Gestione Firewall
Il router Centro Business dispone di due varianti di firewall indipendenti. Normalmente è attivo il firewall LAN e, in caso di utilizzo della DMZ, si attiva inoltre il firewall DMZ. Per entrambi i casi è possibile configurare una personalizzazione tramite regole proprie.
Impostare lo stato del firewall su Off non è un'opzione!
Soprattutto quando l'infrastruttura LAN è resa accessibile da Internet, l’utente è responsabile al 100% della propria sicurezza e di quella del sistema!
Il cliente accetta contrattualmente questo obbligo nelle "Condizioni particolari Internet".
Scopo e obiettivo
Per limitare il traffico Internet verso il LAN o la DMZ del cliente è necessario utilizzare il firewall. Ciò è estremamente importante per garantire la sicurezza e la stabilità dell’infrastruttura del cliente.
Importante da sapere
Ogni richiesta proveniente da Internet (WAN) che raggiunge con successo un dispositivo LAN (o il 2nd Firewall) nella rete, genera una regola NAT sul router Centro Business – a condizione che il firewall non abbia già scartato (DROP) la richiesta.
Se la connessione diventa oggetto di un attacco e il firewall non riesce a bloccare efficacemente le richieste in entrata, la tabella NAT si riempie. Questo può portare a malfunzionamenti del router o instabilità.
Configurare il firewall
- Centro Business 3.0 (ad Q4-2025)
- Centro Business 3.0 (da Q4-2025)
- Centro Business 2.0
Impostazioni di base (filtri pacchetti LAN e DMZ)
Le impostazioni del firewall visualizzate nel portale del router sotto Firewall ➜ Impostazioni di base dipendono dalla connessione o dall’utilizzo di indirizzi IP fissi.
Se non sono stati sottoscritti indirizzi IP pubblici fissi o se la DMZ non è attivata, viene mostrato solo il firewall LAN.
Se la DMZ è attivata, vengono mostrati sia il firewall LAN che il firewall DMZ.
Per ogni firewall è possibile selezionare uno dei seguenti livelli:
- Balanced (Default):
Se sono configurate le relative regole di port forwarding, il firewall inoltra tutto il traffico in entrata e in uscita verso e dal LAN o dalla DMZ, ad eccezione di un gruppo definito di protocolli.
- Strict:
Il firewall blocca il traffico in entrata verso LAN o DMZ, tranne poche regole utilizzate per la gestione del router. Per quanto riguarda il traffico in uscita dal LAN o dalla DMZ del cliente, viene bloccato solo un piccolo gruppo di porte.
- Custom:
Tutto il traffico in entrata per indirizzi IPv4 e IPv6 verso il LAN del cliente è bloccato. Tutto il traffico in uscita dal LAN del cliente è consentito.
- OFF: Swisscom NON lo raccomanda!
Il firewall è disattivato. Sia le connessioni in entrata che quelle in uscita verso e dal LAN o dalla DMZ del cliente sono consentite, con rischio di malfunzionamento a causa di una tabella NAT piena.
Aggiungere o modificare regole di filtro
Una volta che il livello firewall per LAN o DMZ è impostato su Custom, è possibile definire regole individuali o modificare quelle esistenti. È necessario definire se filtrare il traffico in entrata da Internet o il traffico in uscita dalla rete del cliente.
Le nuove regole vengono create tramite Aggiungi nelle sezioni corrispondenti: Regole firewall LAN, Regole firewall DMZ, Regole WAN-LAN o Regole LAN-WAN.
Ogni regola di filtro è composta dai seguenti elementi:
Impostazioni della regola
- Nome (liberamente definibile)
- Stato (attivo/disattivo)
- Log (sì/no) --> Attivare solo per analisi dei guasti
Modifica delle policy
- Policy (accetta o scarta)
- Porte di destinazione (porta predefinita o definita tramite "Custom Appliance": porta singola, intervallo di porte o più porte/intervalli)
- Porte sorgente (porta predefinita o definita tramite "Custom Appliance": porta singola, intervallo di porte o più porte/intervalli)
Regole indirizzi IP
- Versione IP (qualsiasi, IPv4 o IPv6)
- Tipo destinazione (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo di indirizzi
- Tipo sorgente (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo di indirizzi
Le ottimizzazioni e le modifiche sono state comunicate nella: Centro Business 3.0 Firmware Release-Note "B41" (10.04.08).
Impostazioni di base (filtri pacchetti LAN e DMZ)
Le impostazioni del firewall nel portale del router sotto Firewall ➜ Impostazioni di base dipendono dalla connessione o dall’utilizzo di indirizzi IP fissi.
Se non sono stati sottoscritti indirizzi IP pubblici fissi o se DMZ non è attiva, viene mostrato solo il firewall LAN.
Se DMZ è attiva, vengono mostrati firewall LAN e DMZ.
Per ogni firewall è possibile selezionare uno dei seguenti livelli:
- Strict (Default):
Il firewall blocca il traffico in entrata verso LAN o DMZ, tranne poche regole utilizzate per la gestione del router.
Per quanto riguarda il traffico in uscita dal LAN o dalla DMZ del cliente, viene bloccato solo un piccolo gruppo di porte.
