Ficha técnica

McAfee Next Generation

Firewall
McAfee® Next Generation Firewall protege las redes de las empresas con
seguridad “informada” de alto rendimiento y respaldada por actualizaciones
en tiempo real recibidas del ecosistema Security Connected. Esto permite que
McAfee, que forma parte de Intel Security, proporcione la mejor defensa del
Principales ventajas
sector frente a evasiones avanzadas, junto con completas protecciones de
■■ La mejor protección firewall de próxima generación (NGFW) cuando y donde se necesite, ya sean
para su empresa y sus
activos digitales.
lugares alejados, sucursales, centros de datos o el perímetro de la red.
■■ Se adapta fácilmente a sus McAfee Next Generation Firewall parte de una Flexibilidad superior para ir a la par de
necesidades de seguridad.
sólida base de protecciones, que incluye control las cambiantes necesidades de seguridad
■■ Se amplía sin esfuerzo diferenciado de aplicaciones, un sistema de Un núcleo unificado de software permite
conforme crezca
prevención de intrusiones (IPS), una red privada que McAfee Next Generation Firewall cambie
la empresa.
virtual (VPN) integrada e inspección profunda fácilmente las funciones de seguridad, de NGFW
■■ Optimiza la productividad
de paquetes, todo ello con un diseño unificado, a IPS o a firewall de capa 2, en los dinámicos
de empleados y clientes.
eficiente, ampliable y altamente escalable. entornos empresariales. Dicho núcleo
■■ Reduce el costo total
Luego podrá añadir potentes tecnologías también sirve para optimizar el plano de los
de propiedad de la
infraestructura de antievasión que descodifiquen y normalicen datos, pues ofrece una significativa ventaja
seguridad y de red. el tráfico de la red —antes de la inspección de rendimiento sin importar la función de
y en todas las capas de protocolos— para seguridad o el número de características de
Funciones clave descubrir e impedir los métodos de ataque seguridad activas. Para mayor flexibilidad
■■ Superior protección NGFW más avanzados. aún, McAfee Next Generation Firewall puede
■■ Seguridad “informada” desplegarse en múltiples formatos: como
con controles dispositivo físico, solución de software,
■■ Prevención de dispositivo virtual o contexto virtual en
evasión avanzada un dispositivo físico.
■■ Diseño unificado del
núcleo del software
■■ Opciones con gran McAfee Security Management Center
disponibilidad para
la infraestructura de
seguridad y de red Físico
Licencias y
NGFW

■■ Potente administración Virtual funciones

centralizada operativas
■■ VPN con SSL o FW/VPN IPS L2FW Software
IPsec incorporados
Centro de software unificado

Figura 1. McAfee Next Generation Firewall se adapta a varias funciones e instalaciones.

