Una rete connessa a Internet richiede vari tipi di gestione effettuabili a livello di firewall. Il firewall è infatti il punto in cui tutto il traffico da e verso Internet deve passare, per cui si presta in modo particolare per la gestione dello stesso.
Tipacamente le esigenze più diffuse sono riassunte nei seguenti punti:

A. Gestione e controllo dell'attività in Internet degli utenti Interni
Come usano Internet i vostri dipendenti? Quanto tempo dedicano a Internet?
Spesso si calcola il costo aziendale di Internet solo in base alle bollette Telecom, al costo degli apparecchi (router, modem, ...) e del software usato per collegarsi a Internet. In realtà un costo nascosto ma spesso predominante è determinato dal tempo perso in modo non produttivo dai 'navigatori di Internet.
Anche se la vostra fiducia e massima e senza voler controllare utente per utente l'uso di Internet (sicuramente contrario alla privacy) i SonicWALL permettono di evitare che l'utente frequenti siti appartenenti a determinate categorie (sesso più o meno esplicito, violenza, razzismo, e molte altre), o altri siti elencati, oppure permettono l'accesso solo a siti appartenenti ad una specifica lista. Il tutto avvertendo l'utente del "filtro" attivo, quindi rispettando la sua privacy e prevenendo, invece di reprimere, i comportamenti scorretti.
In servizi accessibili al pubblico e nelle scuole questa azione di controllo è assolutamente indispensabile.

B. Velocizzazione della Connessione
Maggiore velocità è il sogno di tutti. Un modo realistico di ottenerla e quello di utilizzare una cache comune a tutti gli utenti in rete. Questo fa si che ogni volta che siano richiesi gli stessi dati la risposta sia locale e non data dai tempi di Internet. I dispositivi che realizzano questa funzione si chiamano "Proxy Cache Server" e svolgono la funzione di client web verso Internet e server web verso gli utenti interni. Concentrando le comunicazioni degli utenti verso Internet sono ideali per realizzare un log completo dell'attività e per gestire eventuali accesi autenticati (con nome e password) verso Internet. La funzione di Proxy CacheServer si sposa perfettamente con i firewall di SonicWALL in quanto permettono una configurazione tale da obbligare tutti gli utenti a utilizzare il proxy.

C. Gestione della sicurezza dei server Internet locali
Se avete un server per Internet (non importa quale servizio svolga: web, posta elettronica, ftp o quant'altro) avete obbligatoriamente dei computer (i server stessi) che sono accessibili da Internet. Purtroppo è estremamente semplice per un malintenzionato bloccare la funzionalità di questi computer (bloccando il servizio Internet). Sintomo classico di attacchi provenienti da Internet è il ritrovare il server bloccato apparentemente senza motivo.
L'unico modo reale di difendersi da questi attacchi esterni è quello di interporre tra i propri computer e Internet un dispositivo che analizzi il traffico di passaggio, riconosca la normale evoluzione delle comunicazioni e identifichi e blocchi i tentativi di attacco dall'esterno. Questo dispositivo è un firewall con il 'packet inspection' o ancor meglio con la "deep packet inspaction" (quest'ultima fornita sa SonicWALL attraverso il Intrusion Prevention Service).

D. Separazione della gestione della sicurezza tra zona riservata ai servizi Internet e zona per gli utenti locali
Per la natura stessa dei server Internet (che devono essere accessibili) questi sono meno sicuri degli altri computer in rete locale. Per questo motivo si tende a separare la zona fisica dei server Internet rispetto alla zona dei computer e dei server locali con un ulteriore firewall. Tale separazione fa si che l'eventualità che un server venga violato non mette in pericolo il resto della rete. Oggi si trovano vari firewall con tre porte ethernet (LAN per la rete Locale, WAN per il collegamento verso l'esterno e DMZ - DeMilitarized Zone- per il collegamento dei server) che evitano la necessità di utilizzare due firewall tradizionali (a due porte). I firewall SonicWALL, appartengono a questa categoria.

