Cisco Secure Firewall y Meraki MX: gestión de red en la nube

Cisco ocupa un lugar único en el mercado de seguridad de red: es el proveedor de infraestructura de red más implantado del mundo, y ha construido sobre esa base una estrategia de seguridad que aprovecha la visibilidad inherente que tiene sobre el tráfico de millones de redes corporativas. Sin embargo, la estrategia de Cisco en firewalls es inusualmente compleja, con dos líneas de producto claramente diferenciadas que atienden a perfiles de cliente y de administrador muy distintos.

Cisco Secure Firewall (anteriormente conocido como Firepower) es la solución de firewall empresarial de gama alta de Cisco, con un sistema operativo potente (Firepower Threat Defense, FTD) y una gestión centralizada avanzada (Firepower Management Center, FMC o ahora Cisco Defense Orchestrator, CDO). Meraki MX, por su parte, es la solución de firewall cloud-managed del portfolio Meraki, diseñada para una administración extremadamente simple desde el dashboard web de Meraki. Son productos filosóficamente distintos que en muchas organizaciones coexisten en diferentes capas de la infraestructura.

Este artículo analiza en profundidad ambas soluciones: su arquitectura, sus fortalezas y limitaciones, los casos de uso donde cada una brilla, y cómo Cisco está convergiendo ambas líneas hacia una visión de seguridad unificada bajo el paraguas de Cisco Security Cloud.

Cisco Secure Firewall: la evolución de Firepower

La historia de Cisco Secure Firewall es la historia de una adquisición y una integración difícil. Cisco adquirió Sourcefire en 2013, obteniendo con ello el motor de IPS Snort (open source) y la plataforma FireSIGHT. La integración de Sourcefire con el legado ASA (Adaptive Security Appliance) de Cisco generó durante años una situación complicada: el mismo appliance físico podía correr ASA OS clásico, ASA con módulo Firepower Services, o el nuevo Firepower Threat Defense (FTD) unificado.

En 2026, FTD es la plataforma consolidada y Cisco ha discontinuado el desarrollo activo de ASA OS puro para nuevas implantaciones. FTD unifica la capacidad de routing y acceso del ASA clásico con las capacidades de inspección NGFW de Snort, control de aplicaciones, visibilidad avanzada y respuesta a amenazas. Los appliances actuales de la serie Secure Firewall 1000, 2100, 3100, 4200 y 9300 corren FTD sobre plataformas hardware de última generación.

Arquitectura de Firepower Threat Defense (FTD)

FTD integra en un único sistema operativo las capacidades que antes requerían dos sistemas separados (ASA + Firepower Services). La arquitectura se basa en el motor de inspección Snort 3.0 (la versión más reciente, con mejoras significativas de rendimiento respecto a Snort 2), el motor de control de aplicaciones NGFW, el motor de filtrado de URL con Talos Intelligence y el motor de VPN (AnyConnect/Secure Client para acceso remoto, IKEv2 para site-to-site).

El motor de detección de amenazas de FTD se nutre de Cisco Talos, el grupo de investigación de amenazas más grande del sector privado. Talos procesa una cantidad ingente de telemetría de los productos Cisco (correo, web, endpoints, DNS, red) para generar inteligencia de amenazas actualizada que se distribuye a todos los productos Cisco Security. Esta ventaja de telemetría es uno de los argumentos más sólidos de Cisco frente a fabricantes más pequeños.

Gestión centralizada: FMC vs Cisco Defense Orchestrator

La gestión de Cisco Secure Firewall puede realizarse a través de dos plataformas: Firepower Management Center (FMC) y Cisco Defense Orchestrator (CDO). FMC es la plataforma de gestión on-premise o virtual, con capacidades avanzadas de correlación de eventos, análisis de comportamiento de red y gestión granular de políticas. CDO es la alternativa cloud, más moderna en su interfaz y con mayor facilidad de adopción, que gestiona tanto FTD como ASA clásico y Meraki MX desde una única consola.

