Cos'è un firewall in parole semplici?

È il guardiano della tua rete aziendale. Sta tra Internet e i tuoi PC e controlla tutto il traffico in entrata e uscita: blocca le connessioni sospette, filtra i siti pericolosi e ferma i virus prima che raggiungano i dispositivi. Funziona su tre livelli: packet filtering (controlla da dove vengono i dati e dove vanno), stateful inspection (segue le conversazioni di rete e blocca quelle anomale) e NGFW (Next-Generation Firewall, che ispeziona anche il contenuto del traffico e riconosce le applicazioni). Per una PMI, la soluzione più diffusa è un firewall hardware Fortinet o WatchGuard: da €500 per modelli entry-level, gestione BullTech inclusa nei contratti di assistenza.

Serve un firewall se ho già l'antivirus?

Sì, assolutamente. Firewall e antivirus sono complementari, non alternativi. L'antivirus protegge i singoli dispositivi da malware che riesce a installarsi. Il firewall protegge tutta la rete: blocca le connessioni malevole prima che raggiungano i dispositivi, filtra il traffico in uscita (impedisce al malware installato di 'telefonare a casa'), gestisce VPN, segmenta la rete in zone isolate. Nel 2026, il 68% degli attacchi alle PMI italiane ha sfruttato vettori di rete che un antivirus da solo non può fermare. Serve entrambi: un endpoint protection su ogni PC e un firewall NGFW sul perimetro.

Ogni quanto aggiornare il firewall?

Tre cicli di aggiornamento distinti: il firmware del dispositivo va aggiornato mensilmente (o almeno ogni trimestre) — i vendor rilasciano patch critiche regolarmente e nel 2024 una vulnerabilità CVE nei FortiGate non aggiornati ha compromesso 600+ dispositivi in Italia in poche settimane. Le licenze UTM/IPS vanno rinnovate annualmente: senza rinnovo, le firme delle minacce smettono di aggiornarsi. L'hardware va sostituito ogni 5-7 anni: non perché smette di funzionare, ma perché il throughput con full security stack diventa insufficiente per connessioni più veloci e le minacce più recenti richiedono capacità di elaborazione maggiori.

WatchGuard o Fortinet per PMI?

WatchGuard Firebox è la nostra scelta principale per le PMI italiane: licenze all-inclusive senza costi nascosti per funzionalità aggiuntive, interfaccia WatchGuard Cloud intuitiva, ZTNA integrato con AuthPoint MFA, e supporto eccellente per MSP. Fortinet FortiGate ha throughput superiore grazie agli ASIC proprietari (ideale se hai fibra 1Gbps e molti utenti) e la gamma SD-WAN più completa per multi-sede, ma la curva di apprendimento è ripida e i bundle di licenze possono riservare sorprese in fattura. La risposta breve: WatchGuard vince per semplicità gestione e trasparenza dei costi; Fortinet vince per performance raw e crescita verso ambienti più grandi. Noi di BullTech installiamo entrambi — scegli in base al tuo contesto, non al marketing del vendor.

Posso gestire il firewall da solo?

Le funzioni base sì: cambio password admin, revisione dei log, apertura/chiusura di porte specifiche. Ma per UTM/VPN/IPS serve un MSP o un sistemista con competenze di networking. I rischi di una configurazione fai-da-te: regole permissive ('permit any any') che annullano la protezione, SSL inspection non configurata (il firewall è cieco sul 90% del traffico HTTPS), firmware non aggiornato (vulnerabilità critiche non patchate), IPS con firme vecchie. Un firewall mal configurato è peggio di nessun firewall: ti dà un falso senso di sicurezza. BullTech include configurazione professionale + primo anno di gestione in ogni contratto firewall.

Qual e la differenza tra UTM e NGFW?

UTM (Unified Threat Management) e NGFW (Next-Generation Firewall) fanno cose simili ma con approcci diversi. L'UTM e un coltellino svizzero: integra firewall, antivirus, anti-spam, VPN, web filtering e IPS in un unico dispositivo. E pensato per PMI che vogliono tutto in uno. L'NGFW e piu focalizzato: parte dal firewall tradizionale e aggiunge ispezione deep packet, application awareness (riconosce le applicazioni, non solo le porte) e integrazione con sistemi di threat intelligence. Nella pratica, nel 2026 la distinzione si e sfumata: i vendor chiamano i prodotti entry-level UTM e quelli enterprise NGFW, ma le funzionalita si sovrappongono al 90%. Per una PMI sotto 100 utenti, UTM e NGFW sono intercambiabili.

Quanto dura un firewall aziendale prima di sostituirlo?

Un firewall hardware dura in media 5-7 anni prima di diventare obsoleto. Ma attenzione: l'hardware puo durare 10 anni, sono le licenze software e il supporto che scadono. Fortinet e Sophos offrono licenze annuali o triennali: senza rinnovo, il firewall continua a funzionare come filtro pacchetti base, ma perde aggiornamenti firmware, firme antivirus, IPS e supporto tecnico. Il nostro consiglio: pianifica il rinnovo ogni 5 anni per l'hardware e non lasciare mai scadere le licenze. Un firewall senza aggiornamenti e peggio di nessun firewall, perche ti da un falso senso di sicurezza. Budget annuale da prevedere: 15-25% del costo iniziale dell'appliance.

Il firewall serve per la compliance GDPR?

Si, il firewall e una delle misure tecniche che il GDPR richiede esplicitamente all'articolo 32 (sicurezza del trattamento). Il Garante Privacy italiano ha sanzionato aziende che non avevano un firewall configurato correttamente, con multe da 10.000 a 50.000 euro per PMI. Ma non basta averlo: deve essere configurato correttamente (regole restrittive, log attivi, aggiornamenti regolari) e documentato nel registro dei trattamenti. In caso di data breach, il Garante verifica se avevi misure adeguate: un firewall aggiornato e ben configurato e la prima cosa che cercano. Noi includiamo la documentazione GDPR del firewall in ogni installazione.

