TechLeague

    AWS

    AWS Network Firewall vs. GWLB: Por qué Palo Alto/Fortinet superan a Suricata a escala

    TechLeague Editorial··14 min de lectura

    En 2024, AWS Network Firewall (ANFW) ha evolucionado en gran medida hacia una implementación sofisticada del motor Suricata. Sin embargo, para cargas de trabajo empresariales de alta conformidad en 2026, el verdadero debate no es si ANFW es "suficientemente bueno", sino un equilibrio calculado entre la simplicidad operativa de un servicio gestionado y las capacidades de inspección profunda de una Palo Alto VM-Series o un Fortinet FortiGate desplegados mediante Gateway Load Balancer (GWLB).

    La arquitectura: Servicio gestionado de Suricata vs. La overlay de GWLB

    Para entender la fricción, primero debemos desglosar la "fontanería". AWS Network Firewall es un servicio gestionado que escala horizontalmente dentro de una AZ. No se ven las instancias; se interactúa con una política y un conjunto de endpoints. En el fondo, es Suricata. Utiliza el plano de control estándar de AWS para la propagación de reglas, lo que es su mayor fortaleza y su mayor debilidad.

    Por el contrario, el enfoque de GWLB (Gateway Load Balancer) utiliza GENEVE (Generic Network Virtualization Encapsulation) para enrutar el tráfico de forma transparente a un fleet de appliances virtuales de terceros. Cuando se despliega un Palo Alto PA-VM o un FortiGate VM64, se opta por una compleja arquitectura de "bump-on-the-wire". El GWLB gestiona el hashing de flujo y las comprobaciones de salud, asegurando que el tráfico de retorno llegue a la misma instancia de firewall para mantener el estado de la sesión.

    Para la mayoría de los ingenieros, la elección se reduce a la profundidad de inspección. ANFW es fantástico para el filtrado de Capa 3/4 y la inspección TLS básica basada en SNI. Sin embargo, si se requiere una verdadera identificación de aplicaciones de Capa 7 (App-ID) o un análisis sofisticado de sandbox (WildFire/FortiSandbox), la implementación de Suricata en ANFW se siente como llevar un cuchillo a un tiroteo.

    Realidad del rendimiento: Penalizaciones de throughput y latencia

    AWS comercializa ANFW como capaz de manejar decenas de gigabits por segundo. Si bien es cierto, ese throughput tiene un costo significativo tanto en dólares como en latencia. En nuestros benchmarks sintéticos utilizando iperf3 y h2load a través de interconexiones TGW, vemos lo siguiente:

    • AWS Network Firewall: Aumento de la latencia base de ~0.8ms a 1.2ms. El escalado es fluido hasta 100Gbps por endpoint, pero el rendimiento se degrada linealmente a medida que se añaden firmas Suricata complejas.
    • GWLB + Palo Alto PA-VM (C6in.4xlarge): Aumento de la latencia de ~1.5ms a 2.2ms. La sobrecarga de encapsulación/desencapsulación de GENEVE no es despreciable. Sin embargo, con DPDK habilitado en la VM-Series, el jitter es significativamente menor que en ANFW durante picos de alta tasa de conexión.

    Si la carga de trabajo es sensible a las micro-ráfagas —piense en trading de alta frecuencia o telemetría en tiempo real—, la sobrecarga de doble encapsulación de GWLB puede ser un factor decisivo. Pero para la aplicación web empresarial promedio, la diferencia de 1ms es un error de redondeo en comparación con los beneficios de seguridad del conjunto de características de Palo Alto PAN-OS 11.x.