Ficha técnica
Gran escalabilidad y disponibilidad para
proteger las aplicaciones críticas
En la actualidad las empresas demandan
soluciones de seguridad para red totalmente
resistentes y adaptables. McAfee Next
Generation Firewall proporciona gran
escalabilidad y disponibilidad de tres formas:
■■ Clústeres nativos activos: pueden
agruparse hasta 16 nodos, lo que ofrece
un rendimiento y resistencia superiores
cuando se ejecutan aplicaciones
de seguridad exigentes tales como
inspección profunda de paquetes y
redes VPN.
■■ Conmutación de sesión transparente:
proporciona la mejor disponibilidad
y nivel de servicio de los sistemas de
seguridad. McAfee Next Generation
Firewall incluso permite la conmutación
transparente para múltiples versiones
de software y hardware dentro del
mismo clúster.
■■ McAfee Multi-Link: amplía la cobertura
de gran disponibilidad a conexiones
de redes y VPN con IPsec. Aporta
la confianza de una seguridad
ininterrumpida y un alto rendimiento en
todas las instalaciones.
Protección sin igual para que la empresa
no pare
No es ningún secreto que los atacantes cada
vez penetran mejor en redes, aplicaciones,
centros de datos y endpoints de las empresas.
Una vez dentro, pueden borrar propiedad
intelectual, información sobre clientes y otros
datos confidenciales, con el consiguiente daño
irreparable para su reputación.
Aunque muchos administradores de seguridad
lo ignoren, un atacante decidido puede
utilizar técnicas de evasión avanzadas (AET)
para sortear la mayoría de los dispositivos de
seguridad actuales. Las AET permiten el paso
de amenazas persistentes avanzadas (APT)
mediante técnicas como el enmascaramiento
y la ofuscación. Una vez dentro de la red, las
amenazas se rearman porque ahí se pueden
ocultar, ejecutar y propagar sin oposición.
McAfee Next Generation Firewall
McAfee Next Generation Firewall somete
el tráfico de la red a diversas técnicas para
identificar las aplicaciones y usuarios de manera
específica. Entonces puede aplicar directivas
de seguridad en función de reglas estrictas.
A continuación, McAfee Next Generation Firewall
realiza una inspección profunda y especializada
de paquetes, con técnicas como la normalización
de pila completa o la inspección horizontal de
los flujos de datos. Estas técnicas normalizan
el tráfico para que McAfee descubra las AET
y las anomalías que otros NGFW pasan por alto.
Solo cuando el tráfico se ha normalizado por
completo, es posible buscar adecuadamente
amenazas y malware en todos los protocolos
y capas. Y solo McAfee Next Generation Firewall
se ha probado con éxito frente a más de
800 millones de AET.
El conocimiento es poder
Las soluciones de seguridad puntuales limitan
la difusión de conocimientos, debilitando así su
capacidad para reconocer y bloquear amenazas.
Con el ecosistema Security Connected es
posible compartir información exhaustiva
sobre amenazas en tiempo real, de manera
que las organizaciones puedan derrotar a los
ciberdelincuentes, gracias al conocimiento
de las amenazas locales y mundiales más
recientes. Con Security Connected, McAfee Next
Generation Firewall aprovecha la información
sobre amenazas de una gran variedad de
fuentes y otras soluciones de seguridad de
McAfee, tales como:
■■ McAfee ePolicy Orchestrator®
(McAfee ePO™): permite que McAfee
Next Generation Firewall obtenga
información contextual de los usuarios
y de sus sistemas host, lo cual facilita
un conocimiento valioso del nivel
de seguridad de los endpoints. Con
esa información también se pueden
simplificar los flujos de trabajo mientras
se investigan o solucionan amenazas
o problemas.
■■ McAfee Enterprise Security Manager:
garantiza la supervisión continua y
las alertas sobre el cumplimiento
de normativas, lo cual facilita el
conocimiento de la situación en tiempo
real al tiempo que mejora la seguridad
y agiliza la respuesta a incidentes.
2
Ficha técnica

■■ McAfee Advanced Threat Defense: Potente gestión centralizada para reducir

dispensa una protección superior
frente a las amenazas desconocidas,
zero-day, gracias al uso dinámico de
entornos aislados para el malware
y a la inspección estática del código
sospechoso. La integración con McAfee
Advanced Threat Defense también
permite que McAfee Next Generation
Firewall transfiera la inspección de
archivos sospechosos para una rápida
comunicación de las amenazas sin
afectar al rendimiento de la red.
■■ McAfee Global Threat Intelligence:
proporciona a McAfee Next Generation
Firewall una excelente información
sobre reputaciones a fin de proteger
frente a amenazas y malware avanzados
que estén activos en todo el mundo.
Security Connected, junto con la flexibilidad de
McAfee Next Generation Firewall, permite que
las empresas dinámicas desplieguen rápida y
fácilmente soluciones de seguridad con varias
capas cuando y donde sea necesario.
el costo total de propiedad
Para contener los costos y optimizar los
recursos, las empresas actuales necesitan
eficiencia operativa y de flujos de trabajo
para gestionar sus NGFW. McAfee Security
Management Center proporciona administración
centralizada y visibilidad de todas las funciones
o características usadas en McAfee Next
Generation Firewall. Desde un punto central,
McAfee Security Management Center obtiene
un conocimiento profundo de las aplicaciones,
del tráfico de los usuarios y del contenido
compartido. Una sencilla interfaz gráfica
facilita la configuración, gestión y supervisión
de todo el sistema, reduciendo así los costos
operativos a fin de que su empresa funcione
sin contratiempos independientemente de la
evolución de las amenazas y las necesidades
de seguridad.

