Volver al blog Seguridad

Elegir un firewall para SMB

Criterios y costos para seleccionar el firewall adecuado para tu empresa.

Monarc Latin America

El firewall: tu primera línea de defensa

Para una pequeña o mediana empresa (SMB), el firewall es probablemente la inversión de seguridad más importante que puedes hacer. Pero con tantas opciones en el mercado — desde MikroTik hasta Fortinet, pasando por pfSense y Sophos — ¿cómo elegir el correcto?

En este artículo te guiamos por los criterios clave para tomar la mejor decisión según tu tamaño, presupuesto y necesidades.

Criterios de selección

1. Throughput y rendimiento

El throughput del firewall debe superar tu ancho de banda contratado, especialmente con inspección habilitada. Los fabricantes publican dos números:

  • Throughput bruto: Velocidad máxima sin inspección (poco útil en la práctica).
  • Throughput con IPS/DPI: Velocidad real con todas las funciones de seguridad activas.
Tamaño de empresaEmpleadosThroughput recomendado (con IPS)
Micro1-10100-300 Mbps
Pequeña10-50300 Mbps - 1 Gbps
Mediana50-2001-5 Gbps
Grande200+5+ Gbps

2. Funcionalidades necesarias

No todos los firewalls incluyen las mismas funciones. Evalúa qué necesitas:

  • Firewall stateful: Lo básico. Todos lo incluyen.
  • VPN (IPSec/L2TP/WireGuard): Para conexiones remotas y site-to-site.
  • IDS/IPS: Detección y prevención de intrusiones.
  • Content filtering: Bloqueo de sitios por categoría.
  • Application control: Identificar y controlar apps (YouTube, redes sociales).
  • Antivirus en gateway: Escaneo de tráfico en tiempo real.
  • Sandbox: Análisis de archivos sospechosos en entorno aislado.

3. Costo total de propiedad (TCO)

El precio del hardware es solo una parte del costo. Considera:

  • Licencias anuales: Muchos firewalls requieren suscripciones para IPS, antivirus, content filtering.
  • Soporte del fabricante: ¿Incluye actualizaciones de firmware?
  • Personal técnico: ¿Necesitas un especialista para administrarlo?
  • Electricidad y rack: Consumo eléctrico y espacio físico.

Comparativa de opciones populares

MikroTik (RouterOS)

Ideal para: Empresas con equipo técnico experimentado.

  • Pros: Costo inicial muy bajo, licencia perpetua sin suscripciones, extremadamente flexible, excelente rendimiento por precio.
  • Contras: Curva de aprendizaje alta, no tiene IPS/antivirus integrado nativamente, interfaz menos amigable.
  • Costo: $100-$500 por el hardware. Sin costos recurrentes.
  • Mejor para: Firewall stateful + VPN + QoS + routing avanzado.

pfSense / OPNsense

Ideal para: Empresas que quieren código abierto con GUI amigable.

  • Pros: Gratuito (Community Edition), IDS/IPS con Suricata, VPN, content filtering con pfBlockerNG.
  • Contras: Requiere hardware dedicado, soporte comunitario (o pagar por comercial), actualizaciones manuales.
  • Costo: $0 software + $300-$1,500 hardware. Soporte comercial opcional.

Fortinet FortiGate

Ideal para: Empresas que necesitan protección completa sin complicaciones.

  • Pros: UTM completo (IPS, AV, web filter, app control, sandbox), interfaz intuitiva, FortiGuard Labs actualiza firmas constantemente.
  • Contras: Licencias anuales costosas, dependencia del ecosistema Fortinet.
  • Costo: $500-$3,000 hardware + $500-$2,000/año en licencias.

Sophos XGS

Ideal para: Empresas con endpoints Sophos (sinergia Synchronized Security).

  • Pros: Integración con endpoints, interfaz moderna, SD-WAN incluido.
  • Contras: Puede ser lento con todas las funciones activas, licencias recurrentes.
  • Costo: Similar a Fortinet.

Nuestra recomendación por escenario

EscenarioRecomendaciónRazón
Presupuesto limitado, equipo técnicoMikroTik + Suricata externoMáximo rendimiento por precio
Sin equipo técnico dedicadoFortiGate con FortiGuardAdministración simple, protección completa
Oficinas remotas + VPNMikroTik para VPN + FortiGate centralCosto optimizado por sitio
Cumplimiento regulatorioFortiGate o SophosReportes y auditoría integrados

Configuración mínima recomendada

Sin importar qué firewall elijas, asegúrate de configurar:

  1. Políticas deny-all por defecto: Solo permitir tráfico explícitamente autorizado.
  2. Segmentación de red: Separar tráfico por VLANs (ver nuestro artículo sobre segmentación Wi-Fi).
  3. VPN para acceso remoto: Nunca exponer servicios internos directamente a internet.
  4. Actualizaciones automáticas: Firmas de IPS y firmware al día.
  5. Logging centralizado: Enviar logs a un syslog server para análisis.
  6. Backup de configuración: Respaldos automáticos y versionados.

Errores comunes al elegir un firewall

  • Comprar por marca sin evaluar necesidades: Un FortiGate es excelente, pero si solo necesitas firewall stateful y VPN, un MikroTik hace lo mismo por una fracción del costo.
  • Ignorar el throughput con IPS: El número en la caja es el throughput bruto. Con IPS activo puede caer un 50-70%.
  • No presupuestar licencias: Ese firewall de $1,000 puede costarte $2,000/año en suscripciones.
  • Configuración por defecto: Un firewall recién instalado sin configurar ofrece poca protección real.

Conclusión

El mejor firewall es el que se ajusta a tu realidad: presupuesto, equipo técnico disponible y nivel de protección necesario. No existe una respuesta universal — pero sí existe una solución óptima para cada empresa.

¿Necesitas ayuda para elegir e implementar tu firewall? En Monarc evaluamos tu infraestructura, recomendamos la mejor opción y nos encargamos de la implementación completa. Contáctanos para una consulta sin compromiso.

Ver todos los artículos