FMC es la opción más potente para entornos complejos con muchos firewalls y requisitos avanzados de correlación y compliance. Su interfaz, aunque funcional, tiene una curva de aprendizaje pronunciada y no es especialmente moderna visualmente. CDO apunta a simplificar la gestión para equipos con recursos limitados o para organizaciones que no necesitan toda la complejidad de FMC.

• FMC incluye capacidades de correlación de eventos que permiten crear reglas complejas del tipo 'si un host intenta conectarse a más de 10 hosts distintos en menos de 60 segundos, generar una alerta de posible escáner'.
• CDO unifica la gestión de FTD, ASA, Meraki y otros dispositivos Cisco en una sola interfaz cloud, reduciendo la complejidad operativa.
• La API de FMC (REST API) es muy completa y permite automatización de gestión de políticas, ideal para organizaciones con equipos de DevSecOps.
• Cisco ha anunciado la convergencia a largo plazo hacia CDO como plataforma de gestión unificada, por lo que las nuevas implantaciones deberían evaluar CDO salvo que necesiten capacidades específicas de FMC.

Cisco Talos: la inteligencia de amenazas que marca la diferencia

Cisco Talos es el grupo de investigación de amenazas de Cisco y uno de los más respetados del sector de ciberseguridad. Con cientos de investigadores dedicados al análisis de malware, vulnerabilidades y tácticas de atacantes, Talos procesa diariamente una cantidad de telemetría que pocos competidores pueden igualar.

Para los clientes de Cisco Secure Firewall, la integración con Talos significa que las firmas de IPS y los indicadores de compromiso (IoC) se actualizan en tiempo real basándose en amenazas observadas en la red global de Cisco. Cuando Talos identifica una nueva campaña de malware o una nueva vulnerabilidad explotada activamente, las protecciones se distribuyen a todos los clientes Cisco en horas. Esta capacidad de respuesta global es uno de los argumentos más sólidos del ecosistema Cisco frente a fabricantes con menor volumen de telemetría.

Cisco Meraki MX: simplidad cloud-first

Meraki MX es una línea de appliances de seguridad de red cuya característica definitoria es la gestión 100% cloud a través del dashboard de Meraki (dashboard.meraki.com). No hay servidor de gestión on-premise, no hay consola de escritorio: toda la configuración se realiza a través de una interfaz web moderna, accesible desde cualquier navegador y desde dispositivos móviles.

Esta filosofía de diseño tiene consecuencias importantes: la administración de Meraki MX es extraordinariamente sencilla comparada con cualquier otro NGFW del mercado. Un administrador puede desplegar y configurar un MX en minutos, añadir nuevas sedes remotamente sin enviar a nadie a la ubicación (zero-touch provisioning), y monitorizar el estado de toda la red en tiempo real desde el dashboard. Para organizaciones con muchas sedes pequeñas y equipos de IT reducidos, esto es transformador.

Modelos Meraki MX y sus casos de uso

• MX67/MX68: para oficinas pequeñas y teletrabajadores. Hasta 450 Mbps de rendimiento de firewall, soporte de hasta 50 usuarios concurrentes de VPN.
• MX75/MX85: para sedes medianas. Hasta 1 Gbps de firewall y 500 Mbps de VPN, con soporte de 4G LTE como enlace de backup integrado en el MX68.
• MX95/MX105: para sedes grandes y campus. Hasta 3 Gbps de firewall, SD-WAN completo y soporte de múltiples ISP.
• MX250/MX450: para centros de datos y concentradores SD-WAN. Hasta 4 Gbps y soporte de miles de túneles VPN simultáneos.
• vMX: appliance virtual para despliegues en AWS, Azure y GCP, permitiendo extender la red Meraki al cloud.