Especificaciones de McAfee Next Generation Firewall

Plataformas admitidas
Dispositivos
Dispositivo de software
Dispositivo virtual
Funciones admitidas
Contextos virtuales
Funciones específicas de firewall/VPN
General
Agentes de protocolos de firewall FTP, H.323, HTTP, HTTPS, IMAP4, MGCP, Microsoft RPC, NetBios Datagram Service, Oracle
Autenticación de usuarios
Gran disponibilidad
Multihoming para ISP
Múltiples dispositivos de hardware con un rendimiento de firewall de 5 Gbits/s
a 120 Gbits/s.
Para más información, consulte las fichas de datos de comparación de dispositivos.
Sistemas basados en Intel x86
Compatibilidad con VMware ESX y KVM
Firewall/VPN (capa 3), modo IPS (capa 2), firewall de capa 2
Virtualización en contextos lógicos distintos (FW, IPS o L2FW) con diferentes interfaces,
direccionamiento, enrutamiento y directivas
Filtrado de paquetes con o sin seguimiento de estado, firewall a nivel circuito con agente
proxy para el protocolo TCP
SQL*Net, POP3, Remote Shell, RTSP, SCCP, SIP, SMTP, SSH, Sun RPC, TCP Proxy, TFTP
• Base de datos de usuarios interna, LDAP
• Active Directory, RADIUS, TACACS+
• Firewall en modo activo-activo/activo-pasivo con posibilidad de agrupación en clúster
de hasta 16 nodos
• Conmutación en caso de error con seguimiento de estado (incluidas conexiones VPN)
• Protocolo VRRP (Virtual Router Redundancy Protocol)
• Equilibrio de carga de servidor
• Agregación de vínculos (802.3ad)
• Detección de fallos de vínculos
• McAfee Multi-Link: gran disponibilidad y equilibrio de carga entre varios ISP, incluidas
conexiones VPN, agregación de vínculos de McAfee VPN Multi-Link y selección de
vínculos basada en la calidad del servicio (QoS)