E. Connessione con reti remote o con utenti mobili in VPN (Virtual Private Network)
Se la propria azienda ha sedi o collaboratori remoti è estremamente funzionale poter garantire delle comunicazioni di rete sicure anche attraverso Internet o linee telefoniche.
L'unico modo per rendere sicura una comunicazione è quella di cifrarla prima che arrivi a una rete di pubblico accesso (per esempio Internet ma anche la rete telefonica tradizionale!!!) e di decifrarla al termine della comunicazione.
Un firewall che gestisca le VPN riconosce le comunicazioni dirette a una rete remota connessa in VPN e crittografa/decrittografa le stesse in modo del tutto trasparente ai computer in rete. Il risultato per l'utente è quello di poter usare la rete remota come se fosse locale e in modo sicuro.
Se viene utilizzato un apposito software su un computer remoto la trasmissione in VPN può avvenire anche tra firewall e computer (e non tra due firewall). In questo modo è possibile collegarsi alla propria rete aziendale da Internet con il proprio portatile ovunque si sia. Il tutto in modo sicuro.
I firewall SonicWALL includono la gestione delle VPN.

F. Maggiore importanza nelle connessioni VPN
Le VPN rappresentano un carico computazionale abbastanza gravoso per il dispositivo che deve effettuare il lavoro di cifratura/decifratura specialmente se la comunicazioni che deve gestire sono molte o utilizzano una banda particolarmente elevata. Il SonicWALL ha un hardware con porte 10/100 e processore molto prestazionale, inoltre prevede -in tutti le nuove generazioni di firewall- un chip per l'accelerazione hardware AES. Una struttura ben progettata a livello di VPN prevede un SonicWALL della serie PRO a livello di sede centrale, SonicWALL TZ 170 o SPx per le sedi periferiche e il software Global VPN Client per gli utenti dei PC portatili connessi a Internet.

G. Gestione della priorità dei servizi Internet
Nel momento in cui usate Internet per dare dei servizi (server web, posta elettronica, Voice over IP,....) ai vostri utenti si presenta la necessità di garantire una banda sufficiente a questi servizi.
Mediamente la banda complessiva che avete a disposizione non è sufficiente a garantire la banda massima a tutti i servizi e non avete alcuno strumento per gestire questa banda.
Mediante il 'Traffic Shaping', utilizzabile in outbound con tutti i SonicWALL, potrete assegnare a ogni servizio un banda minima garantita e una banda massima utilizzabile. In tal modo, anche se la stessa connessione Internet è utilizzata dalla vostra rete locale e dai vostri server, sarete sicuri che lo scaricamento di un file da parte di un utente Interno non andrà a influire sui servizi forniti dai vostri server.
Esempi tipici di utilizzo sono:
• assegnazione di diverse bande massime a diversi server web (anche se gestiti da uno stesso PC)
• assegnazione di una banda minima garantita a servizi quali Voice Over IP (comunicazioni telefoniche via Internet per il collegamento di centralini telefonici aziendali ecc...),
• a determinati server web, all'accesso verso Internet di utenti Interni 'privilegiati', ...

"Un firewall di rete è un sitema o un gruppo di sistemi che impone una politica di controllo dell'accesso tra due reti"
Questa può essere considerata una definizione abbastanza generica per un firewall. Ovviamente generalemnte le due reti sono Internet e la propria LAN locale, a volte si sarà più interessati a regolamentare l'accessibilità dell proprie risorse da Internet e a volte a regolamentare l'accesso a Internet da parte degli utenti locali.
Le diverse funzioni di un firewall possono essere raggruppate in queste categorie:
• Firewall per la Sicurezza (Statefull Packet Inspection)
• Firewall come Filtro (in ingresso e in uscita)
• Firewall come Gateway
• Firewall per estensione della propria LAN (Accesso sicuro e LAN to LAN tramite Internet)

Ma chi ci garantisce che un firewall faccia il suo dovere e ci protegga dalla rete? Questo non è semplice e riguarda almeno due aspetti: la sicurezza e affidabilità del firewall e il modo con cui è stato installato. Per il primo fattore esistono degli organismi (generalmente formati dai principali produttori) che certificano che il firewall ha passato determinati test. Uno di questi organismi è l'ICSA.
Il secondo aspetto riguarda la professionalità e la competenza dell'installatore. La cosa migliore è sicuramente affidarsi a persone preparate che abbiano seguito dei corsi specifici come i nostri esperti.

