Meglio un firewall software o un firewall hardware? Dipende dalle esigenze e dai prezzi: ecco la nostra guida su WatchGuard, Cisco e Zyxel
La sicurezza informatica è un tema sempre più predominante su internet. D’altronde è la rete stessa a veicolare minacce per le nostre apparecchiature e i nostri dati personali. Ce ne sono di molto aggressivi, come malware, ransomware (ecco cos’è) e truffe informatiche. E ne esistono di più leggere, ma che ci provocano comunque fastidi e disagi nell’utilizzo del nostro computer. Dal semplice spam via mail, al mining inconsapevole di cui potete leggere tutto qua. Una delle soluzioni è il firewall, quella “porta tagliafuoco” che si contrappone tra i malintenzionati in rete e il vostro personal computer. Generalmente vengono utilizzati in ambienti aziendali, dove il valore dei dati e delle attrezzature è molto elevato e la rete da salvaguardare è complessa. Tuttavia anche un privato può acquistare un firewall e vivere a cuor leggero le sessioni di navigazione. Cosa scegliere tra firewall fisici WatchGuard, Cisco, Zyxel o servizi software?
1 Meglio un firewall software o hardware?
È la domanda chiave che ci prefissiamo di risolvere tra le righe dell’articolo. Prima però è bene spiegare cosa è un firewall software e hardware. Come funziona uno e come l’altro. Facciamo un passo indietro: anzitutto il firewall si pone tra due reti diverse, quella esterna e quella interna al nostro sistema. La prima è il cosiddetto internet: posto meraviglioso dove chiunque può condividere e scambiare informazioni. La seconda è la rete LAN, detta anche Local Area Network. È composta dai device del proprio ambiente di lavoro o della propria casa. In casi particolari c’è n’è una terza, chiamata DMZ (Demilitarized zone) che una sotto-rete della LAN. Il firewall fa da “buttafuori” tra LAN e internet, decidendo cosa può passare e cosa no nella rete locale.
Tornando al quesito di partenza, la differenza tra firewall software e hardware è molto semplice. Il primo è un programma o una suite di programmi che compiono tutte le operazioni da un pc collegato alla rete locale. Alcuni pacchetti di firewall software comprendono anche servizi di manutenzione, assistenza e aggiornamenti. Sul mercato si trovano quelli gratuiti, come il famoso Zone Alarm e Avira, ma la maggior parte sono a pagamento. Tra i più noti citiamo Bitdefender Internet Security 2018, pensato per chi ha Windows. Intego, indicato a chi usa Mac e McAfee per mobile. I prezzi vanno dai 21 € all’anno per Bitdefender, a 50-70 € per pacchetti più completi, come alcune versioni di Intego e McAfee Live. Le opinioni sono tutte ottime.
2 E il firewall Hardware? Prezzi e opinioni
Il firewall Hardware sono prodotti fisici: per capirci scatole da installare nel proprio ufficio e che svolgono meccanicamente le operazioni tipiche di un firewall. Al loro interno hanno un microprocessore, una RAM, una memoria non volatile , delle porte e un sistema operativo che gestisce un software apposito. Diciamo pure che ogni firewall hardware contiene necessariamente un firewall software, che gestisce le componenti fisiche dello strumento. Costano mediamente di più dei firewall software ma hanno tutto incluso. I prezzi vanno da un minimo di 2-300 € fino a un massimo di 4-5000 €. Le marche più famose e con opinioni più alte sono la Watchguard, con i suoi Firebox, la Cisco e la Zyxel.
3 Che differenza c’è tra un antivirus e un firewall software?
A prima vista, i due sistemi sembrerebbero svolgere le stesse operazioni. E invece ci sono differenze sostanziali. L’antivirus (qui la guida ai Kaspersky) si limita a rilevare codici virali e virus in un file scaricato sul pc. Una volta individuato, noi utenti veniamo notificati della presenza del virus e spinti a cancellarlo dal nostro hard disk prima che sia troppo tardi. Ma il file è bell’e che entrato nella nostra rete LAN, senza incontrare nessun muro o ostacolo nel suo cammino. Il firewall software invece ne avrebbe impedito l’ingresso a monte, senza farlo transitare tra i corridoi della nostra rete aziendale o casalinga.
