¿Qué es el Firewall con seguridad avanzada?
El Firewall de Windows Defender con seguridad avanzada es una consola de administración que permite configurar reglas de filtrado de tráfico, seguridad de conexión IPsec y monitoreo, ofreciendo un control granular sobre la protección de red del equipo de cómputo.
El Firewall de Windows Defender con seguridad avanzada es un complemento de Microsoft Management Console (MMC) que proporciona opciones de configuración mucho más detalladas que el panel simplificado de "Firewall y protección de red" en Configuración de Windows.
Mientras que la interfaz básica permite habilitar o deshabilitar el firewall y permitir aplicaciones de forma sencilla, esta consola avanzada (conocida por su ejecutable wf.msc) está diseñada para usuarios técnicos y administradores que necesitan crear políticas de seguridad específicas.
Esta herramienta no solo filtra tráfico, sino que integra capacidades de IPsec (Protocolo de Seguridad de Internet) para autenticar y cifrar las comunicaciones entre equipos de cómputo, añadiendo una capa adicional de defensa.
Cómo acceder a la consola
Existen varias formas de abrir esta consola de administración:
| Método | Instrucciones |
|---|---|
| Cuadro de ejecutar | Presione Windows + R, escriba wf.msc y pulse Enter. |
| Menú Inicio | Escriba "Firewall de Windows Defender con seguridad avanzada" y seleccione la aplicación. |
| Panel de control | Panel de Control > Sistema y Seguridad > Firewall de Windows Defender > "Configuración avanzada". |
Perfiles de red
La consola organiza la configuración en tres perfiles independientes, cada uno con reglas que se activan según el tipo de red a la que se conecte el equipo de cómputo:
| Perfil | Descripción |
|---|---|
| Dominio | Se aplica cuando el equipo está conectado a una red corporativa que pertenece a un dominio de Active Directory. Suele heredar políticas centralizadas. |
| Privado | Diseñado para redes de confianza, como la doméstica o la de la oficina. Permite una mayor flexibilidad para compartir archivos o descubrir dispositivos en red. |
| Público | Es el perfil más restrictivo. Se activa en redes públicas (aeropuertos, cafeterías) para minimizar la exposición del equipo bloqueando la mayoría de las conexiones entrantes. |
Al crear una regla, se puede elegir a qué perfil(es) se aplica, permitiendo un comportamiento distinto según el entorno de red.
Configuración global del firewall
Desde las propiedades de la herramienta (haciendo clic derecho sobre el nodo raíz "Firewall... con seguridad avanzada" y seleccionando "Propiedades"), se puede acceder a la configuración general para cada perfil.
Las opciones más relevantes son:
-
Estado del firewall: Activa o desactiva el firewall para el perfil seleccionado.
-
Conexiones entrantes: Configura la acción predeterminada (Bloquear, Bloquear todas, o Permitir) para el tráfico que no coincida con ninguna regla explícita. Por defecto, es Bloquear.
-
Conexiones salientes: Configura la acción predeterminada para el tráfico saliente. Por defecto, es Permitir . Cambiar esta opción a "Bloquear" es una medida de hardening que obliga a crear reglas explícitas para cada programa que necesite salida a internet.
-
Registro (Logging): Permite configurar la ruta, el tamaño máximo y el nivel de detalle del archivo de registro para diagnosticar problemas.
Reglas de entrada y salida
El corazón de la configuración avanzada reside en la creación de reglas específicas que determinan qué tráfico se permite o bloquea.
-
Reglas de entrada: Controlan el tráfico que se origina en otros equipos y llega al nuestro. Al instalarse Windows, todo el tráfico entrante no solicitado está bloqueado por defecto. Para permitir que un programa externo se conecte al equipo (por ejemplo, un servidor web o una sesión de escritorio remoto), es necesario crear una regla de entrada.
-
Reglas de salida: Controlan el tráfico que se origina en nuestro equipo hacia el exterior. Por defecto, todo el tráfico saliente está permitido, pero se pueden crear reglas para bloquear aplicaciones específicas.