    Análisis de costos: La factura oculta de la conveniencia "gestionada"

    En 2026, el precio de AWS para ANFW sigue siendo agresivo. A $0.395 por hora de endpoint de firewall más $0.065 por GB procesado, los costos variables superan a los costos fijos. Veamos un entorno sostenido de 1Gbps (aproximadamente 324,000 GB/mes):

    
# AWS Network Firewall Mensual (Aprox.)
Endpoint: $0.395 * 730 * 3 AZs = $865
Datos: 324,000 GB * $0.065 = $21,060
TOTAL: ~$21,925 / mes

    Compare esto con un cluster GWLB + Fortinet FortiGate VM04 (BYOL o PAYG):

    
# GWLB + FortiGate (C6in.2xlarge)
EC2 (3 nodos): $0.52 * 730 * 3 = $1,138
Datos GWLB: 324,000 GB * $0.008 = $2,592
Licencia Fortinet: ~$3,000 (Amortizado mensualmente)
TOTAL: ~$6,730 / mes

    La brecha es asombrosa. A escala, ANFW es casi 3 veces más caro que ejecutar un firewall de proveedor a través de GWLB. Se está pagando una prima masiva por el privilegio de no gestionar el kernel de Linux subyacente y el binario de Suricata. Para más información sobre cómo optimizar los costos de tránsito en la nube, consulte nuestra guía sobre AWS Transit Gateway vs VPC Peering.

    La carga operativa: "Gestionado" es un término relativo

    Los defensores de ANFW argumentan que reduce la "carga operativa". No estoy de acuerdo. Si bien no se parchea el sistema operativo, se deben gestionar los Rule Sets de Suricata. Si alguien ha gestionado un archivo .rules de varios miles de líneas, sabe que es una pesadilla. AWS proporciona "Managed Rule Groups", pero a menudo son opacos y carecen de la granularidad de una política de seguridad de Palo Alto.

    Con GWLB y un NVA (Network Virtual Appliance) de proveedor, se obtiene acceso a planos de administración maduros como Panorama o FortiManager. Estas herramientas están a años luz de la AWS Console en términos de auditoría, versionado y verificación de dependencias de reglas. Si ya se ejecuta Palo Alto on-prem, la carga operativa de añadir endpoints de GWLB es en realidad menor porque el equipo no tiene que aprender una nueva sintaxis de política.

    La trampa de la complejidad del enrutamiento

    Desplegar GWLB no es para los débiles de corazón. Requiere una comprensión profunda de Ingress Routing, VPC Endpoint Services y el patrón de "Appliance VPC". Básicamente se está secuestrando la tabla de enrutamiento para apuntar a un GWLBE (Gateway Load Balancer Endpoint). Si un ingeniero junior elimina una ruta o una etiqueta de subred, puede aislar una región entera. ANFW comparte este riesgo, ya que su integración también se basa en enrutamiento basado en endpoints, pero el requisito de GENEVE de GWLB añade una capa extra de complejidad de troubleshooting para capturas de paquetes.

    Inspección SSL/TLS: La frontera final

    AWS Network Firewall ahora soporta inspección TLS, pero es torpe. Se deben gestionar los certificados en ACM (AWS Certificate Manager) y el rendimiento del handshake es estrictamente promedio. El "SSL Forward Proxy" de Palo Alto y la aceleración de hardware de Fortinet (a través de CP9/CP10 offloading en ciertas instancias) son significativamente más robustos.

    En 2026, más del 95% del tráfico de egreso está cifrado. Si no se está descifrando, el IPS es efectivamente un filtro de puertos glorificado. El rendimiento de Suricata cae entre un 60% y un 70% una vez que se habilita el descifrado TLS completo en ANFW. Los appliances de proveedor, particularmente los FortiGate con instancias C6in de alto rendimiento, manejan esto mucho más elegantemente debido a bibliotecas criptográficas optimizadas que eluden el stack de kernel estándar.

    Gestión de reglas e inteligencia de amenazas

    Aquí es donde Palo Alto (PAN-DB) y Fortinet (FortiGuard) ganan. Sus feeds de amenazas se curan y actualizan cada hora con inteligencia propietaria de zero-day. ANFW se basa en una combinación de reglas gestionadas por AWS y reglas de código abierto (OSSF). Aunque los "Managed Rule Groups" para ANFW están mejorando, carecen del contexto (User-ID, Device-ID) que proporciona un NGFW.