- Custom: Tutto il traffico in entrata per indirizzi IPv4 e IPv6 verso il LAN del cliente è bloccato. Tutto il traffico in uscita dal LAN del cliente è consentito.
Aggiungere o modificare regole di filtro
Una volta che il livello firewall è impostato su Custom, è possibile creare o modificare regole personalizzate. Si definisce se filtrare il traffico in entrata da Internet o il traffico in uscita dalla rete del cliente.
Le nuove regole vengono create tramite Aggiungi nelle sezioni corrispondenti: Regole firewall LAN, Regole firewall DMZ, Regole WAN-LAN o LAN-WAN.
Ogni regola di filtro è composta dai seguenti elementi:
Impostazioni della regola
- Nome (liberamente definibile)
- Stato (attivo/disattivo)
- Log (sì/no) --> Attivare solo per analisi dei guasti
- Protocolli ("Qualsiasi", solo ICMP, solo GRE, solo AH, solo ESP)
Modifica delle policy
- Policy (accetta o scarta)
- Porte di destinazione (porta predefinita o tramite "Custom Appliance")
- Porte sorgente (porta predefinita o tramite "Custom Appliance")
Regole indirizzi IP
- Versione IP (qualsiasi, IPv4 o IPv6)
Se si seleziona IPv4 o IPv6:
- Tipo criterio destinazione (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo
- Tipo criterio sorgente (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo
Impostazioni di base (filtri pacchetti LAN e DMZ)
Le impostazioni del firewall visualizzate nel portale del router sotto Firewall ➜ Impostazioni di base dipendono dalla connessione o dall’utilizzo di indirizzi IP fissi.
Se non sono stati sottoscritti indirizzi IP pubblici fissi o se DMZ non è attivata, viene mostrato solo il firewall LAN.
Se DMZ è attivata, vengono mostrati sia il firewall LAN che il firewall DMZ.
Per ogni firewall è possibile selezionare uno dei seguenti livelli:
- Balanced (Default):
Se sono configurate le regole di port forwarding, il firewall inoltra tutto il traffico in entrata e in uscita verso e dal LAN o dalla DMZ, eccetto un gruppo definito di protocolli.
- Strict:
Il firewall blocca il traffico in entrata verso LAN o DMZ, eccetto alcune regole per la gestione del router. Per il traffico in uscita viene bloccato solo un piccolo gruppo di porte.
- Custom:
Tutto il traffico in entrata per indirizzi IPv4 e IPv6 verso il LAN del cliente è bloccato. Tutto il traffico in uscita dal LAN del cliente è consentito.
- OFF: Swisscom NON lo raccomanda!
Il firewall è disattivato. Tutte le connessioni in entrata e in uscita verso e dal LAN o dalla DMZ del cliente sono consentite, con rischio di malfunzionamento dovuto a tabella NAT piena.
Aggiungere o modificare regole di filtro
Una volta che il livello firewall è impostato su Custom, è possibile creare o modificare regole personalizzate. È necessario definire se filtrare il traffico in entrata da Internet o il traffico in uscita dalla rete del cliente.
Le nuove regole vengono create tramite Aggiungi nelle sezioni corrispondenti: Regole firewall LAN, Regole firewall DMZ, Regole WAN-LAN o LAN-WAN.
Ogni regola di filtro è composta dai seguenti elementi:
Impostazioni della regola
- Nome (liberamente definibile)
- Stato (attivo/disattivo)
- Log (sì/no) --> Attivare solo per analisi dei guasti
Modifica delle policy
- Policy (accetta o scarta)
- Porte di destinazione (porta predefinita o personalizzata)
- Porte sorgente (porta predefinita o personalizzata)
Regole indirizzi IP
- Versione IP (qualsiasi, IPv4 o IPv6)
- Tipo destinazione (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo
- Tipo sorgente (IPv4 o IPv6) qualsiasi indirizzo / indirizzo singolo / subnet / intervallo
FAQ – Gestione Firewall
Che cos’è un firewall?
Un firewall è un’applicazione di sicurezza di rete, fisica o virtuale,
che monitora il traffico di rete in entrata e in uscita
e funge da "porta" sicura tra la rete e Internet pubblico.
Come funzionano i firewall?
Un firewall funge da gateway sicuro e analizza i pacchetti di dati in entrata e in uscita
per determinare se possono essere inoltrati in sicurezza.
Posso salvare una configurazione firewall complessa?
Sì, maggiori informazioni nel capitolo Backup e Ripristino
Ho bisogno di più firewall?
Dipende dalla configurazione del cliente.
Per uso privato o un singolo ufficio, è sufficiente un solo firewall.
Per organizzazioni più grandi possono essere necessari più firewall, soprattutto se la rete include filiali, utenti remoti, ecc.
Cosa può succedere se non utilizzo un firewall?
Se il firewall è disattivato, tutto il traffico in entrata e in uscita può attraversare liberamente la rete Swisscom. Gli attacchi sono una conseguenza immediata! Ciò compromette gravemente il livello di fiducia e la reputazione dell’ISP a livello internazionale (blacklisting). Swisscom NON lo raccomanda!
Manca qualcosa? Inviateci il vostro feedback!
pilot@swisscom.com
Indicate in quale area vi aspettavate qualcosa di diverso o cosa potremmo migliorare.