WatchGuard, Fortinet o Sophos: quale firewall scegliere per una PMI?

Dipende dal tuo contesto. WatchGuard è la nostra scelta principale per le PMI: licenze all-inclusive (nessun costo nascosto per funzionalità aggiuntive), ottima gestione centralizzata, ZTNA integrato con AuthPoint MFA, e supporto eccellente. Fortinet ha la gamma più ampia, costi delle appliance competitivi ma le licenze dei singoli bundle (UTM, ATP, UTP) possono sorprendere. Sophos è ottimo per la gestione semplice e l'integrazione con gli endpoint Sophos (Synchronized Security), ma il supporto italiano è meno capillare. Per una PMI italiana che vuole tutto senza sorprese in fattura, WatchGuard vince. Per chi vuole il brand più diffuso nel mondo enterprise, Fortinet. Per chi usa già Sophos Intercept X sugli endpoint, estendere con il firewall Sophos ha senso.

Quanto costa la gestione del firewall aziendale affidata a un MSP?

La gestione MSP del firewall (monitoraggio, aggiornamenti firmware, revisione regole, risposta agli alert, log analysis) costa tipicamente 100-300 euro al mese per una PMI, in aggiunta al costo dell'appliance e delle licenze. Per aziende con firewall più complessi o requisiti di compliance, i costi possono salire a 400-600 euro al mese. Rispetto al costo di un incidente (120.000 euro di media secondo Clusit) o al costo di un sistemista interno dedicato alla sicurezza (45.000-60.000 euro/anno), è un investimento che si ripaga ampiamente. BullTech include la gestione del firewall nei contratti di assistenza IT full-managed.

Meglio Fortinet o Sophos per una PMI?

Dipende da cosa ti serve. Fortinet ha le appliance con le migliori performance (grazie ai chip ASIC proprietari) e il catalogo piu ampio: se hai piu sedi e ti serve SD-WAN integrato, Fortinet e il riferimento. Pero la curva di apprendimento e ripida e i bundle di licenze possono riservare sorprese in fattura. Sophos e piu semplice da gestire grazie a Sophos Central (una sola dashboard cloud per firewall + endpoint) e la Synchronized Security che fa parlare firewall e antivirus tra loro. Per una PMI senza IT interno, Sophos e spesso piu pratico. Per una PMI con un MSP che lo gestisce, Fortinet offre piu granularita. In entrambi i casi, noi di BullTech li installiamo e li gestiamo: scegli quello che meglio si adatta al tuo contesto, non al marketing del vendor.

Firewall hardware o software: quale scegliere?

Per la maggior parte delle PMI, il firewall hardware (appliance dedicata) e la scelta giusta: arriva preconfigurato, ha processori ottimizzati per ispezionare il traffico senza rallentare la rete, riceve aggiornamenti automatici dal vendor e ha supporto ufficiale. Il firewall software (pfSense, OPNsense) e gratuito come licenza ma richiede hardware dedicato, competenze di networking per configurarlo e mantenerlo, e non ha supporto ufficiale nella versione community. Lo consigliamo solo a chi ha un reparto IT interno competente o un budget molto limitato. In numeri: un firewall hardware Fortinet o WatchGuard per 30 utenti costa 1.500-3.000 euro il primo anno tutto incluso. Un pfSense su hardware dedicato costa 500-1.500 euro di hardware piu il tempo del tuo IT per gestirlo. Se il tempo del tuo IT vale qualcosa (e vale), il firewall hardware si ripaga da solo.

Firewall Aziendale: WatchGuard vs Fortinet 2026

Q: Quanto costa un firewall aziendale?

Il costo parte dall'hardware: da €600 per modelli entry-level come il Fortinet FortiGate 40F fino a €3.000+ per mid-range come WatchGuard Firebox T85 o Sophos XGS 2100. A questo si aggiunge la licenza UTM/sicurezza annuale: da €300/anno per soluzioni entry-level fino a €1.500/anno per bundle completi. L'installazione e configurazione professionale costa tipicamente €500-1.500 una tantum. La gestione MSP (monitoraggio, aggiornamenti, revisione regole) parte da €100/mese. BullTech propone installazione + configurazione WatchGuard da €1.200 tutto incluso per PMI fino a 30 utenti — licenza del primo anno inclusa.

Q: Quanto costa un firewall aziendale nel 2026?

Dipende dalla dimensione dell'azienda e dal vendor. Per una PMI con 20-50 utenti, un firewall hardware entry-level (Fortinet FortiGate 40F/60F o Sophos XGS 107) costa 500-1.500 euro per l'appliance, piu 300-800 euro/anno di licenza per le funzionalita avanzate (IPS, antivirus, web filtering, sandboxing). Un NGFW mid-range per 50-150 utenti (FortiGate 100F, Sophos XGS 2100) costa 2.000-5.000 euro piu 1.000-2.500 euro/anno di licenze. pfSense e gratuito come software, ma servono hardware dedicato (500-1.500 euro) e competenze interne per gestirlo. Il costo totale di ownership a 5 anni per una PMI con 30 utenti va da 3.000 euro (pfSense self-managed) a 12.000 euro (Fortinet con supporto MSP incluso).

Nel 2025, il 68% degli attacchi informatici alle PMI italiane ha sfruttato una rete senza firewall o con un firewall configurato male. Non è un'opinione: è il dato del rapporto Clusit. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha installato e gestito più di 180 firewall aziendali in 16 anni. In questa guida ti spieghiamo tutto quello che serve sapere per scegliere, configurare e mantenere il firewall giusto per la tua azienda — senza giri di parole e con i costi reali.