Immaginiamo un firewall software come un vero e proprio interruttore o rubinetto, che consente o meno la comunicazione tra una rete e l’altra. Ma non solo: il firewall software – così come quello hardware – è in grado di compiere operazioni complesse. Dal controllo sulla navigazione (impedire o consentire agli utenti LAN di accedere a determinati siti), all’accesso in remoto di server, al blocco di mail spam.
4 Pro e contro tra firewall software e hardware
Come avrete capito, non esiste un sistema migliore degli altri. Dipende dalle esigenze di ciascun utente. Generalmente il firewall software è consigliato per utenti privati, che hanno esigenze più semplici e disponibilità economiche ridotte. I suoi vantaggi – oltre ai prezzi – sono un’installazione più snella, un’ottima interattività e gli aggiornamenti automatici. Non c’è bisogno di cambiare macchina, basta scaricare la nuova versione. Gli svantaggi sono il rallentamento del PC (ecco come assemblarne uno) sul quale il firewall software è installato, alcuni limiti di funzionalità e una protezione meno efficace.
I firewall hardware sono più adatti ad aziende medio grandi o in generale a chi necessita di connessioni WAN protette. Che siano Point-to-point o Multi-point. I vantaggi sono una maggiore protezione della rete, con filtraggio “a monte” e intelligente del traffico, una gestione routing, una qualità dei servizi inclusi più elevata e un numero di computer protetti potenzialmente infinita (o comunque nell’ordine del centinaio). Ah, non consuma risorse del computer, come invece è per il firewall software. Gli svantaggi sono i prezzi elevati e una configurazione complessa. Va detto che quest’ultimo problema è stato in parte risolto sugli ultimi modelli, che hanno un’efficace auto-configurazione.
5 Rischi del firewall hardware WatchGuard, Cisco e Zyxel
Da questo breve confronto è ovvio che il firewall hardware ne esce vincitore. In un certo senso così è, ma vogliamo mettervi in guardia su alcuni rischi nell’acquisto di un Firewall WatchGuard, Cisco o Zyxel. C’è un bellissimo articolo di Andrea Monguzzi, pubblicato su Linkedin qualche mese fa e che pone alcuni dubbi sulla reale utilità di un firewall hardware WatchGuard, Cisco e Zyxel come “scatola a sé”. Secondo Monguzzi “se il cliente acquista la scatola sbagliata (per colpa sua o di chi lo ha consigliato) oggi cosa può fare?
Ha solo due opzioni: 1) se la tiene e si arrangia oppure 2) litiga con il fornitore per non pagarla”. E in effetti ciò non succede con il firewall software, perché si tratta di un servizio. Oltretutto, continua Monguzzi “un firewall è mediamente complesso da gestire. Se non sei un informatico (ma forse anche se lo sei), non è detto che tu abbia le competenze per gestirlo in modo corretto e tale da garantire la sicurezza della tua rete”.
6 Il futuro è dei firewall software?
[Aggiornamento] Recentemente abbiamo avuto modo di discutere direttamente con Andrea Monguzzi, che ha tenuto a fare le sue precisazioni su quanto scritto da noi. Il nostro testo originale era:
Il discorso di fondo di Andrea Monguzzi non è sbagliato, anche se talvolta pecca di approssimazione. “Se hai bisogno la corrente non compri la centrale, così come non lo fai per il gas, l’acqua o la linea telefonica. Piuttosto, sottoscrivi un servizio”. Con il firewall tecnicamente è uguale: “è un servizio di sicurezza, e come tale va trattato”. Meglio risolvere un problema con un canone mensile, piuttosto che “costringere un cliente a comprare un dispositivo da 3.000 Euro, da pagare sull’unghia”. E se poi l’azienda chiude? O se più semplicemente le necessità cambiano, si resta con una costosissima scatola inutilizzata o sovradimensionata. Il canone di un servizio di firewall software invece, si può abbandonare in qualsiasi momento.
Qui le opinioni insomma, sono discordanti. Molto semplicemente, Andrea Monguzzi non tiene conto che un firewall software deve essere installato su uno o più PC, i quali si trovano “a valle” della rete LAN. In pratica il “muro” viene innalzato già dentro la rete locale, su uno strumento che si prenderà tutta la spazzatura che arriva dall’esterno. Questa ha già attraversato modem, router, switch e access point, appesantendo tutto l’apparato. Si risparmia è vero, ma il rischio nei firewall software è quello di non servire a praticamente nulla.