Firewall per il Packet Inspection
Un firewall è in genere in grado di analizzare il contenuto di ogni pacchetto che passa attraverso esso. Questo è fondamentale per bloccare il traffico indesiderato o gli attacchi di hacker Internet senza complicare eccessivamente le configurazioni. Tipici esempi di packet Inspection sono la possibilità di filtrare gli attacchi Internet di tipo "denial of service" (il firewall riconosce che è in corso un tentativo di attacco verso una macchina Interna e lo blocca), la possibilità di verificare il sito in cui si sta navigando e il contenuto dello stesso per eventualmente bloccare o registrare comportamenti non consentiti. Il packet inspection è fondamentale per la realizzazione di un firewall di buon livello. Si parla di Statefull Packet Inspection nel momento in cui il firewall tiene traccia delle comunicazioni e quindi prende le decisioni (ammettere o meno una comunicazione) in base al contesto

Firewall come Filtro
Un firewall è in grado di filtrare il traffico in base al tipo di protocollo, all'indirizzo e alla porta sorgente e all'indirizzo e alla porta di destinazione. Questa funzione è espletata anche da diversi tipi di router (per es. il router Netopia), per cui il vero vantaggio dei firewall in questo caso sta negli strumenti di amministrazione e nel poter gestire tutte le varie funzionalità in modo centralizzato.

 Una funzione fondamentale e' quella che viene generalmente indicata come 'Content Filtering': filtrare il traffico Web degli utenti interni (quindi è un traffico dalla rete locale verso Internet) in base al contenuto dei siti web on in base ad altre politiche.
Questo è importante per evitare un uso improprio di Internet con conseguente perdita di tempo e di produttività degli impiegati.

Firewall come Gateway
I firewall possono essere usati come gateway verso Internet. In questa ottica il firewall viene visto dalla rete locale come 'router', anche se generalmente sarà un altro router a realizzare la connessione fisica verso Internet. Se il firewall ha tre porte ethernet può gestire una rete sicura riservata ai propri server Internet e isolare la rete locale mediante la funzione NAT (Network Address translation). Con classici firewall a due porte si può ottenere la stessa configurazione tramite due firewall (vedasi figura sotto).

Firewall per estensione della propria LAN
Una funzione che si ritrova in sempre più firewall è la possibilità di gestire le VPN (Virtual Private Network). Una VPN permette di estendere la propria rete privata (LAN) verso altre reti private utilizzando come dorsale una rete pubblica (e quindi intrinsecamente insicura). Questo è possibile perché i dati trasmessi da una rete privata all'altra vengono automaticamente crittografati e de-cirttografati dai firewall, rendendo in questo la trasmissione sicura in modo trasparente all'utente di una rete. La funzione di VPN è possibile anche tra la propria rete locale e un singolo computer (un portatile) in Internet: è sufficiente installare nel portatile un apposito software che si occupi di crittografare / de-crittografare i dati provenienti dal firewall.Sono ovvi i vantaggi di questa tecnologia: riduzione drastica dei costi per i collegamenti aziendali. Maggiore sicurezza nella trasmissione dei dati.

Tutti i prodotti SonicWALL disponibili presso SPEL sono caratterizzati dalla certificazione dell'ICSA, garantendo quella sicurezza intinseca che un prodotto di questo genere deve avere e dalla massima semplicità di installazione, garantendo la corrispondenza tra la configurazione pensata in fase di progetto e la configurazione implementata.
Vediamo i modelli principali:

SonicWALL TZ 170 (10, 25 o utenti illimitati)

Il prezzo particolarmente aggressivo e la possibilità di espansione ne fa il prodotto ideale per le piccole aziende connesse a Internet o per gli uffici periferici di quelle organizzazioni che possiedono un SonicWALL serie PRO centralmente. In questo ultimo casoè necessario realizzare una rete virtuale tra le varie sedi.
La versione TZ 170 - 10 , ad esempio, è stata pensata per gli uffici periferici e per i Telelavoratori. Includendo le VPN e gestendo un massimo di 10 utenti interni permette di gestire connessioni realmente sicure verso la sede centrale.