Quale firewall scegliere per la tua PMI nel 2026? Risposta rapida

5-30 utenti: WatchGuard Firebox T25/T45 — miglior rapporto qualità/prezzo, licenze all-inclusive, gestione semplice via WatchGuard Cloud
30-100 utenti: WatchGuard T85/M290 o FortiGate 80F — throughput UTM elevato per traffico intenso
Già Sophos EDR sugli endpoint: Sophos XGS — integrazione nativa con l'EDR riduce il costo totale (Synchronized Security)
Multi-sede, cloud-managed: Cisco Meraki MX — gestione centralizzata da console cloud, SD-WAN integrato

Cos'è un firewall aziendale (spiegato semplice)

Pensa al firewall come al portiere di un palazzo. Sta all'ingresso della tua rete e decide chi entra e chi esce. Ogni pacchetto di dati che passa deve mostrare le credenziali: da dove viene, dove va, che tipo di traffico porta. Se non rispetta le regole, viene bloccato. Fine della storia.

Il problema è che molte PMI usano ancora il “firewall” integrato nel router del provider internet. Quello non è un firewall: è un filtro pacchetti base che blocca le porte più ovvie e basta. Non ispeziona il contenuto del traffico, non riconosce le applicazioni, non blocca il malware. È come mettere un lucchetto da 3 euro sulla porta di un caveau.

Un firewall aziendale vero fa molto di più. Ispeziona il traffico in profondità (Deep Packet Inspection), riconosce le applicazioni (sa distinguere Dropbox da BitTorrent anche se usano la stessa porta), integra un sistema anti-intrusione (IPS), filtra i siti web, blocca il malware in transito e gestisce le VPN per i dipendenti in remoto. Tutto in un unico dispositivo. Il firewall è il primo tassello delle nostre soluzioni cybersecurity Milano per le aziende.

I 4 tipi di firewall: quale serve alla tua azienda

Non tutti i firewall sono uguali. Esistono 4 categorie principali, e la scelta dipende dalla dimensione della tua azienda, dal budget e da quanto vuoi gestire internamente.

Firewall hardware (appliance dedicata)

È un dispositivo fisico che si installa tra il router internet e la rete interna. Fortinet, Sophos, WatchGuard e Palo Alto vendono appliance dedicate con processori ottimizzati per ispezionare il traffico senza rallentare la rete. È la scelta standard per il 90% delle PMI: affidabile, performante, relativamente semplice da gestire. Costo: da 500 euro (entry-level, 10-20 utenti) a 15.000+ euro (mid-range, 100-300 utenti).

Firewall software (su server o VM)

Un software che gira su un server fisico o una macchina virtuale. pfSense e OPNsense sono le soluzioni open-source più diffuse. Il vantaggio: il software è gratuito. Lo svantaggio: serve hardware dedicato (un mini-PC o un server con almeno 2 schede di rete), competenze per installarlo e mantenerlo, e nessun supporto ufficiale (a meno che non paghi Netgate per pfSense Plus). Lo consigliamo solo a chi ha un IT interno competente o a un MSP che lo gestisce.

Firewall cloud (FWaaS — Firewall as a Service)

Il firewall non è un dispositivo fisico, ma un servizio cloud. Zscaler, Cloudflare Gateway e Palo Alto Prisma Access sono i più noti. Il traffico della tua rete viene instradato verso il cloud del provider, filtrato, e poi consegnato. Vantaggi: nessun hardware da gestire, scalabilità infinita, protezione anche per sedi remote e utenti mobili. Svantaggi: dipendi dalla latenza del provider, costi ricorrenti più alti (5-15 euro/utente/mese), e per una PMI con una sola sede spesso è sovradimensionato.

NGFW (Next-Generation Firewall)

Non è un tipo separato, ma l'evoluzione del firewall hardware tradizionale. Un NGFW fa tutto quello che fa un firewall classico, più: Application Control (blocca TikTok ma permette Teams), SSL Inspection (decifra il traffico HTTPS per ispezionarlo), integrazione con Threat Intelligence (blocca IP e domini malevoli in tempo reale), sandboxing (esegue file sospetti in un ambiente isolato). Nel 2026 praticamente tutti i firewall hardware venduti sono NGFW. Se qualcuno ti propone un firewall “tradizionale”, sta cercando di venderti roba vecchia.

Confronto vendor: Fortinet vs Sophos vs pfSense vs WatchGuard

Ecco il confronto onesto tra i 4 vendor che installiamo più spesso, basato sulla nostra esperienza diretta con oltre 180 installazioni. Non siamo partner esclusivi di nessuno, quindi possiamo dirti le cose come stanno.

Caratteristica	Fortinet	Sophos	pfSense	WatchGuard
Prezzo appliance (20-50 utenti)	800-2.000 €	900-2.200 €	0 € (SW) + 500-1.500 € (HW)	700-1.800 €
Licenza annuale	400-1.200 €/anno	500-1.500 €/anno	0 € (CE) / 300-800 € (Plus)	400-1.000 €/anno
Interfaccia gestione	Web GUI + FortiManager	Sophos Central (cloud)	Web GUI	Web GUI + WatchGuard Cloud
Facilità di gestione	Media (curva apprendimento)	Alta (dashboard intuitiva)	Bassa (richiede competenze)	Media-Alta
Throughput con IPS attivo	Eccellente (ASIC dedicati)	Buono	Dipende dall'hardware	Buono
SD-WAN integrato	Si (leader di mercato)	Si (base)	Limitato	Si
Ideale per	PMI esigenti, multi-sede	PMI che vogliono semplicità	Budget ridotto, IT interno	PMI con MSP, buon rapporto qualità/prezzo

Il nostro consiglio senza filtri: Fortinet è il più completo per performance e funzionalità, ma la curva di apprendimento è ripida — se non hai un MSP che lo gestisce, rischi di configurarlo male. Sophos è perfetto per chi vuole una gestione semplice via cloud e ha bisogno di integrare firewall + endpoint (Sophos Synchronized Security). pfSense è la scelta giusta solo se hai competenze interne serie o un MSP che lo conosce bene — altrimenti diventa un problema. WatchGuard è il buon compromesso: prezzo competitivo, gestione non troppo complicata, buone performance.

Firewall Aziendali 2026: Confronto Modelli per PMI

Per chi deve scegliere subito, ecco il confronto diretto sui modelli più adatti alle PMI italiane con 20-50 utenti, con prezzi reali 2026 e le funzionalità che contano davvero in produzione.