Qui riportiamo, onde evitare fraintendimenti, quello che lui ci ha scritto via mail. Il suo è un valido appunto e pensiamo possa tornare utile a chi sta ragionando sull’acquisto di un firewall:
“Il concetto che esprimo nel mio articolo è legato al fatto che in molti casi trovo aziende che hanno comprato un firewall, e lo stesso è abbandonato da anni su una mensola, senza nessun tipo di servizio di sicurezza attivo (perché scaduti o perché mai nemmeno attivati) e quindi totalmente inutile e inefficace. Quindi quando dico di non comprare la scatola intendo che non basta acquistare il pezzo di ferro. La scatola è indispensabile, ma va gestita. Siccome il servizio di gestione costa, ha più senso a mio avviso inserire anche l’hardware nel canone di servizio invece di comprare una cosa che, inevitabilmente, diventerà vecchia e andrà prima o poi sostituita o risulterà inadeguata. Preciso che non è Watchguard ad offrire un servizio di supporto e monitoraggio, ma il partner che lo fornisce e installa. L’apparato Watchguard, da solo, è una scatola. Costosa, pesante e – se non gestita – inutile”.
In ogni caso, consigliamo di consultare il suo articolo, dove illustra nel dettaglio il suo pensiero sulla sicurezza informatica aziendale. Ecco il link diretto.
7 La soluzione di mezzo
Tra pro e contro, forse abbiamo confuso le idee al lettore sui firewall software e i firewall hardware. Proponiamo così una (tra le tante) soluzioni di mezzo, per chi volesse un servizio efficiente, a “monte” della propria LAN e senza spendere un patrimonio. Sarebbe utile comprare un pc con specifiche scarse (dunque al costo di 150-200 €) e installare un sistema operativo libero e adatto allo scopo (Linux). Il passaggio successivo è quello di metterlo a monte di tutta la rete LAN, installarci la suite di servizi firewall software e utilizzarlo come firewall hardware fatto in casa. Oppure comprare un pc assemblato a dovere, con schede madre ITX con doppia scheda LAN e CPU integrata, metterci un sistema operativo Pfsense o ZeroShell. Su internet, ci sono ottimi tutorial su come realizzare un firewall hardware fai-da-te. A questo link, trovate le indicazioni di Roberto Saia, a quest’altro decisamente più creativo.
8 Firewall hardware: quali comprare?
L’offerta è ampia e – a meno che non siate degli smanettoni – è meglio comprare un firewall hardware a basso costo piuttosto che passare ore a tribolare su un vecchio PC. Ce ne sono sull’ordine dei 3-400 € di WatchGuard, Cisco e Zyxel che hanno già tutto incluso e un sistema di “auto-configurazione” piuttosto efficace. Di seguito vi proponiamo una breve guida con recensioni a qualche modello dei tre brand più interessanti nel settore.
Firewall WatchGuard: I guardiani rossi del vostro business
Un marchio si distingue dalla concorrenza per storia, qualità e personalità. Si chiama WatchGuard (qui la loro storia completa) e propone un’offerta minimale ma perfetta di firewall per uffici e ambienti domestici. Suoi sono i Firebox, scatole di colore rosso lanciate sul mercato nel 1997 – agli albori di internet – e che hanno conquistato la fiducia del consumatore in oltre un ventennio di affidabilità. La formula vincente, promettono gli ingegneri di Watchguard, consiste nel connubio tra personalizzazione e semplicità. L’assistenza, la garanzia e l’a configurazione di un firewall hardware Firebox è in effetti ineccepibile. fanno tutto loro (o quasi) e hanno incluso nel prezzo un abbonamento a tutto il pacchetto servizi di firewall software made in WatchGuard. Date uno sguardo alle offerte Trade In e Trade Up: sono sconti fatti dall’azienda, per acquisire nuovi clienti.
Il Trade In è una sorta di rottamazione sull’usato di ogni altra marca in cambio di un abbonamento di 3 anni al servizio di Unified Threat Management e un 20% di sconto sul firewall hardware WatchGuard. Il Trade Up ha uno sconto minore e riguarda la rottamazione di uno stesso firewall hardware WatchGuard. Il miglior modello non esiste, perché dipende molto dalle vostre esigenze. Uno dei più venduti comunque è il WatchGuard Firebox WGT15, che si trova su Amazon a 491 €. C’è anche il T50-W che abbiamo trattato in una recensione specifica e di cui se ne dice un gran bene.