McAfee Next Generation Firewall 3

Ficha técnica

Especificaciones de McAfee Next Generation Firewall continuación

Asignación de direcciones IP • Clústeres de firewall: estático, IPv4 e IPv6
• Nodos individuales de firewall: estático, DHCP, PPPoA, PPPoE, IPv4 e IPv6 estático
• Servicios: servidor DHCP y retransmisión DHCP para IPv4
Traducción de direcciones • IPv4 e IPv6
• Traducción de direcciones de red (NAT) estática, NAT de origen con traducción de
direcciones de puerto (PAT) y NAT de destino con PAT
Enrutamiento Rutas IPv4 e IPv6 estáticas, enrutamiento basado en directivas y enrutamiento
multidifusión estático
Enrutamiento dinámico Proxy IGMP, RIPv2, RIPng, OSPFv2, OSPFv3, BGP, PIM-SM
IPv6 IPv4/IPv6, ICMPv6, DNSv6 de doble pila
SIP Permite la transmisión multimedia dinámica con RTP, NAT-T, inspección profunda
e interoperabilidad con dispositivos SIP conformes con la norma RFC 3261
Redirección CIS Redirección de protocolos HTTP, FTP y SMTP a servidor de inspección de contenidos (CIS)
VPN con IPSec
Protocolos IKEv1, IKEv2 e IPsec con IPv4 e IPv6
Cifrado AES-128, AES-256, AES-GCM-128, AES-GCM-256, Blowfish, DES y 3DES1
Algoritmos de síntesis AES-XCBC-MAC, MD5, SHA-1, SHA-2-256, SHA-2-512
del mensaje
Algoritmo Diffie-Hellman Grupos Diffie-Hellman 1, 2, 5, 14, 19, 20 y 21
Autenticación Firmas RSA, DSS y ECDSA con certificados X.509, claves precompartidas, modo híbrido,
XAUTH, EAP
Otros • Compresión Deflate IPCOMP
• NAT-Traversal (NAT-T)
• Detección de extremos inactivos
• MOBIKE
VPN de sitio a sitio • Vínculos basados en directivas o en enrutamiento (GRE, IP-IP, SIT)
• Topologías de concentrador a miembro radial, de malla completa y de malla parcial
• Selección dinámica de vínculos basada en lógica difusa McAfee Multi-Link
• Modos de McAfee Multi-Link: carga compartida, modo activo/pasivo y agregación
de vínculos
VPN de cliente a gateway • Cliente VPN con IPsec para Microsoft Windows
• Actualizaciones de configuración automática desde el gateway
• Conmutación en caso de error automática con McAfee Multi-Link
• Comprobaciones de seguridad del cliente
• Inicio de sesión a dominios seguro
VPN SSL
Acceso por cliente • Plataformas compatibles: Android 4.0, Mac 10.72 y Windows Vista SP23 (y versiones
más recientes)
Acceso por portal • Acceso por OWA e intranet a través de portal VPN SSL con un navegador
Antispam
Protocolos analizados SMTP
Motor Detección de spam basada en puntuaciones
Métodos de filtrado • Correspondencia personalizable de sobre/encabezado/contenido en mensajes de
correo electrónico
• Protección automática antifalsificación y retransmisión
• Filtrado de honeypot
• Correspondencia de registros SPF/MX
• Listas negras basadas en DNS
Funciones específicas de sistema IPS y de firewall de la capa 2
General • Filtrado de paquetes sin seguimiento de estado para protocolos Ethernet (DIX/IEEE)
• Filtrado de paquetes con seguimiento de estado para protocolos IP
• Correspondencia de interfaz lógica para redes VLAN e interfaces físicas
• Remarcado VLAN
• Filtrado de direcciones MAC