Brand	Modello PMI	Throughput (full security)	UTM / IPS	Prezzo da
WatchGuard	Firebox T45	1 Gbps	Sì	€900
Fortinet	FortiGate 40F	5 Gbps	Sì	€600
Sophos	XGS 107	3.7 Gbps	Sì	€700
pfSense	Custom (hardware dedicato)	Variabile	Community	€200 (HW)
BullTech consiglia: WatchGuard Firebox T45 — partner certificato, licenze all-inclusive, ZTNA integrato con AuthPoint MFA. Nessun costo nascosto.

Costi reali di un firewall aziendale nel 2026

I costi di un firewall non sono solo l'acquisto dell'appliance. Anzi, l'appliance è spesso la spesa più piccola. Ecco il breakdown completo per una PMI con 30 utenti, basato sui prezzi che paghiamo realmente nel 2026.

Voce di costo	Range	Frequenza
Appliance hardware	800-2.500 €	Una tantum (ogni 5-7 anni)
Licenza security bundle	400-1.500 €/anno	Annuale
Installazione e configurazione	500-1.500 €	Una tantum
Gestione e monitoraggio MSP	100-300 €/mese	Mensile
Aggiornamenti firmware	Incluso nella licenza	Trimestrale
TCO annuale (anno 1)	2.500-7.500 €	Primo anno
TCO annuale (anni successivi)	1.600-5.400 €	Dal secondo anno

Un dato che fa riflettere: il costo medio di un incidente di sicurezza per una PMI italiana nel 2025 è stato di 95.000 euro (fonte: Clusit). Un firewall ben configurato costa 3.000-7.000 euro il primo anno. Fai tu i conti.

Quanto Costa un Firewall Aziendale nel 2026

La domanda che ci viene posta più spesso. La risposta onesta: dipende da quanti utenti hai, quale vendor scegli e chi lo gestisce. Ma possiamo darti i numeri reali che usiamo nei nostri preventivi ogni giorno.

Hardware (appliance): la voce più variabile. Per una PMI con 20-50 utenti, il range realistico è €600–3.000. Il Fortinet FortiGate 40F parte da circa €600, il WatchGuard Firebox T45 da €900, il Sophos XGS 107 da €700. I modelli mid-range per 50-100 utenti (FortiGate 100F, WatchGuard T85) arrivano a €2.000–3.000. L'hardware si ammortizza in 5-7 anni.

Licenza UTM/anno: questa è la voce che molti dimenticano in fase di budget. La licenza di sicurezza (IPS, web filter, antivirus gateway, sandboxing, supporto tecnico) costa €300–1.500/anno a seconda del vendor e del bundle scelto. WatchGuard è il vendor più trasparente: una singola licenza “Total Security Suite” include tutto senza sorprese. Fortinet ha bundle separati (UTM, ATP, UTP) che possono diventare costosi se abbini più funzionalità.

Installazione e configurazione professionale: €500–1.500 una tantum. Include rack-mounting, cablaggio, configurazione delle regole firewall, setup VPN, web filtering per categoria, IPS attivo, SSL inspection, segmentazione VLAN base e documentazione. Non è una voce da tagliare: un firewall mal configurato è inutile quanto non averlo.

Gestione MSP mensile: da €100/mese. Include monitoraggio degli alert, aggiornamenti firmware, revisione regole semestrale, analisi log e risposta in caso di incidente. Per aziende con requisiti di compliance o firewall più complessi, il costo sale a €200–300/mese. Confronta questo numero con il costo di un incidente ransomware (media €120.000) o di un sistemista IT interno dedicato alla sicurezza (€45.000–60.000/anno): è l'investimento più rapido da ammortizzare in tutta l'IT aziendale.

BullTech: da €1.200 tutto incluso. Per le PMI italiane che vogliono partire subito senza sorprese in fattura, offriamo installazione + configurazione completa di un WatchGuard Firebox da €1.200 tutto incluso (hardware entry-level, licenza primo anno, configurazione professionale, collaudo e documentazione). La consulenza cybersecurity iniziale è gratuita. Per capire se il tuo firewall attuale è adeguato o se hai già una copertura assicurativa cyber, leggi anche il nostro articolo su cyber insurance e polizze aziendali.

Configurazione base: le 7 regole che devi impostare subito

Avere un firewall e non configurarlo è come comprare un antifurto e non accenderlo. Ecco le 7 regole che impostiamo su ogni firewall nuovo, indipendentemente dal vendor.

1. Default deny in ingresso. Tutto il traffico in entrata è bloccato di default. Si aprono solo le porte strettamente necessarie (VPN, eventuale web server, email server). Se un servizio non deve essere raggiungibile da internet, la porta resta chiusa. Punto.

2. Regole in uscita restrittive. Molte aziende lasciano il traffico in uscita completamente aperto. Errore grave: se un malware entra nella rete, comunica con il server di comando usando porte non standard. Noi permettiamo solo HTTP (80), HTTPS (443), DNS (53) e i protocolli specifici che servono (SMTP, VPN, ecc.). Tutto il resto è bloccato.

3. IPS attivo con firme aggiornate. Il sistema anti-intrusione (IPS) analizza il traffico in tempo reale e blocca exploit noti. Deve essere attivo e le firme devono aggiornarsi almeno ogni 4 ore. Su Fortinet si fa con un click. Su pfSense serve Suricata o Snort, con configurazione manuale.

4. Web filtering per categoria. Blocca le categorie di siti pericolosi: malware, phishing, gambling, adult content. Non per moralismo, ma perché il 30% dei siti di phishing si nasconde dietro domini appena registrati che nessun antivirus ha ancora catalogato. Il web filter per categoria li blocca comunque.

5. SSL/TLS inspection. Il 90% del traffico web è HTTPS. Senza SSL inspection, il firewall vede solo che il traffico è crittografato, ma non può ispezionarne il contenuto. Con SSL inspection attiva, il firewall decifra il traffico, lo analizza, e lo ricifra. È invasivo (richiede l'installazione di un certificato CA su tutti i PC), ma senza questa funzione il firewall è cieco sul 90% del traffico.