SD-WAN con Meraki: AutoVPN y optimización de WAN

AutoVPN es la funcionalidad SD-WAN más característica de Meraki y una de las razones principales por las que muchas empresas adoptan la plataforma. Con AutoVPN, basta con activar el rol 'Hub' en el MX central y 'Spoke' en los MX de sedes remotas para que Meraki establezca automáticamente los túneles IPsec entre todas las sedes de la organización, sin necesidad de configurar manualmente las fases IKE o los selectores de tráfico.

La funcionalidad SD-WAN de Meraki incluye: failover automático entre ISP, traffic shaping para priorizar tráfico crítico (voz, videoconferencia), application-aware routing para dirigir el tráfico por el enlace de mejor calidad según el tipo de aplicación, y monitorización en tiempo real de la calidad de todos los enlaces WAN. La integración con las herramientas de visibilidad de Meraki hace que el troubleshooting de problemas de WAN sea notablemente más sencillo que con soluciones tradicionales.

Capacidades de seguridad de Meraki MX

Aunque Meraki MX es conocido principalmente por su facilidad de gestión y sus capacidades SD-WAN, sus funcionalidades de seguridad son sustanciales. El MX incluye: firewall stateful con reglas de capa 7, IPS basado en Snort (el mismo motor que Cisco Secure Firewall), filtrado de contenido web con categorías, control de aplicaciones, protección avanzada contra malware (Cisco AMP integrado), VPN SSL para usuarios remotos (Cisco Secure Client compatible) y análisis de comportamiento con Cisco Secure Analytics (anteriormente Stealthwatch).

Sin embargo, es importante reconocer las limitaciones de Meraki MX en comparación con Cisco Secure Firewall (FTD) u otros NGFW de gama alta. La granularidad en la gestión de políticas de seguridad es menor: no existe un equivalente al sistema de políticas basadas en usuario+aplicación+contenido de PAN-OS o de FTD. La capacidad de personalización de las reglas de IPS es limitada. Y la inspección SSL, aunque disponible, tiene restricciones comparadas con appliances dedicados de seguridad.

Comparativa directa: Secure Firewall vs Meraki MX

La pregunta que muchos administradores se hacen es: ¿en qué casos usar Secure Firewall (FTD) y en qué casos usar Meraki MX? La respuesta depende del perfil de la ubicación, los requisitos de seguridad y las capacidades del equipo de administración.

• Secure Firewall (FTD) es la elección correcta para: centros de datos y sedes principales con alto volumen de tráfico, entornos con requisitos de seguridad muy exigentes (financiero, sanitario, defensa), organizaciones con equipos de seguridad dedicados que necesitan granularidad en políticas y correlación avanzada de eventos.
• Meraki MX es la elección correcta para: redes de distribución o retail con muchas sedes pequeñas, organizaciones con equipos IT reducidos que necesitan gestión simplificada, despliegues SD-WAN de múltiples sedes donde la facilidad de provisioning es crítica.
• La combinación de ambos es posible y cada vez más común: FTD en la sede central o el datacenter para inspección profunda, MX en las sedes remotas para conectividad SD-WAN sencilla, todo gestionado desde Cisco Defense Orchestrator.

Cisco Security Cloud: la visión de convergencia

Cisco ha presentado Cisco Security Cloud como su visión de plataforma de seguridad unificada para los próximos años. La idea es que los productos de seguridad de Cisco (Secure Firewall, Meraki MX, Umbrella, Duo, Secure Client, XDR, Secure Access) compartan telemetría, políticas y respuesta a amenazas bajo una capa de gestión unificada, desdibujando las fronteras entre los diferentes silos de seguridad actuales.

Cisco XDR (lanzado en 2023 y en evolución continua) es el componente de detección y respuesta que integra datos de todos los productos Cisco Security y de terceros selectos (CrowdStrike, ServiceNow) para proporcionar visibilidad unificada de amenazas y capacidad de respuesta automatizada. Para organizaciones con un ecosistema Cisco extenso, XDR reduce significativamente el tiempo necesario para investigar y responder a incidentes.

