar los cuellos de botella. Esta nueva tecnología permite al administrador ubicar firewalls dondequiera que crea conveniente.
Por tipo de flujo entendemos una serie de paquetes con los mismos valores en unos campos IP en particular. Por ejemplo, direcciones IP fuentes, de destino o números de puertos TCP. Los aceleradores de firewall examinan estos campos utilizando hardware especialmente diseñado para ello.

El primer paquete de un flujo se desvía a una firewall de software tradicional, que es donde se almacenan las políticas de seguridad. Entonces, el acelerador aprende a reconocer y a actuar con los siguientes paquetes independientemente, deshaciéndose de ellos o dándoles paso.

Los aceleradores de firewalls aparecieron dos años atrás con la introducción de interfaces de 10/100 Mbps (megabits por segundo), y Ethernet de 1 Gbps (gigabit por segundo).

ATM como tipo red preferida para incrementar la seguridad
Muchos administradores de redes preocupados por la seguridad eligen redes del tipo ATM para las conexiones a internet debido a:

• La arquitectura "conection oriented" de las redes ATM las hace resistentes a los ataques de negación de servicio (denial of service).
  
• Asignar un perfil de ancho de banda a la conexión garantiza su buen funcionamiento.
• La longitud fija de los paqueted de datos en una red ATM hace que la encriptación de los mismos a alta velocidad sea práctica y accesible.

A pesar de que ATM se suele usar para redes de alta seguridad y para el acceso a WAN, las primeras firewalls de alto rendimiento sólo soportaban Ethernet, debido al tamaño de los paquetes IP, y a la dificultad en filtrar el flujo de datos a alta velocidad.

Una solución oportuna
En Estados Unidos, la NSA (National Security Agency) resolvió el problema de la velocidad con una tecnología que sigue el rastro a los encabezamientos de los paquetes en redes ATM. Este nuevo enfoque consiste en copiar los encabezamientos de los primeros paquetes y pasarlos por los controles tradicionales de la firewall, para aplicar las políticas de seguridad y determinar la acción a tomar (rechazarlos, aceptarlos o monitorizarlos). El siguiente paso es informar al Firewall Control Processor (FCP) que ha de aplicar la misma acción al resto de paquetes correspondientes a la misma conexión. De esta forma, no es necesario filtrar todos los paquetes, solamente los que encabezan toda nueva conexión. Esta tecnología está resultando en la aparición de una nueva generación de firewalls de alto rendimiento para redes IP/ATM.

Mejora en rendimiento pero no en seguridad
Ahora hay que esperar y ver si hackers y piratas informáticos desarrollan nuevos ataques para explotar las características de esta nueva tecnología. Seguramente los primeros intentos irán dirigidos a establecer una conexión mediante el envío de paquetes válidos, y luego aprovechar el hecho que el Firewall Control Processor (FCP) va a dejar pasar el resto de paquetes pertenecientes a la misma conexión. Otra técnica que se vislumbra será la clásica de secuestrar una conexión ya establecida, e insertar los paquetes "maliciosos" en el flujo de datos para que pasen a través de la firewall.

Ya hace mucho tiempo que las firewalls dejaron de asegurar una defensa de perímetros hermética. Estas nuevas tecnologías de aceleración solamente representan una mejora en el rendimiento (lo cual no es poco mérito) y velocidad, pero no mejoran la seguridad.