6. Segmentazione della rete. La rete non deve essere piatta. Minimo 3 zone: LAN (dipendenti), DMZ (server esposti a internet), Guest (ospiti e IoT). Il firewall gestisce il traffico tra le zone con regole specifiche. Se un PC della LAN viene compromesso, non può raggiungere i server nella DMZ. Lo spieghiamo in dettaglio nella nostra guida alla sicurezza di rete.

7. Log attivi e centralizzati. Il firewall deve loggare tutto: connessioni bloccate, connessioni permesse, tentativi di intrusione, accessi VPN. I log vanno inviati a un server syslog centralizzato e conservati per almeno 6 mesi (il GDPR richiede di poter ricostruire gli accessi in caso di breach). Senza log, dopo un incidente non sai cosa è successo. Per gestire i log in modo strutturato, serve un SIEM aziendale: leggi la nostra guida completa.

I 5 errori che vediamo più spesso (e come evitarli)

Dopo 180+ installazioni, abbiamo visto di tutto. Ecco gli errori più frequenti che troviamo quando prendiamo in carico un cliente nuovo.

Errore #1: “L'ho comprato, quindi sono protetto”

Il firewall più costoso del mondo, se configurato male, non protegge niente. Abbiamo trovato FortiGate da 5.000 euro con le regole di default mai modificate: tutto aperto in uscita, IPS disattivato, nessun web filtering. Era un costosissimo passacarte. La configurazione vale più dell'hardware.

Errore #2: Licenze scadute. Il 35% dei firewall che troviamo ha le licenze scadute da mesi (o anni). Senza licenza, l'IPS non si aggiorna, il web filter non funziona, e il supporto tecnico non risponde. È come avere un antivirus del 2019 nel 2026: conosce le minacce vecchie, ma non quelle nuove. Metti un reminder: 60 giorni prima della scadenza, rinnova.

Errore #3: Una sola regola “permit any any”. L'abbiamo vista più volte di quanto vorremmo ammettere. Una singola regola che permette tutto il traffico in tutte le direzioni. Il firewall è acceso ma non filtra niente. Di solito succede quando qualcuno ha aggiunto la regola “temporaneamente” per risolvere un problema e poi se n'è dimenticato. Review trimestrale delle regole: obbligatoria.

Errore #4: Nessuna segmentazione. Rete piatta con firewall solo sul perimetro. Significa che se un malware entra (e prima o poi entra), ha accesso a tutto: server, NAS, stampanti, telecamere. La segmentazione in zone con SD-WAN e VLAN è essenziale.

Errore #5: Firmware non aggiornato. I vendor rilasciano aggiornamenti firmware ogni 2-3 mesi che correggono vulnerabilità critiche. Nel 2024 una vulnerabilità nei FortiGate non aggiornati (CVE-2024-21762) ha permesso ad attaccanti di prendere il controllo remoto di oltre 600 dispositivi in Italia. L'aggiornamento era disponibile da settimane. Aggiorna il firmware almeno ogni trimestre, dopo averlo testato in un ambiente di staging (o lascia fare al tuo MSP).

Come scegliere il firewall giusto per la tua azienda

La scelta dipende da 4 fattori. Primo: quanti utenti. Sotto i 20 utenti, un entry-level basta (FortiGate 40F, Sophos XGS 87, WatchGuard T25). Da 20 a 80 utenti serve un mid-range (FortiGate 60F/80F, Sophos XGS 107/2100, WatchGuard T45/T85). Sopra 80 utenti si va su modelli enterprise.

Secondo: quanta banda internet. Se hai una fibra da 1 Gbps e attivi tutte le funzioni di sicurezza (IPS, SSL inspection, antivirus), il firewall deve reggere almeno 800-900 Mbps di throughput con tutte le feature attive. Attenzione: i vendor dichiarano il throughput “firewall only” (senza IPS e SSL inspection), che è 3-5 volte superiore a quello reale con tutte le feature attive. Chiedi sempre il throughput con “full security stack”.

Terzo: quante sedi. Se hai più sedi collegate in VPN, ti serve un firewall con SD-WAN integrato. Fortinet è leader di mercato su questo fronte: il FortiGate con SD-WAN gestisce automaticamente il traffico tra le sedi, bilanciando tra le connessioni disponibili e dando priorità alle applicazioni critiche.

Quarto: chi lo gestisce. Se hai un IT interno con competenze di networking, puoi gestirlo internamente (ma pianifica 4-8 ore/mese per manutenzione). Se non hai IT interno, affidati a un MSP. Noi di BullTech gestiamo il firewall dei nostri clienti con monitoraggio 24/7, aggiornamenti firmware trimestrali, review regole semestrale e intervento in caso di incidente — tutto incluso nei nostri contratti di sicurezza informatica.

Checklist: i 10 fattori da verificare prima di comprare

Per semplificare la scelta, ecco la checklist che usiamo internamente quando dimensioniamo un firewall per un nuovo cliente. Puoi usarla come guida nella tua valutazione.

Throughput: verifica che il firewall garantisca prestazioni adeguate con TUTTI i servizi di sicurezza attivati, non solo in modalità firewall puro

Numero di utenti: considera la crescita prevista nei prossimi 3-5 anni, non solo le esigenze attuali

Servizi di sicurezza: assicurati che IPS, antimalware, web filtering e sandboxing siano inclusi nella licenza

VPN: verifica il numero massimo di tunnel VPN simultanei e il supporto per IKEv2, SSL e site-to-site

Alta disponibilità: per aziende con requisiti di uptime elevati, scegli un modello che supporti clustering attivo-passivo o attivo-attivo

Gestione centralizzata: se hai più sedi, verifica la possibilità di gestire tutti i firewall da un'unica console cloud

Reportistica: controlla la qualità e la granularità dei report di sicurezza per soddisfare requisiti di compliance

Integrazione MFA: verifica l'integrazione nativa con soluzioni di autenticazione multi-fattore per VPN e accessi amministrativi

Supporto e garanzia: scegli un vendor con supporto tecnico reattivo e disponibilità di hardware sostitutivo rapido

Partner locale: affidati a un partner certificato locale che possa intervenire on-site rapidamente in caso di necessità

WatchGuard Firebox: dimensionamento per la tua azienda

Come partner certificato WatchGuard, BullTech conosce a fondo la gamma Firebox. Tutti i modelli condividono lo stesso sistema operativo (Fireware) e la stessa interfaccia, rendendo l'upgrade trasparente quando l'azienda cresce. Ecco le nostre raccomandazioni basate sulla tipica dimensione delle PMI lombarde.