Cisco Umbrella: seguridad en la capa DNS

Ningún análisis del ecosistema Cisco Security estaría completo sin mencionar Cisco Umbrella. Umbrella es la solución DNS Security y Secure Web Gateway de Cisco, que proporciona protección contra amenazas en la capa DNS antes de que se establezca la conexión. Al resolver las consultas DNS a través de Umbrella, Cisco puede bloquear el acceso a dominios maliciosos, de phishing o de command-and-control de malware en tiempo real.

La integración de Umbrella con Meraki MX y con Cisco Secure Firewall permite extender la protección DNS a todos los usuarios de la organización, incluyendo los dispositivos móviles y los usuarios en teletrabajo, sin necesidad de instalar agentes adicionales. Esta capa de protección es especialmente eficaz contra el malware que utiliza DNS como canal de exfiltración o de comunicación con el servidor de control.

La ventaja de Cisco no está en un producto individual, sino en la profundidad de la telemetría que Talos obtiene del ecosistema global Cisco y en la capacidad de convertir esa inteligencia en protecciones que se distribuyen automáticamente a todos los clientes. En volumen de telemetría de amenazas, Cisco Talos no tiene rival.

Licenciamiento y modelo de suscripción Cisco

El modelo de licenciamiento de Cisco ha evolucionado hacia suscripciones anuales o plurianuales para la mayoría de las funcionalidades de seguridad. Para Secure Firewall, las licencias clave son: Secure Firewall Threat Defense (obligatoria para funcionalidades NGFW), Threat and Malware (IPS + AMP), URL (filtrado de URL) y la licencia de acceso remoto (RA VPN con Secure Client). Cisco también ofrece bundles que simplifican la adquisición.

Para Meraki MX, el modelo es más simple: cada appliance requiere una licencia de red (Meraki Enterprise License) que incluye todas las funcionalidades del dashboard y el soporte hardware. Las licencias de seguridad avanzada (Advanced Security) añaden IPS, filtrado de contenido avanzado y protección contra malware. El modelo de licencia por sede (por dispositivo) hace que el TCO sea predecible y fácil de planificar.

Casos de éxito y sectores donde destaca Cisco

Cisco domina especialmente en sectores donde ya existe una infraestructura de red Cisco consolidada: telecomunicaciones, grandes corporaciones, administración pública, sector financiero y universidades. En estos entornos, la integración nativa de la seguridad con el switching, routing y telefonía IP de Cisco reduce la complejidad operativa y el número de proveedores a gestionar.

En el sector retail y en cadenas de franquicias, Meraki MX ha ganado una cuota de mercado significativa gracias al zero-touch provisioning: la posibilidad de enviar un appliance a una nueva ubicación, que el responsable local lo conecte al ISP siguiendo instrucciones simples, y que la configuración se aplique automáticamente desde el dashboard central sin necesidad de que viaje un técnico de red. Para organizaciones con cientos o miles de sedes, este modelo de despliegue supone un ahorro operativo enorme.

Conclusión: el ecosistema Cisco como decisión estratégica

Elegir Cisco para la seguridad de red es, en muchos casos, una decisión estratégica más que puramente técnica. Si tu organización ya opera sobre infraestructura Cisco (switches Catalyst, routers ISR/ASR, telefonía Webex), extender esa elección a la seguridad tiene una lógica operativa y de vendor management clara. La integración nativa, el soporte unificado y la visibilidad correlacionada que ofrece el ecosistema Cisco son argumentos poderosos.

Si vas a evaluar Cisco Secure Firewall o Meraki MX, el primer paso es definir claramente el perfil de las ubicaciones a proteger y los recursos del equipo de administración. Solicita una demostración de Cisco Defense Orchestrator para ver cómo se gestiona la red completa desde una única plataforma cloud, y evalúa el programa Cisco Enterprise Agreement para simplificar la adquisición de licencias a nivel corporativo. La profundidad del ecosistema Cisco en 2026 es mayor que nunca, pero aprovecharlo requiere un plan de adopción claro y un equipo formado.