Stai cercando un firewall aziendale che protegga la tua rete senza richiedere un ingegnere di rete a tempo pieno? Hai sentito parlare di WatchGuard ma non sai se fa al caso tuo? Noi di BullTech Informatica, da Vimercate (MB) dal 2009, siamo Gold Partner WatchGuard e abbiamo installato oltre 120 firewall Firebox per PMI lombarde. In questa guida ti spieghiamo tutto: cos'e WatchGuard, la linea prodotti Firebox T e M, AuthPoint MFA, ThreatSync XDR, WatchGuard Cloud e quando ha senso sceglierlo rispetto a Fortinet o Cisco Meraki. Niente paroloni: parliamo come al bar, ma con i numeri giusti.
Definizione
WatchGuard Technologies e un'azienda americana di cybersecurity fondata nel 1996 a Seattle che produce firewall di rete (Firebox), soluzioni di autenticazione multifattore (AuthPoint MFA), piattaforme di detection and response (ThreatSync XDR) e access point Wi-Fi sicuri. A differenza dei colossi come Fortinet o Palo Alto che puntano sull'enterprise, WatchGuard si concentra sulle PMI e sul canale MSP: prodotti enterprise-grade pensati per essere gestiti da partner IT senza richiedere un SOC interno. Secondo Frost & Sullivan (2025), WatchGuard e leader nel segmento UTM firewall per le PMI con oltre 250.000 appliance attive nel mondo.
Fatti chiave — WatchGuard 2026
- 250.000+ appliance firewall attive nel mondo
- Fondata nel 1996 — oltre 28 anni di esperienza in cybersecurity
- Unified Security Platform: firewall + MFA + XDR + Wi-Fi in un ecosistema
- WatchGuard Cloud: gestione centralizzata gratuita con licenza
- Gold Partner BullTech: 120+ Firebox installati in Lombardia (2015-2026)
- PMI-first: ideale per aziende da 10 a 250 postazioni
Indice della guida
Cos'e WatchGuard e perche le PMI lo scelgono
WatchGuard nasce nel 1996 a Seattle con una missione chiara: rendere la sicurezza di rete enterprise accessibile alle aziende che non hanno un team di cybersecurity interno. Mentre Fortinet, Palo Alto e Check Point si contendono il mercato enterprise (banche, telco, multinazionali), WatchGuard si e concentrata sul segmento che in Italia rappresenta il 95% del tessuto imprenditoriale: le PMI.
Il concetto di base e la Unified Security Platform: un ecosistema integrato dove firewall, MFA, XDR e Wi-Fi sicuro parlano tra loro e si gestiscono da un unico pannello cloud. Non devi comprare il firewall da un vendor, l'MFA da un altro e il SIEM da un terzo: WatchGuard ti da tutto in un pacchetto coerente.
Per capire perche questo conta, pensa alla situazione tipica di una PMI italiana con 30 dipendenti: hai il firewall di un brand, l'antivirus di un altro, la VPN di un altro ancora, le password gestite con un foglio Excel e nessuno che correla i log di sicurezza. Se succede un incidente, devi aprire cinque console diverse per capire cosa e successo. Con WatchGuard, apri WatchGuard Cloud e vedi tutto: chi ha tentato l'accesso, da dove, cosa ha bloccato il firewall, se l'MFA ha funzionato, se ThreatSync ha rilevato anomalie.
WatchGuard non e il firewall con le prestazioni piu alte del mercato (quello e Fortinet) e non e il piu economico (quello e pfSense). E il firewall con il miglior equilibrio tra sicurezza, semplicita e costo per le PMI. E per un MSP come BullTech che gestisce la sicurezza di decine di clienti, WatchGuard Cloud e lo strumento che ci permette di monitorare tutto da Vimercate senza dover accedere a VPN diverse per ogni cliente.