1-20 utenti: Firebox T25 / T45

Ideale per piccoli studi professionali, start-up e micro-imprese. Throughput firewall fino a 3,94 Gbps, supporto fino a 30 VPN simultanee. Formato compatto da scrivania, silenzioso e a basso consumo.

20-75 utenti: Firebox T85 / M290

La scelta più comune per le PMI italiane. Throughput firewall fino a 7,4 Gbps, supporto per 75-250 VPN simultanee, porte multi-gigabit. Adatto ad aziende con segmentazione di rete e VPN site-to-site con filiali.

75-250 utenti: Firebox M390 / M490

Per medie imprese con infrastrutture complesse. Throughput firewall fino a 18 Gbps, porte 10G SFP+, supporto per centinaia di VPN. Ideale per aziende con data center interni e alta disponibilità.

250+ utenti: Firebox M590 / M690 / M5800

Per grandi imprese e ambienti enterprise. Throughput fino a 64 Gbps, architettura modulare, clustering attivo-attivo. Gestione centralizzata di sedi multiple con WatchGuard Cloud.

Firewall gestito (Managed Firewall): perché conviene

Acquistare un firewall è solo il primo passo. Un firewall non configurato correttamente, non aggiornato o non monitorato offre una falsa sensazione di sicurezza. Per una PMI senza un team IT dedicato alla sicurezza, la soluzione ideale è il firewall gestito (Managed Firewall): un MSP come BullTech si occupa di installazione, configurazione, aggiornamenti firmware settimanali, monitoraggio 24/7 degli alert e risposta immediata agli incidenti.

Il costo del managed firewall è tipicamente 50-150€/mese aggiuntivi. Rispetto a un fermo aziendale (costo medio: 5.600€/ora) o a una violazione dei dati (costo medio PMI: 148.000€), è un investimento che si ripaga alla prima emergenza evitata.

Il costo di un firewall non gestito

Un firewall acquistato, installato e poi dimenticato è una bomba a orologeria. Firmware non aggiornato significa vulnerabilità note sfruttabili. Firme IPS obsolete significano zero protezione contro le minacce recenti. Policy mai riviste significano utenti con accessi eccessivi. Il 65% dei firewall che analizziamo durante i nostri assessment presenta configurazioni non ottimali o firmware obsoleto.

Firewall e sicurezza di rete: non basta il perimetro

Ultimo punto, ma fondamentale: il firewall da solo non basta. È il primo muro di difesa, non l'unico. Una strategia di sicurezza informatica completa include anche: endpoint protection su ogni PC e server, backup regolari e testati (la nostra guida alla sicurezza di rete approfondisce questo tema), segmentazione interna con VLAN, MFA su tutti gli accessi critici, formazione dei dipendenti, e un piano di incident response.

Il firewall blocca il 70-80% delle minacce esterne. L'endpoint protection ne cattura un altro 15-20%. La formazione dei dipendenti copre il restante 5-10% — che è quello più difficile da gestire, perché l'errore umano non lo blocchi con nessun software. L'approccio “defense in depth” (difesa a strati) è l'unico che funziona nel 2026. Per la protezione avanzata degli endpoint — quella che analizza il comportamento dei processi e non solo le firme virali — leggi la nostra guida all' EDR (Endpoint Detection & Response) per aziende.

Un'ultima cosa: se il tuo firewall ha più di 5 anni o le licenze sono scadute, è ora di cambiarlo. Un servizio di consulenza informatica Milano come BullTech può aiutarti a scegliere il modello giusto. Non domani. Adesso. Ogni giorno con un firewall obsoleto è un giorno in cui la tua rete è esposta. E quando succede qualcosa (non se, quando), il costo di rimediare è 10-50 volte superiore al costo di prevenire.

Firewall nel 2026: SASE, SSE e il Futuro della Sicurezza di Rete

Se stai valutando un firewall nuovo nel 2026, devi conoscere due acronimi che stanno cambiando il mercato: SASE (Secure Access Service Edge) e SSE (Security Service Edge). Non sono mode: sono il modo in cui la sicurezza di rete si sta evolvendo per gestire il lavoro ibrido, il cloud e le sedi distribuite.

In parole semplici: il firewall tradizionale protegge il perimetro della rete aziendale. Ma quando i dipendenti lavorano da casa, le applicazioni sono in cloud e la sede e solo uno dei tanti punti di accesso, il perimetro non esiste piu. SASE e SSE portano la sicurezza del firewall nel cloud, vicino all'utente, ovunque si trovi.

Approccio	Cosa fa	Per chi	Costo indicativo
Firewall on-premise (NGFW)	Protezione perimetrale classica con IPS, web filter, VPN	PMI con sede singola, pochi remoti	800-5.000 € + 400-1.500 €/anno
SSE (Security Service Edge)	Firewall + web security + CASB in cloud, senza hardware	Aziende con molti remoti, applicazioni cloud	8-20 €/utente/mese
SASE (completo)	SSE + SD-WAN: sicurezza + networking cloud-native	Aziende multi-sede, full cloud	15-35 €/utente/mese

Il nostro consiglio per le PMI nel 2026: per la maggior parte delle aziende con una sede principale e qualche remoto, il firewall NGFW on-premise resta la scelta migliore. E piu economico, hai il controllo diretto e le performance sono superiori per la rete locale. SASE e SSE hanno senso quando hai 30+ utenti remoti stabili o stai migrando tutto in cloud. Per molte PMI, la formula vincente e un NGFW in sede + una VPN moderna (WireGuard o ZTNA) per i remoti. Soluzioni ibride che gestiamo con i nostri contratti di assistenza IT.