McAfee Next Generation Firewall 4

Ficha técnica
Especificaciones de McAfee Next Generation Firewall continuación
Gran disponibilidad
Funciones generales (todas las funciones)
Encapsulado
Control de acceso
Control de acceso avanzado
Gestión de tráfico y QoS
Inspección
Contra redes de bots
Antimalware avanzado
Reputación de archivos
McAfee Advanced Threat
Defense
Antivirus
Detección dinámica del contexto
Normalización de protocolos
Inspección específica
de protocolos
Huellas digitales independientes
de protocolos
Detección de anomalías
y evasiones
Huellas digitales personalizadas
Inspección de tráfico TLS
Correlación
McAfee Next Generation Firewall
• Clúster de firewall de la capa 2 (activo-pasivo)
• Clúster del sistema IDS (activo-activo/activo-pasivo)
• Clúster serie del sistema IPS (activo-activo)
• Soporte de interfaz de apertura en caso de error (modo IPS)
• Gestión dinámica de sobrecarga de inspección (modo IPS)
Ethernet, 802.1q VLAN, PPPoA4, PPPoE5
• Tunelización IP en IP IPv4 e IPv6
• Encapsulado IPV6 GRE
• Zonas de interfaz
• Control temporal
• Información TLS
• Nombres de dominio
• Información de usuario
• Aplicaciones
• Diseño del tráfico basado en directivas
• Definición de prioridades, de mínimos garantizados y de límites máximos en cuanto
al ancho de banda
• Definición de correspondencias/marcados DSCP (Differentiated Services Code Point)
• Limitación de sesiones simultáneas basada en directivas
• Reescritura del tamaño de segmento máximo (MSS) de conexiones TCP basada
en directivas
• Detección por descifrado
• Análisis de secuencia de longitud de mensajes
Selección usando filtrado de archivos, reputación, McAfee Advanced Threat Defense y
las opciones de McAfee AntiVirus
• Filtrado de archivos por directivas
• Categorías de archivo: comprimido, ejecutable, multimedia, documento de
Microsoft Office
• Tipos de archivo: Flash, GIF, JPEG, MPEG, OLE, PDF, PNG, Riff, RTF, ZIP
• Clasificación según el servicio en la nube de McAfee Global Threat Intelligence
• Redirección de archivos a McAfee Advanced Threat Defense
• McAfee AntiVirus: base de datos de firmas local en archivo, actualizaciones automáticas
en tiempo real
• Protocolos analizados: FTP, HTTP, HTTPS, POP3, IMAP, SMTP
Protocolo, aplicación, tipo de archivo (Flash, GIF, JPEG, MPEG, OLE, PDF, PNG, RIFF, RTF,
archivo de texto y archivo binario)
Normalización de protocolos completa para Ethernet, IPv4, IPv6, ICMP, UDP, TCP, DNS,
FTP, HTTP, IMAP, IMAPS, SMTP, SSH, NBT, SMB, SMB2, Microsoft RPC, POP3, POP3S, SIP,
TFTP, HTTPS (SSL/TLS), GRE, IP in IP y encapsulado IPv6
DNS, FTP, HTTP, HTTPS, IMAP, IMAPS, SMTP, SSH, NBT, SMB, SMB2, Microsoft RPC, POP3,
POP3S, SIP, TFTP
Cualquier protocolo TCP/UDP
• Normalización de tráfico multicapa
• Huellas digitales basadas en vulnerabilidades
• Motor de inspección basado en software totalmente ampliable
• Registro de anomalías y evasiones
• Comparación de huellas digitales independientes de protocolos
• Lenguaje de huellas digitales basado en expresiones regulares
• Utilidad de conversión de firmas Snort
• Huellas digitales de aplicaciones personalizadas
• Descifrado e inspección de flujos cliente-servidor HTTPS
• Comprobaciones de validez de certificados TLS
• Lista de excepciones basada en nombres de dominio de certificados
Correlación local y por servidores de registros
5
Ficha técnica
McAfee. Part of Intel Security.
6205 Blue Lagoon Drive
Suite 600
Miami, Florida 33126
U.S.A.
www.intelsecurity.com
Especificaciones de McAfee Next Generation Firewall continuación
Protección contra DoS/DDoS • Detección de ataques flood SYN/UDP
• Limitación de conexiones simultáneas, compresión de registros basada en interfaces
• Protección contra métodos de solicitudes HTTP lentas
Reconocimiento Análisis de protocolos TCP/UDP/ICMP, detección de ataques sigilosos y de análisis lento
en IPv4 e IPv6
Métodos de bloqueo Bloqueo directo, restablecimiento de conexiones, listas negras (locales y distribuidas),
respuesta HTML, redirección
Registro del tráfico Extractos/registros automáticos del tráfico asociado a usos inapropiados
Actualizaciones • Actualizaciones dinámicas automáticas a través de McAfee Security Management Center
• Actualmente, protección contra unas 4000 vulnerabilidades
Filtrado de URL
Protocolos HTTP, HTTPS
Motor Filtrado de URL basado en categorías Webroot, listas blancas/negras
Base de datos • Más de 280 millones de dominios de primer nivel y subpáginas (de miles de millones
de URL)
• Asistencia en más de 43 idiomas, 82 categorías
Gestión y supervisión
Administración centralizada Sistema de administración, de registro y de generación de reportes de nivel empresarial.
Consulte la ficha de datos de McAfee Security Management Center para obtener
más información.
Supervisión SNMP SNMPv1, SNMPv2c y SNMPv3
Captura de tráfico Consola tcpdump, captura remota a través de Security Management Center
Comunicaciones de Cifrado de 256 bits de las comunicaciones entre el motor y el servidor de administración
administración de alta seguridad
Certificaciones de seguridad Common Criteria EAL4+, criptocertificado FIPS 140-2, CSPN por ANSSI (certificación de
seguridad de primer nivel)
1
Los algoritmos de cifrado admitidos dependen de la licencia utilizada.
2
Disponible próximamente.
3
Ídem.
4
Función de firewall/VPN solamente.
5
Ídem.
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee son
marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y
marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento
se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; se ofrecen sin garantía de ningún tipo, ya sea explícita o
implícita. Copyright © 2014 McAfee, Inc. 61327ds_ngfw_1114_fnl_ETMG