I principali numeri dei SonicWALL TZ 170 :
• 90 Mbps di througput in firewalling
• 6.000 connessioni IP
• 30 Mbps di throughput in IPSec 3DES

Per maggiori informazioni sul prodotto e per conoscere il prezzo aggiornato contattateci o chiamate i numeri telefonici in fondo malla pagina.

SonicWALL PRO (2040, 3060, 4060 e 5060)

Nel caso in cui la vostra azienda abbia dei servizi dedicati a Internet (posta elettronica, server web, server di eCommerce,...) la cosa migliore è quella di creare una zona intermedia tra la propria rete e Internet in cui posizionare i server. Questo perché è necessario lasciare libero acceso a determinati servizi dei server (altrimenti che server sono?), rendendo queste macchine più vulnerabili da hacker Internet. Il fatto di avere una zona DMZ (De Militarized Zone) in cui inserire i server, ci garantisce in quanto, anche se ipoteticamente qualcuno riesce a violare i server, non avrebbe accesso alla rete locale.
Il SonicWALL in ogni caso analizza ogni pacchetto in transito per cui automaticamente blocca tutti i tentativi di attacco tesi a ridurre la funzionalità dei server, eliminando così tutti quei casi in cui si trova il server bloccato apparentemente senza motivo.
Per maggiori informazioni sul prodotto e per conoscere il prezzo aggiornato consultate SonicWALL PRO, con un hardware potenziato rispetto alla versione TZ 170 in grado di supportare tutte le porte alla velocità di FastEthernet.

I principali numeri dei SonicWALL PRO :
• 200/300 Mbps di througput in firewalling
• 32.000/500.000 connessioni IP
• 50/190 Mbps di throughput in IPSec 3DES

Per maggiori informazioni sul prodotto e per conoscere il prezzo aggiornato contattateci o chiamate i numeri telefonici in fondo malla pagina.

SonicWALL Global Managment System

Il sistema di gestione globale di SonicWALL (SonicWALL GMS) permette alle imprese distribuite o i fornitori di servizio d igestire e controllare gli apparecchi di sicurezza Internet di SonicWALL da una postazione centrale. SonicWALL GMS è una soluzione scalabile e redditizia che estende la facilità di gestione dei firewall SonicWALL fornendo agli amministratori di rete gli strumenti per gestire facilmente le politiche di sicurezza geograficamente distribuite.

Il SonicWALL Global Management System offre:
• Gestione e monitoring remoto delleSonicWALL Internet Security Appliance.

• Gestione e distribuzione centralizzata delle politiche di sicurezza.

• Architettura scalabile.

Il SonicWALL GMS consiste di due moduli:

Gestore delle politiche di SonicWALL - un motore specializzato di configurazione che permette a gli utenti di definire e distribuire globalmente le politiche di sicurezza di rete a tutti i firewall di SonicWALL in Internet. Le politiche quali accesso da everso Internet, restrizioni all’accesso Web e le politiche di VPN possono essere regolate centralmente e imposte nei firewall remoti. Gli amministratori possono gestire tutta la funzionalità delle apparecchiature SonicWALL, compreso accesso, la crittografia, giornali e report, come pure gli aggiornamenti del software e gli aggiornamenti delle funzionalità.

Gestore degli eventi di SonicWALL - un motore robusto di verifica che permette agli utenti di annotare, controllare, avvisare e segnalare gli eventi di politica di sicurezza dei SonicWALL remoti. Il gestore di eventi di SonicWALL compila gli archivi di syslog dello specifico SonicWALL per sviluppare un centro di allerta personalizzabile. Gli amministratori possono anche configurare il gestore di eventi di SonicWALL per iniziare azioni automatiche in risposta agli allarmi ricevuti dai SonicWALL remoti.