Tipos de reglas: Programa, Puerto y Predefinidas
Al crear una nueva regla (en el panel de acciones, "Nueva regla..."), el asistente ofrece varias opciones para definir el tráfico a controlar:
| Tipo de regla | Descripción | Cuándo usarla |
|---|---|---|
| Programa | Controla las conexiones de un programa específico, independientemente de los puertos que utilice. Basta con especificar la ruta al ejecutable (.exe). | Ideal cuando no se conoce el puerto exacto que usa la aplicación o cuando se quiere asegurar el control por aplicación. |
| Puerto | Controla las conexiones para un puerto TCP o UDP específico, independientemente de la aplicación que lo use. | Útil para servicios conocidos (ej. permitir tráfico entrante en el puerto 3389 para RDP, o bloquear el puerto 21 para FTP). |
| Predefinida | Controla conexiones para una función o rol específico de Windows, como "Compartir archivos e impresoras" o "Escritorio remoto". Estas reglas agrupan múltiples puertos y configuraciones necesarias para que el servicio funcione. | La opción más sencilla y segura para habilitar o deshabilitar servicios integrados de Windows. |
| Personalizada | Permite combinar criterios de los tipos anteriores y añadir condiciones más complejas, como restringir la regla a direcciones IP de origen o destino específicas. | Para aislamiento de equipos o cuando se requiere un control muy granular (ej. permitir RDP solo desde una IP de administración). |
Reglas de seguridad de conexión (IPsec)
Este tipo de reglas no permiten ni bloquean conexiones directamente, sino que establecen requisitos de autenticación o cifrado para el tráfico que cruza la red mediante IPsec.
Trabajan en conjunto con las reglas de entrada/salida: una vez que una regla de seguridad de conexión exige autenticación, se puede complementar con reglas de firewall que restrinjan el acceso solo a usuarios o equipos autenticados.
Algunos tipos de reglas de seguridad de conexión son:
-
Aislamiento: Restringen conexiones basándose en criterios de autenticación, como la pertenencia a un dominio.
-
Exención de autenticación: Designan equipos (por IP) que no necesitan autenticarse para conectar (útil para controladores de dominio o DHCP).
-
Servidor a servidor: Protegen el tráfico entre equipos específicos.
Monitoreo y registro
El nodo "Supervisión" (Monitoring) en la consola muestra un resumen de las reglas activas en ese momento, incluyendo tanto las reglas de firewall como las de seguridad de conexión. Es útil para verificar qué políticas se están aplicando realmente.
Para un análisis más profundo, es fundamental activar los archivos de registro. Desde las "Propiedades" del firewall, en cada pestaña de perfil, se encuentra la sección "Registro". Se puede configurar:
-
La ruta del archivo (por defecto
%systemroot%system32LogFilesFirewallpfirewall.log). -
El tamaño máximo.
-
Registro de paquetes eliminados: Al ponerlo en "Sí", se guardan los paquetes que el firewall bloquea, lo cual es esencial para diagnosticar por qué una conexión no funciona.
-
Registro de conexiones correctas: Al activarlo, se registran las conexiones permitidas.
Administración mediante comandos
Además de la interfaz gráfica, se puede gestionar el firewall desde la línea de comandos, lo que facilita la automatización de tareas.
-
Símbolo del sistema (netsh): El comando
netsh advfirewallpermite controlar el estado y las reglas. Por ejemplo:-
netsh advfirewall resetrestaura la configuración predeterminada del firewall. -
netsh advfirewall set allprofiles state offdesactiva el firewall para todos los perfiles. -
netsh advfirewall set allprofiles state onlo activa.
-
-
PowerShell: Los cmdlets del módulo NetSecurity ofrecen una gestión mucho más potente. Algunos ejemplos son:
-
New-NetFirewallRule -DisplayName "Permitir App" -Direction Inbound -Program "C:App.exe" -Action Allowpara crear una nueva regla de entrada para un programa. -
Set-NetFirewallRule -DisplayName "Regla Web" -RemoteAddress 192.168.0.2para modificar una regla existente. -
Remove-NetFirewallRule -DisplayName "Regla Web"para eliminar una regla. -
Set-NetFirewallProfile -DefaultInboundAction Block -DefaultOutboundAction Allowpara configurar las acciones por defecto de un perfil.
-
En resumen, el Firewall de Windows Defender con seguridad avanzada es una herramienta robusta y versátil que transforma el cortafuegos básico en un sistema de defensa profunda.
Su correcta utilización, mediante la combinación de perfiles, reglas específicas y el monitoreo, permite proteger el equipo de cómputo con un nivel de detalle propio de entornos empresariales, sin necesidad de software de terceros.