Firebox T Series: firewall per piccoli uffici e filiali
La serie T (da “Tabletop”, cioe da scrivania) e la linea di firewall WatchGuard pensata per piccoli uffici, filiali e PMI fino a 50-80 utenti. Sono appliance compatte, silenziose (niente ventole rumorose in ufficio), e con un rapporto prezzo/prestazioni eccellente.
I modelli attuali della serie T:
- Firebox T25 — Fino a 15 utenti, 403 Mbps firewall throughput. Perfetto per micro-uffici, studi professionali con 5-10 postazioni, filiali piccole. Il firewall entry-level con tutte le funzionalita della Total Security Suite.
- Firebox T45 — Fino a 30-40 utenti, 1.04 Gbps firewall throughput. Il modello piu venduto per le PMI italiane. Gestisce tranquillamente un ufficio con 20-30 postazioni, VPN site-to-site e remote access. Ha anche porte PoE+ per alimentare access point direttamente.
- Firebox T85 — Fino a 60-80 utenti, 1.86 Gbps firewall throughput. Per sedi medie con traffico elevato. Porta 10G SFP+ per il collegamento al core switch. Moduli espandibili per connettivita aggiuntiva.
Nota sulle prestazioni
I throughput indicati sono con firewall attivo ma senza UTM (content filtering, IPS, antivirus). Con tutti i servizi di sicurezza accesi (Full UTM), il throughput scende: un T45 passa da 1 Gbps a circa 400-500 Mbps. Per la maggior parte delle PMI italiane con connessioni fibra da 100-300 Mbps, un T45 gestisce il carico senza problemi. Se hai fibra da 1 Gbps e vuoi UTM completo, valuta il T85 o un M Series.
Tutti i Firebox T Series includono: SD-WAN integrata (bilanciamento e failover tra piu link Internet), VPN site-to-site (Branch Office VPN con chiave pre-condivisa o certificati), Mobile VPN (IKEv2, SSL, L2TP per lavoro remoto) e Wi-Fi opzionale (modelli T25-W e T45-W con Wi-Fi 6 integrato, comodo per micro-uffici dove non vuoi un access point separato).
Firebox M Series: firewall per aziende medie
La serie M e pensata per aziende medie, sedi centrali e ambienti con traffico elevato. Sono appliance rack-mount (1U) progettate per il data center o il rack aziendale.
- Firebox M290 — Fino a 75 utenti, 1.18 Gbps firewall throughput. Il modello entry-level della serie M, per sedi centrali di PMI con 50-75 postazioni.
- Firebox M390 — Fino a 150 utenti, 2.4 Gbps throughput. Per aziende medie con traffico significativo e VPN multi-sede. Porte 10G SFP+ per uplink ad alta velocita.
- Firebox M590 — Fino a 300 utenti, 4.6 Gbps throughput. Per sedi grandi, campus e ambienti che richiedono alta disponibilita (HA active/standby).
- Firebox M690 — Fino a 500+ utenti, 9.8 Gbps throughput. Top di gamma per aziende enterprise-medium con requisiti di sicurezza elevati.
La serie M supporta alta disponibilita (HA) in configurazione active/standby: due Firebox lavorano in coppia, se uno si guasta l'altro prende il controllo in secondi. Per le aziende dove il fermo rete costa migliaia di euro all'ora, l'HA e un investimento che si ripaga alla prima emergenza.
Tutti gli M Series supportano moduli espandibili per connettivita aggiuntiva: porte fibra, porte rame, moduli 10G. Questo li rende flessibili per crescere con l'azienda senza cambiare firewall.
Total Security Suite: cosa include la licenza
Come per Cisco Meraki, anche WatchGuard ha un modello di licenze a sottoscrizione. La differenza fondamentale: senza licenza, il Firebox continua a funzionare come firewall base/router/VPN. Perdi le funzionalita UTM avanzate, ma l'hardware non diventa un fermaporta. Questo e un vantaggio importante rispetto a Meraki.