Quanto costa un firewall per fascia aziendale nel 2026

Fascia	Utenti	Modelli consigliati	Costo primo anno	Costo anni successivi
Micro	5-20	FortiGate 40F, Sophos XGS 87, WatchGuard T25	1.500-3.000 €	400-800 €/anno
Piccola	20-50	FortiGate 60F/80F, Sophos XGS 107, WatchGuard T45	3.000-6.000 €	800-1.500 €/anno
Media	50-150	FortiGate 100F/200F, Sophos XGS 2100/3100	6.000-15.000 €	1.500-3.500 €/anno
Grande	150+	FortiGate 400F+, Palo Alto PA-400 series	15.000+ €	3.500+ €/anno

Costo primo anno include appliance + licenza + installazione BullTech. Anni successivi: rinnovo licenza. Gestione MSP da 100-300 €/mese in aggiunta. Prezzi IVA esclusa.

Un dato che nel 2026 e ancora piu rilevante: secondo il Clusit, il 43% degli attacchi ransomware alle PMI italiane nel 2025 ha sfruttato una vulnerabilita nel firewall (firmware non aggiornato o configurazione errata). Il costo medio dell'incidente e stato di 120.000 euro. Il firewall piu costoso della nostra tabella costa meno di un decimo di un singolo incidente.

Vuoi un assessment gratuito del tuo firewall?

Noi di BullTech offriamo un check-up gratuito di 30 minuti: verifichiamo configurazione, licenze, firmware, regole e log del tuo firewall attuale. Ti diciamo subito cosa va e cosa no, con un report chiaro e senza impegno. Chiamaci al 039 5787 212 o scrivici.

Next-Gen Firewall 2026: Le Novità che Cambiano Tutto

Il panorama dei firewall aziendali è cambiato significativamente nel 2025-2026. Tre tendenze stanno ridisegnando il mercato, e vale la pena conoscerle prima di scegliere o rinnovare il tuo firewall.

1. AI-powered threat detection: I NGFW di nuova generazione integrano modelli di intelligenza artificiale addestrati su miliardi di eventi di sicurezza per rilevare comportamenti anomali in tempo reale, anche senza signature conosciute. Fortinet FortiGate con FortiAI, WatchGuard con TDR (Threat Detection & Response) e Sophos con Synchronized Security usano l'AI per correlate eventi tra firewall, endpoint e cloud. Risultato: rilevamento di attacchi zero-day che i sistemi basati su signature tradizionali non vedrebbero mai.

2. SASE e SD-WAN integrati: Con il lavoro ibrido ormai strutturale, i perimetri di rete tradizionali sono dissolti. I moderni NGFW integrano funzionalità SD-WAN per gestire connettività multi-cloud e uffici remoti, e si evolvono verso architetture SASE (Secure Access Service Edge) dove la sicurezza è erogata come servizio cloud. Per le PMI italiane con 20-100 dipendenti, questo significa firewall che gestiscono sia la sede che i dipendenti in smart working da un'unica console.

3. Zero Trust Network Access (ZTNA): Il modello “fidati di chi è dentro la rete” è morto. I NGFW 2026 implementano ZTNA nativamente: ogni accesso è verificato, ogni dispositivo è autenticato, ogni sessione è monitorata. Anche se un attaccante è già dentro la rete, non può muoversi lateralmente. WatchGuard, che usiamo noi di BullTech come vendor principale, ha integrato ZTNA con AuthPoint MFA in modo particolarmente efficace per le PMI.

Statistiche attacchi 2025 che devi conoscere: Il rapporto Clusit 2026 (pubblicato a marzo 2026) evidenzia che il 43% degli attacchi ransomware alle PMI italiane ha sfruttato una vulnerabilità nel firewall (firmware non aggiornato o configurazione errata). Il costo medio di un attacco ransomware per una PMI italiana è stato di€120.000, inclusi ripristino, perdita di dati, downtime e danno reputazionale. Il 61% delle PMI colpite ha segnalato di non aver aggiornato il firmware del firewall negli ultimi 12 mesi prima dell'attacco. Il firewall è il componente più critico della sicurezza perimetrale: installarlo non basta, bisogna mantenerlo aggiornato.

Per approfondire la protezione della tua rete aziendale, leggi la nostra guida completa alla sicurezza della rete aziendale e scopri come la segmentazione con VLAN riduce la superficie di attacco. Per la protezione email, che è il vettore principale degli attacchi, leggi la nostra guida alla sicurezza email aziendale.

Per approfondire la sicurezza della tua rete aziendale, leggi questi articoli correlati:

WatchGuard Firewall: guida completa per aziende — configurazione, prezzi e confronto modelli 2026
Fortinet vs WatchGuard: confronto firewall per PMI — quale scegliere nel 2026 con analisi costi reali
Sicurezza rete aziendale: guida completa — firewall, VLAN, VPN e monitoraggio: tutto in un articolo
Hardening server aziendale: guida pratica — proteggi i server dopo aver messo in sicurezza il perimetro
Assistenza informatica aziendale BullTech — il firewall è solo il primo passo: scopri il supporto IT completo

Confronto Firewall Aziendali 2026

Prima di scegliere, ecco un confronto diretto tra i modelli entry-level più usati dalle PMI italiane nel 2026. Tutti testati e installati dal nostro team.

Brand	Modello Entry	Prezzo	Ideale per	Pro	Contro
WatchGuard	Firebox T25	~€500	PMI <20 utenti	Semplice, BullTech partner	Throughput limitato
Fortinet	FortiGate 40F	~€450	PMI <30 utenti	Performance alta	Licenze costose
pfSense	SG-1100	~€200	Startup, budget	Open source, flessibile	Richiede competenze
Sophos	XGS 87	~€600	PMI <25 utenti	AI-powered	Interfaccia complessa

Quanto Costa un Firewall Aziendale nel 2026?