È preferibile un firewall software o hardware?
Il firewall HW si può basare su un sistema proprietario, quindi più difficile da violare. È una scatola chiusa testata per funzionare correttamente. Se si utilizza un firewall SonicWALL bisogna avere una profonda conoscenza anche del sistema operativo in cui lo si inserisce. (torna in alto)

Chi mi garantisce che un firewall mi protegge?
Esistono degli organismi internazionali (per esempio l'ICSA) che si occupano in maniera indipendente di certificare i singoli apparati. L'unica sicurezza reale che un utente può avere è relativa alla certificazione del prodotto da parte di queste organizzazioni. Ovviamente, parte fondamentale per la sicurezza è l'installazione. Affidarsi a tecnici preparati è la cosa migliore. Il firewall deve poi garantire una corretta interfaccia per evitare errori di configurazione rispetto alle specifiche volute.
SonicWALL è certificato ICSA e possiede una interfaccia coerente in ogni aspetto. (torna in alto)

È possibile avere il giornale di tutta l'attività degli utenti interni verso Internet?
Questo è possibile anche se i firewall non sono pensati per svolgere questo mestiere. Inoltre non trascurate le problematiche relative alla legge sulle privacy. SonicWALL con il content filtering permette di filtrare gli utenti solo dopo averne avuto il consenso e, prevenendo i comportamenti scorretti (volendo si può anche semplicemente registrarli), non si contrappone al diritto di privacy. (torna in alto)

Perchè è utile la porta DMZ se si possono creare delle regole di accesso specifiche per i server Internet anche nella porta LAN?
Avere una zona riservata alle macchine più accessibili da Internet garantisce la rete locale anche nel caso in cui una di queste macchine venga violata (per errata configurazione del firewall, per furto di password, per problemi della macchina stessa).Filtrare in modo non corretto l’accesso a Internet può provocare frustrazione e limitare la capacità operativa degli operatori. Analogamente un accesso completamente libero provoca sicuramente notevoli perdite di tempo, uso improprio di Internet ed esposizione di determinati utenti (es: bambini) ad argomenti inopportuni quali pornografia o intolleranze razziali.
I prodotti di SonicWALL permettono che le aziende effettuino le politiche di accesso del Internet adeguate in base ai loro bisogni specifici, con supporto incorporato di filtri URL, filtri su parole chiave, divieto dell’uso di cookie, ActiveX e/o Java. Questi filtri sono abilitabili anche solo in un periodo del giorno;
Opzionalmente è inoltre disponibile un abbonamento alla CyberNOT (SonicWALL Content Filter Subscription) che estende di molto le capacità di filtro del SonicWALL.
In pratica con la sottoscrizione a questo servizio, il firewall scarica a intervalli preimpostati una lista di siti aggiornati in base al contenuto degli stessi nelle seguenti categorie:
• Violence/Profanity (graphics or text)
• Partial Nudity
• Full Nudity.
• Sexual Acts (graphics or text)
• Gross Depictions (graphics or text)
• Intolerance (graphics or text)
• Satanic/Cult (graphics or text)
• Drugs/Drug Culture (graphics or text)
• Militant/Extremist (graphics or text)
• Sex Education (graphics or text)
• Questionable/Illegal Gambling (graphics or text)
• Alcohol & Tobacco (graphics or text)

Con la versione Premium Business Edition del Content Filtering di SonicWALL, è possibile configurare fino a 56 categorie di siti per una più granulare gestione delle politiche di sicurezza.

L’amministratore di sistema dovrà solo decidere in quali ore queste categorie saranno accessibili o meno e se bloccare l’accesso agli utenti non autorizzato o solo registrare l’avvenuto accesso.

Vitual Private Network - VPN

Le VPN di SonicWALL danno la possibilità ai telelavoratori, agli uffici remoti, ai partner, ai propri agenti sul territorio, di collegarsi alla rete centrale attraverso Internet mantenendo il massimo della sicurezza.
Una classica configurazine è rappresentata da una sede centrale dotata di SonicWALL PRO e di una o più sedi periferiche con il SonicWALL TZ170 e degli agenti (anche decine o centinaia), con il client VPN per PC (Global VPN Client o Global Security Client).
Tutte queste reti o computer operano come se fossero fisicamente collegati alla rete centrale tramite una linea dedicata, ma in realtà sono semplicemente collegati a Internet e le VPN ne gestiscono il traffico in modo sicuro.
La sicurezza delle VPN di SonicWALL è ai massimi livelli tecnologici oggi permessi, infatti vengono supportate le connessioni in tecnologia IPSec AES (fino a 256 bit).