WatchGuard offre due livelli di licenza:
- Basic Security Suite — Include: Gateway AntiVirus, Intrusion Prevention (IPS), Application Control, WebBlocker (URL filtering), spamBlocker, Reputation Enabled Defense, Network Discovery. E il minimo per un firewall UTM decente.
- Total Security Suite — Tutto il Basic piu: APT Blocker (sandboxing cloud per malware zero-day), DNSWatch (DNS filtering anti-phishing), IntelligentAV (machine learning), ThreatSync (XDR), accesso completo a WatchGuard Cloud per report e gestione. E quello che consigliamo sempre.
Il consiglio BullTech sulle licenze
Compra sempre la Total Security Suite con licenza a 3 anni. Il risparmio rispetto a 3 rinnovi annuali e circa il 15-20%, e hai ThreatSync XDR e APT Blocker inclusi. Con la Basic perdi il sandboxing cloud (fondamentale contro i ransomware zero-day) e la correlazione XDR. Per una PMI nel 2026, risparmiare sulla sicurezza e come risparmiare sull'assicurazione: va bene finche non succede niente.
| Servizio | Basic | Total |
|---|---|---|
| Gateway AntiVirus | Si | Si |
| Intrusion Prevention (IPS) | Si | Si |
| Application Control | Si | Si |
| WebBlocker (URL filtering) | Si | Si |
| spamBlocker | Si | Si |
| APT Blocker (sandboxing) | No | Si |
| DNSWatch (DNS filtering) | No | Si |
| IntelligentAV (ML) | No | Si |
| ThreatSync (XDR) | No | Si |
| WatchGuard Cloud completo | Limitato | Si |
AuthPoint MFA: autenticazione multifattore
Le password non bastano piu. Il 63% dei data breach inizia con credenziali compromesse (Verizon DBIR 2025). Per questo la direttiva NIS2 e il GDPR richiedono esplicitamente l'autenticazione multifattore. WatchGuard lo sa e ha sviluppato AuthPoint, la sua soluzione MFA integrata nell'ecosistema.
AuthPoint funziona cosi: quando un utente accede a una risorsa protetta (VPN aziendale, portale web, PC Windows, app cloud), oltre alla password deve confermare l'identita con l'app AuthPoint sul telefono. Tre metodi disponibili:
- Push notification — Arriva una notifica sul telefono, tocchi “Approva” e sei dentro. Il metodo piu comodo e veloce.
- QR code — Inquadri un codice QR con la fotocamera del telefono. Utile se la push non arriva (scarsa connessione).
- OTP (One-Time Password) — L'app genera un codice numerico a 6 cifre che cambia ogni 30 secondi. Il classico “secondo fattore”, compatibile con qualsiasi sistema.
La caratteristica unica di AuthPoint e il DNA Mobile: il token MFA e legato al dispositivo fisico specifico. Se qualcuno clona l'app su un altro telefono, il token non funziona. Questo protegge anche dallo scenario in cui un attaccante riesce a replicare la SIM o a intercettare gli SMS (attacco SIM swap).
AuthPoint si integra con Active Directory, RADIUS, SAML 2.0 e oltre 100 applicazioni cloud (Microsoft 365, Google Workspace, Salesforce, VPN). Per una guida completa su AuthPoint, leggi il nostro articolo dedicato: WatchGuard AuthPoint: MFA per Aziende.
ThreatSync XDR: detection and response unificata
ThreatSync e la piattaforma XDR (Extended Detection and Response) di WatchGuard. In parole semplici: raccoglie i dati di sicurezza da tutte le fonti (firewall Firebox, endpoint, AuthPoint, Wi-Fi) e li correla per identificare attacchi complessi che un singolo componente non vedrebbe.
Esempio concreto: un dipendente riceve un'email di phishing, clicca sul link (il firewall logga il tentativo di accesso a un dominio malevolo), il malware tenta di installarsi sull'endpoint (l'antivirus blocca il primo tentativo ma un secondo payload bypassa la detection). ThreatSync correla questi eventi — accesso sospetto + tentativo malware — e crea un incidente con risposta automatica: blocca l'IP sorgente sul firewall, isola l'endpoint dalla rete, notifica il team IT. Tutto in secondi, senza intervento umano.