Il costo di un firewall aziendale si compone di tre voci distinte. Ecco i range reali che vediamo ogni giorno nelle PMI italiane:

Hardware (una tantum)

€200 – €3.000

Appliance fisica: da entry-level PMI fino a mid-range per 100+ utenti

Licenze (annuali)

€300 – €2.000

IPS, antivirus, web filtering, sandboxing: rinnovo annuale obbligatorio

Configurazione

€500 – €1.500

Inclusa con BullTech: installazione, regole, VPN, collaudo e documentazione

Per un preventivo su misura per la tua PMI, consulta la nostra pagina configurazione firewall aziendale oppure chiamaci al 039 5787 212. Se vuoi approfondire come proteggere anche i server dietro al firewall, leggi la nostra guida all'hardening dei server aziendali.

Firewall hardware vs software: confronto completo

Una delle domande che ci fanno più spesso: vale la pena comprare un'appliance hardware o basta installare pfSense su un server? La risposta dipende dal contesto. Ecco il confronto onesto basato sulle installazioni reali che facciamo ogni anno.

Tipo	Pro	Contro	Prezzo indicativo	Brand top
Firewall hardware (appliance)	Pronto all'uso, processori dedicati, supporto ufficiale, aggiornamenti automatici, alta affidabilità	Costo iniziale più alto, licenze annuali obbligatorie, meno flessibile in personalizzazione	Da €300 (entry) a €15.000+ (enterprise)	Fortinet FortiGate, WatchGuard Firebox, Sophos XGS, Cisco ASA, SonicWall TZ
Firewall software (open source)	Licenza gratuita, flessibilità massima, customizzazione totale, community attiva	Richiede hardware dedicato + competenze interne, nessun supporto ufficiale, aggiornamenti manuali	€0 (software) + €200-1.500 (hardware dedicato)	pfSense (Netgate), OPNsense, IPFire
Firewall cloud (FWaaS)	Nessun hardware, cresce con te senza limiti, protegge anche utenti remoti e mobile	Dipendenza da latenza cloud, costi ricorrenti per utente, meno controllo locale	€5-20/utente/mese	Zscaler, Cloudflare Gateway, Palo Alto Prisma
Consiglio BullTech: per la maggior parte delle PMI italiane (5-100 utenti) il firewall hardware con appliance dedicata è la scelta giusta. Il firewall software è conveniente solo se hai IT interno competente. Il cloud è indicato quando hai 30+ utenti remoti stabili.

Qualche dettaglio sui brand principali che installiamo. Fortinet FortiGate: il modello 40F parte da circa €300-400 per l'hardware (entry-level, fino a 20 utenti) — il costo totale con licenza UTM sale a €600-900 il primo anno. Cisco ASA: storico del mercato enterprise, ottimo per chi ha già infrastruttura Cisco, ma costoso e complesso per le PMI — preferibile il Cisco Meraki MX per gestione cloud semplice. SonicWall TZ Series: ottimo rapporto qualità/prezzo per PMI 10-50 utenti, gestione cloud con SonicWall NSM, prezzi da €400 (TZ270). pfSense: open-source, gratuito, ma va su hardware dedicato e richiede un sistemista che lo gestisca — non adatto se non hai IT interno.

Checklist configurazione firewall aziendale: 8 passi fondamentali

Hai appena installato il firewall (o devi verificare quello che hai). Ecco la checklist che usiamo noi di BullTech per ogni nuova installazione e per ogni audit periodico. Se una sola di queste voci non è spuntata, la tua rete non è al sicuro.

Default deny in ingresso — tutto il traffico in entrata deve essere bloccato di default. Si aprono solo le porte strettamente necessarie (VPN, web server pubblico se presente). Nessuna eccezione non documentata.

Regole in uscita restrittive — permettere solo i protocolli necessari (HTTP 80, HTTPS 443, DNS 53, SMTP se c'è un mail server). Blocca tutto il resto: impedisce al malware già installato di comunicare verso l'esterno.

IPS attivo con aggiornamenti automatici — il sistema anti-intrusione deve essere abilitato e le firme aggiornate almeno ogni 4 ore. Verifica che la licenza IPS sia attiva e non scaduta.

Web filtering per categoria — abilita il blocco delle categorie ad alto rischio: malware, phishing, botnet, adult content. Il 30% dei siti di phishing è su domini appena registrati che nessun antivirus conosce ancora.

SSL/TLS inspection abilitata — senza questa funzione il firewall è cieco sull'90% del traffico (HTTPS). Richiede l'installazione di un certificato CA sui PC aziendali, ma è indispensabile.

Segmentazione rete in almeno 3 zone — LAN (dipendenti), DMZ (server esposti), Guest (ospiti e IoT). Le regole tra zone devono essere esplicite: no accesso diretto Guest→LAN o LAN→DMZ non filtrato.

Log attivi e centralizzati — il firewall deve loggare connessioni bloccate, alert IPS, accessi VPN. I log vanno inviati a un server syslog e conservati almeno 6 mesi (requisito GDPR). Senza log, dopo un incidente non sai cosa è successo.

Aggiornamento firmware programmato — pianifica aggiornamenti firmware trimestrali. I vendor rilasciano patch critiche regolarmente: nel 2024 una CVE su FortiGate non aggiornati ha compromesso 600+ dispositivi in Italia. Attiva le notifiche automatiche del vendor.

Per configurare correttamente la rete aziendale che sta dietro al firewall, leggi la nostra guida alle reti aziendali e infrastruttura di rete. Se hai dipendenti in smart working che si connettono tramite VPN, approfondisci il tema nella nostra guida alle VPN aziendali: come configurarle nel 2026. Per la protezione avanzata della tua infrastruttura, scopri le nostre soluzioni cybersecurity per aziende.

Domande frequenti sul firewall aziendale