Il router fornito dal tuo provider internet non è un firewall aziendale. Ha funzioni base di NAT e filtraggio rudimentale, ma non ha visibilità applicativa, non analizza il traffico cifrato (HTTPS), non blocca i domini di phishing, non rileva comportamenti anomali nella rete. Per una PMI che tratta dati aziendali critici, non è sufficiente.
Un firewall aziendale di nuova generazione (Next-Generation Firewall, NGFW) è fondamentalmente diverso. Ecco cosa cambia e quali soluzioni valutare nel 2026.
Cosa fa un NGFW che il router non fa
Deep Packet Inspection (DPI): analisi del contenuto del traffico, non solo degli header. Il router sa che stai facendo una richiesta HTTPS. Il NGFW sa che stai usando Dropbox, e può permetterlo o bloccarlo.
Application Awareness: identifica le applicazioni indipendentemente dalla porta usata. Telegram può usare la porta 443 (HTTPS) — un router non lo vede, un NGFW sì.
IPS (Intrusion Prevention System): rileva e blocca in tempo reale tentativi di sfruttamento di vulnerabilità note. Se qualcuno prova a sfruttare una CVE critica attraverso il tuo perimetro, l'IPS blocca il tentativo prima che raggiunga il sistema vulnerabile.
SSL Inspection: la maggior parte del traffico è oggi cifrato con HTTPS. Senza SSL inspection, il tuo firewall non vede niente dell'80% del traffico aziendale — incluso il malware che usa HTTPS per comunicare con i server C2.
DNS Filtering: blocco preventivo di domini malevoli, phishing e C2 (Command & Control dei malware) a livello DNS. Prima che la connessione venga stabilita.
SD-WAN integrato: gestione intelligente di più link internet (fibra + 4G/5G backup), con failover automatico e bilanciamento del carico.
Fortinet FortiGate
Il leader di mercato per le PMI enterprise.
FortiGate è la scelta più diffusa tra le PMI con esigenze di sicurezza serie. Il sistema operativo FortiOS è uno dei più maturi del settore, con aggiornamenti costanti delle signature IPS/antivirus e un ecosistema di integrazione con altri prodotti Fortinet (FortiSwitch, FortiAP per il WiFi, FortiAnalyzer per i log).
Punti di forza:
- Performance elevate anche con tutte le feature di sicurezza attive
- Dashboard intuitiva, reportistica dettagliata
- Aggiornamenti firma frequenti (FortiGuard Threat Intelligence)
- Ottimo supporto partner in Italia
- SD-WAN nativo e maturo
Punti di attenzione:
- Costo delle licenze annuali (subscription FortiGuard) significativo: 800-3.000€/anno per PMI
- Nel 2024 ci sono state vulnerabilità critiche su FortiOS che hanno richiesto patch urgenti — la gestione degli aggiornamenti firmware è fondamentale
Modello consigliato per PMI:
- FortiGate 40F/60F: fino a 50 utenti, 400-700€ hardware + subscription annuale
- FortiGate 80F/100F: fino a 200 utenti, 800-1.500€ hardware + subscription annuale
Sophos XGS (Firewall)
Ottimo rapporto funzionalità/prezzo, gestione centralizzata semplice.
Sophos si distingue per l'integrazione tra il firewall e la protezione endpoint (Sophos Intercept X). La funzione Synchronized Security permette al firewall e all'EDR di "comunicare": se un endpoint viene compromesso, il firewall lo isola automaticamente dalla rete in attesa dell'intervento.
Punti di forza:
- Synchronized Security con endpoint Sophos: risposta automatica agli incidenti
- Sophos Central: gestione cloud centralizzata intuitiva
- Buon prezzo hardware, subscription competitive
- ZTNA (Zero Trust Network Access) integrato per accesso remoto moderno
Punti di attenzione:
- Performance con SSL inspection attiva inferiori a FortiGate sulla stessa fascia di prezzo
- Ecosistema più chiuso (funziona meglio con endpoint Sophos)
Modello consigliato per PMI:
- Sophos XGS 87/107: fino a 75 utenti, 400-800€ hardware + subscription
pfSense / OPNsense
La scelta open source per chi vuole controllo totale senza costi di licenza.
pfSense (ora mantenuto da Netgate) e OPNsense (fork indipendente più attivo) sono firewall open source basati su FreeBSD. Girano su hardware commodity — da un mini-PC da 200 euro a un server rack dedicato.
Punti di forza:
- Nessun costo di licenza o subscription per le feature base
- Altamente configurabile
- Community attiva, documentazione estesa
- Integrazioni con Suricata/Snort (IDS/IPS open source), pfBlockerNG (DNS filtering)
Punti di attenzione:
- Richiede competenze più elevate per la configurazione corretta
- Nessun supporto ufficiale su OPNsense (a pagamento su pfSense+)
- Aggiornamenti delle threat intelligence meno frequenti rispetto ai vendor commerciali
- Non adatto come unica soluzione per aziende che necessitano di compliance NIS2 o audit regolari
Quando ha senso: per PMI con un IT manager competente, budget limitato e struttura non critica. Non come firewall perimetrale primario per aziende con dati sensibili o requisiti di compliance.
Come scegliere per la tua PMI
| Criterio | FortiGate | Sophos XGS | pfSense/OPNsense |
|---|---|---|---|
| Budget | Medio-alto | Medio | Basso |
| Competenze richieste | Medie | Medio-basse | Alte |
| Compliance NIS2/ISO 27001 | Ottimo | Ottimo | Sufficiente |
| Performance SSL inspection | Eccellente | Buono | Variabile |
| Integrazione endpoint | Buona | Eccellente | Limitata |
| Supporto locale | Ampio | Buono | Community |
Per la maggior parte delle PMI del Veneto con 20-100 dipendenti e dati sensibili, la scelta ricade su FortiGate 60F o Sophos XGS 107 — entrambi offrono protezione enterprise-grade con gestione maneggevole.
Kubee progetta e gestisce infrastrutture di rete e sicurezza perimetrale per PMI in Veneto e Friuli. Richiedi una valutazione della tua rete.