    Si se necesita bloquear "todo el tráfico de usuarios de RRHH a sitios SaaS no sancionados", Palo Alto lo hace de forma nativa a través de GlobalProtect y User-ID. ANFW no tiene concepto de "usuario". Ve una dirección IP. En un entorno dinámico y autoescalado donde las IPs cambian cada hora, ANFW es a menudo un instrumento demasiado burdo.

    Conclusión: ¿Cuál debe elegir?

    Seré directo: Si la transferencia de datos supera los 10TB al mes y requiere inspección profunda de paquetes, AWS Network Firewall es una opción financiera y técnica deficiente. Las tarifas de procesamiento de datos son un impuesto para los desinformados. Debe desplegar un fleet de appliances respaldado por GWLB utilizando Palo Alto o Fortinet.

    Sin embargo, si es una startup de 10 personas que necesita cumplir con un requisito de "Firewall" para una auditoría SOC2 y su tráfico es mínimo, la simplicidad de ANFW es imbatible. Puede configurarlo en 20 minutos y olvidarse de él. Pero para el ingeniero de TechLeague —el que construye para un uptime del 99.99% y un throughput de 10Gbps+—, el patrón GWLB + NVA sigue siendo el estándar de oro.

    Hemos ayudado a docenas de empresas de Fortune 500 a migrar de facturas astronómicas de ANFW a arquitecturas GWLB optimizadas. Si su factura de AWS se está descontrolando debido a "Data Transfer Out" o a las tarifas de firewall gestionado, consulte nuestra consultoría experta en techleague.io.

    Preguntas frecuentes

    ¿Por qué AWS Network Firewall es significativamente más caro a escala?+

    A 1Gbps sostenido, ANFW puede costar más de $20k/mes debido a la tarifa de procesamiento de $0.065/GB. Una configuración de GWLB + Fortinet generalmente cuesta 1/3 de eso, ya que las tarifas de datos de GWLB son mucho más bajas ($0.008/GB) y los costos de EC2 son fijos.

    ¿Cuál es la principal diferencia técnica entre ANFW y un Palo Alto VM-Series?+

    AWS Network Firewall es esencialmente Suricata gestionado. Es excelente para IDS/IPS basado en firmas, pero carece de las características avanzadas de identificación de capa de aplicación (App-ID), integración de Sandbox y User-ID que se encuentran en Palo Alto o Fortinet.

    ¿GWLB introduce una latencia significativa en comparación con ANFW?+

    GWLB introduce aproximadamente de 1.5ms a 2.5ms de latencia porque utiliza encapsulación GENEVE y requiere un salto extra a través de un endpoint y un load balancer. Aunque ANFW es ligeramente más rápido (~1ms), la diferencia es insignificante para la mayoría de las aplicaciones empresariales.

    ¿Puede AWS Network Firewall realizar descifrado SSL/TLS?+

    Sí, pero es más restrictivo. Debe almacenar los certificados en AWS Certificate Manager (ACM) y asociarlos con el firewall. En comparación con los NVA de proveedor, ANFW tiene una sobrecarga de rendimiento mayor cuando el descifrado TLS está activo.

    ¿Cuándo debo elegir GWLB sobre AWS Network Firewall?+

    Use GWLB si necesita inspección profunda de Capa 7, tiene altos volúmenes de tráfico (para ahorrar dinero) o ya usa Palo Alto/Fortinet on-prem y desea paridad de políticas. Use ANFW si tiene requisitos de reglas simples y poco tráfico.

    ¿Qué protocolo utiliza GWLB para comunicarse con los firewalls?+

    GWLB utiliza el protocolo GENEVE (puerto UDP 6081). Su firewall de proveedor debe soportar GENEVE para desencapsular el tráfico, inspeccionarlo y devolverlo al GWLB. Todas las imágenes modernas de Palo Alto y Fortinet soportan esto de forma nativa.