Il Cisco ASA 5506-X: Firewall economico ma di qualità
Tanti i brand che producono porte tagliafuoco c’è Cisco. E’ un’azienda statunitense, fondata nel 1984 a San Diego e che si è specializzata in apparecchi di networking. Tra i firewall più popolari, c’è il Cisco Asa 5506-X: nome con poco appeal, ma che cela un prodotto di grande pregio. La vera sorpresa però, sta nel prezzo ed è il motivo per cui lo consigliamo a cuor leggero: se mediamente un firewall si aggira sui 1000 € e supera tranquillamente i 10000, il Cisco ASA 5506-X si attesta sui 500 €.
Comprato su Amazon sarà vostro per 365 €.
Cos’ha di speciale il Cisco ASA 5506-X?
È presto detto. Il Cisco ASA 5506-X fa parte dei firewall di ultimissima generazione, conosciuti come “Next-firewall generation” o NGFW. Che per la protezione da malware e virus è di per sé un’ottima cosa. Meglio optare per qualcosa di aggiornatissimo. Il Cisco ASA 5506-X poi, ha il sistema FirePOWER: progettato per resistere ad attacchi prolungati nel tempo, farà da angelo custode ai vostri server prima, durante e dopo. Come? Grazie a una partnership, tra il know-howhardware della Cisco ASA e le tecniche escogitate dalla Advanced Malware Protection. Un vero e proprio dipartimento interno alla Cisco, che sfrutta la tecnologia Cloud per diffondere una protezione avanzata.
In parole povere? Facciamo un esempio: arriva un nuovo malware. Per contrastarlo, il vostro Cisco ASA 5506-X riceverà aggiornamenti automatici dalla Cisco Collective Security Intelligence e dalla Talos Security Intelligence Research Group. In pochi istanti, la vostra LAN sarà protetta dai “vaccini” più recenti, grazie ad aggiornamenti in tempo reale. Pura fantascienza? Niente affatto: è la Cisco, bellezze.
Le caratteristiche tecniche: tutto al top, o quasi
Un buon firewall, si distingue anche per le caratteristiche tecniche prestanti. Il Cisco ASA 5506-X le offre, anche se si cerca il top sarebbe meglio puntare ai Watchguard di fascia alta. La velocità di trasmissione arriva ai 750 Mbit al secondo. Importante, se non si vuole rallentare tutto il sistema di rete. Il throughput è di 125 Mbit/s. Le porte WAN sono di tipo Ethernet (RJ-45) e sono 9 in tutto, la tensione di ingresso va dai 90-240V, la frequenza di ingressi è di 50/60 Hz.
Il Cisco ASA 5506-X è dotato anche di disco rigido (ecco quale soluzione è meglio scegliere): un SSD da 50 gigabyte e una memoria flash da 8. Ha anche una memoria RAM integrata, da 4 gigabyte. Peso e dimensioni? Contenute: meno di 2 chili, distribuiti su una scatola da 23 centimetri, per 4,3, per 20. Non è l’unico Firewall Cisco in vendita su Amazon. Ce ne sono diversi e li trovate tutti a QUESTO link.
Zyxel Wall: La soluzione semplice, economica e innovativa
Ci abbiamo dedicato un articolo dedicato, proprio perché la soluzione ci sembra originale e innovativa. La furbizia di Zyxel, consiste nel sottoscrivere partnership con servizi e aziende già apprezzate dai professionisti di tutto il mondo. E così sui Zyxel Wall troviamo servizi di VPN integrati, abbonamento al cloud Nebula e una partnership con Bitdefender. Sono apparecchi molto veloci, che assicurano “fino a 6 Gbps e throughput VPN a 800 Mbps”. Il modello migliore è certamente lo ZyWALL 1100 VPN Firewall, con compatibilità sull’algoritmo Hash 2 e la possibilità di gestire access point da un unica interfaccia utente centralizzata. Per informazioni aggiuntive rimandiamo alla nostra recensione. Altrimenti QUI trovate la scheda prodotto Amazon, che al momento vende il firewall hardware a meno di 600 €. Affarone, per uno dei migliori firewall in commercio.