Per le PMI che non hanno un SOC interno, ThreatSync e il piu vicino che puoi avere a un SIEM/SOC automatizzato senza i costi e la complessita di una piattaforma SIEM dedicata. Approfondisci nella nostra guida a ThreatSync XDR.
WatchGuard Cloud: gestione centralizzata
WatchGuard Cloud e la piattaforma di gestione centralizzata. Da un unico pannello web gestisci tutti i Firebox, AuthPoint, ThreatSync e gli access point Wi-Fi WatchGuard. E gratuita con la licenza — non devi pagare un abbonamento cloud separato.
Cosa puoi fare da WatchGuard Cloud:
- Gestione centralizzata — Configuri policy, VPN, regole firewall per tutti i dispositivi da un unico punto. Cambi una regola e si propaga a tutte le sedi.
- Monitoring in tempo reale — Dashboard con stato di tutti i dispositivi, traffico, allarmi, tentativi di intrusione.
- Report e analytics — Report dettagliati su traffico, minacce bloccate, utilizzo banda, conformita. Generabili automaticamente e inviate via email.
- Gestione AuthPoint — Aggiungi utenti, configura risorse protette, gestisci token MFA.
- ThreatSync XDR — Incidenti di sicurezza correlati, timeline degli eventi, azioni di risposta automatica.
- Firmware management — Aggiornamenti pianificati e distribuiti centralmente.
Cloud vs gestione locale: quando scegliere cosa
WatchGuard Cloud e la scelta giusta per la maggior parte delle PMI e per chi si affida a un MSP come BullTech. La gestione locale (Fireware Web UI o WatchGuard System Manager) ha senso solo in ambienti air-gapped (senza Internet, rari nel 2026) o in contesti militari/governativi dove i dati non possono andare nel cloud. Per tutti gli altri: Cloud, senza dubbio.
Scenari di deployment per PMI
Ogni azienda e diversa. Ecco gli scenari di deployment WatchGuard che configuriamo piu spesso per le PMI clienti di BullTech.
Scenario 1: Studio professionale (10-20 utenti)
Setup: Firebox T25 o T45 con Total Security Suite + AuthPoint per tutti gli utenti. VPN client per smart working. Wi-Fi guest separata.
Perche funziona: lo studio ha dati sensibili (fiscali, legali, sanitari), pochi utenti ma alto valore per dato. Il T45 protegge tutto il perimetro, AuthPoint garantisce la compliance NIS2/GDPR, WatchGuard Cloud ci permette di monitorare da BullTech senza disturbare lo studio.
Scenario 2: PMI manifatturiera multi-sede (50-100 utenti)
Setup: Firebox M390 in sede centrale + Firebox T45 nelle filiali. VPN site-to-site (BOVPN) tra tutte le sedi. AuthPoint per utenti con accesso VPN e admin. ThreatSync per correlazione cross-sede.
Perche funziona: la sede centrale gestisce ERP, server di produzione e dati critici — serve potenza (M390). Le filiali hanno 10-15 utenti ciascuna — basta il T45. La BOVPN collega tutto in modo trasparente. ThreatSync vede l'intera infrastruttura e correla eventi da tutte le sedi.
Scenario 3: Azienda full-remote (30-50 utenti distribuiti)
Setup: Firebox T85 in sede (server, NAS, stampanti) + Mobile VPN IKEv2 per tutti i remoti + AuthPoint MFA obbligatoria + ThreatSync con endpoint agent su ogni laptop.
Perche funziona: il perimetro non e piu l'ufficio ma il laptop del dipendente. La VPN cifra il traffico, AuthPoint verifica l'identita, ThreatSync monitora ogni endpoint anche fuori dalla rete aziendale. Se un laptop viene compromesso, ThreatSync lo isola automaticamente.
WatchGuard vs Fortinet vs Meraki: confronto
Non esiste il firewall perfetto. Esiste quello giusto per il tuo scenario. Ecco un confronto onesto basato sulla nostra esperienza con WatchGuard, Fortinet e Meraki.
| Criterio | WatchGuard | Fortinet | Meraki MX |
|---|---|---|---|
| Target ideale | PMI 10-250 utenti | PMI e enterprise | Multi-sede cloud |
| MFA integrata | AuthPoint (nativa) | FortiToken (extra) | No (terze parti) |
| XDR integrato | ThreatSync (incluso) | FortiXDR (extra) | No |
| Prestazioni firewall | Buone | Eccellenti (ASIC) | Sufficienti |
| Senza licenza attiva | Funziona (base) | Funziona (base) | Si blocca |
| Gestione MSP | Eccellente | Buona | Eccellente |
| TCO 5 anni (PMI 30 ut.) | Medio | Medio-basso | Alto |
Il verdetto BullTech: per le PMI italiane da 10 a 100 utenti che vogliono un ecosistema di sicurezza completo (firewall + MFA + XDR) gestito da un MSP, WatchGuard offre il miglior rapporto funzionalita/semplicita. Per chi ha esigenze di throughput estremo o ambienti enterprise complessi, Fortinet resta il riferimento. Per chi prioritizza la gestione multi-sede cloud-first, Meraki e un'alternativa da valutare (con i limiti noti sulla licenza obbligatoria).
Per un confronto dettagliato su tutti i firewall aziendali, leggi la nostra guida alla scelta del firewall aziendale.
Perche scegliere BullTech come partner WatchGuard
WatchGuard e un prodotto eccellente, ma un firewall mal configurato e peggio di nessun firewall: da un falso senso di sicurezza. Per questo serve un partner che sappia non solo installarlo, ma configurarlo, monitorarlo e mantenerlo nel tempo.
Ecco cosa fa BullTech come Gold Partner WatchGuard:
- Assessment della rete — Analizziamo la tua infrastruttura attuale, identifichiamo le vulnerabilita e progettiamo la soluzione WatchGuard adatta al tuo scenario.
- Installazione e configurazione — Segmentazione VLAN, policy firewall, VPN site-to-site, AuthPoint, integrazione Active Directory. Tutto configurato secondo le best practice WatchGuard e le tue esigenze specifiche.
- Monitoraggio proattivo H24 — Da WatchGuard Cloud monitoriamo tutti i Firebox clienti. Se scatta un allarme, interveniamo in 15 minuti da remoto senza aspettare la tua chiamata.
- Gestione licenze — Tracciamo le scadenze, pianifichiamo i rinnovi e ti avvisiamo per tempo. Nessuna sorpresa.
- Aggiornamenti pianificati — Firmware, security patches, policy updates. Tutto pianificato in orari di minimo impatto e testato prima dell'applicazione.
- Supporto di secondo livello — Come Gold Partner abbiamo accesso al supporto tecnico WatchGuard prioritario. Se il problema e complesso, lo escaliamo direttamente a WatchGuard Italia.
BullTech + WatchGuard in numeri
- Gold Partner WatchGuard — il livello piu alto del programma partner
- 120+ Firebox installati in Lombardia dal 2015
- Sede a Vimercate (MB) — intervento on-site in tutta la Brianza, Milano e hinterland
- Canone fisso mensile — gestione WatchGuard inclusa nei contratti MSP
- Supporto in italiano — quando chiami, rispondiamo noi da Vimercate
- Assessment gratuito — analizziamo la tua rete e ti diciamo se WatchGuard fa al caso tuo
La gestione WatchGuard si integra nel nostro servizio di firewall management: monitoraggio, configurazione, aggiornamenti, report e supporto inclusi nel canone MSP mensile. Scopri anche la nostra pagina dedicata al firewall management aziendale.