asso edu

Associazione Nazionale Tecnologie e Digital Media per l'Educazione

immagine soluzioni

A seguito di un lungo lavoro di analisi e verifiche sia in termini tecnici che di compatibilità rispetto alle specifiche del Bando Pon (avviso MIUR AOODGEFID/9035 del 13 luglio 2015) pubblichiamo a seguire i link delle soluzioni proposte dalle società appartenenti al network Asso Edu.

logo aurora

Via Trieste 9 - 33044 Manzano (UD)
Tel. 0432 751300 Fax 0432 741898
info@aurorasolutions.it

Link alle soluzioni
www.aurorasolutions.it

logo testata c2

Via Piero Ferraroni 9 - 26100 Cremona (CR)
Tel. 0372 451255 Fax 0372 434251
progettipon@c2group.it

Link alle soluzioni
www.pon20142020.it

cover up logo

Viale della Repubblica 14 - 36066 Sandrigo (VI)
Tel. 0444 657133 Fax 0444 750072
info@coverup.it

Link alle soluzioni
www.fondipon.it/soluzioni/

logoETIC

Via Del Lavoro 85 - 40033 Casalecchio di Reno (BO)

Tel. 051 759701 Fax 051 6184826

info@eticsrl.it

www.eticsrl.it/

medstore logo

Via Cluentina 35/B - 62100 Macerata
Tel. 0733 1840500 Fax 0733 283133
info@medstore.it

Link alle soluzioni
www.medstore.it/pon20142020.html

logo mediagest

Viale delle Terme 35 - 81035 Roccamonfina (CE)
Tel. 0823 921946 Fax 0823 921946
gianluigi@mediagest.it
www.mediagest.it

Non cadere nella rete

Premessa

Questa guida sintetica ha come obiettivo quello di fornire alle scuole un contributo nella scelta delle tecnologie illustrando in modo chiaro e comprensibile i concetti fondamentali per la creazione e il funzionamento di una rete. È importante sottolineare che la realizzazione della rete deve essere progettata sulla realtà di ogni singolo istituto secondo le sue caratteristiche, la struttura dell’edificio e le conoscenze che la dirigenza scolastica ritiene opportuno portare all’interno dell’Istituto.

Principi fondamentali

Anche se il termine ‘rete’ (networking) ha molte accezioni, possiamo definirla come un gruppo di due o più computer collegati. Se i computer sono collegati in rete è possibile scambiarsi file e condividere applicazioni, periferiche quali modem, stampanti, unità nastro di backup, lettori di CD-ROM e l'accesso ad internet.
Le reti possono essere locali o geografiche: quando si parla della rete situata in un’unica sede abbiamo una rete locale LAN (Local Area Network).
Se due reti situate in due sedi differenti sono collegate mediante servizi offerti da un Internet Service Provider (ISP) o tramite una linea dedicata fornita da una società telefonica, abbiamo anche – oltre a due reti locali – una rete WAN (Wide Area Network, detta anche rete geografica).
Ogni rete comprende:
• almeno due computer;
• un’interfaccia o scheda di rete (un dispositivo che permette al computer di colloquiare con la rete) su ogni computer (detta anche NIC, Network Interface Card);
• un mezzo di collegamento, ovvero il cavo o wirelss (senza fili);
• un software di rete, normalmente già presente nei più comuni sistemi operativi (Windows, Linux, Mac, Android...);
• un punto di aggregazione, ovvero switch (in passato hub) per connettere tutti i cavi.

Client e Server

Spesso, quando la rete si ingrandisce e aumenta il numero di utilizzatori connessi, si introduce un computer su cui non lavorerà nessuno: sarà infatti un computer dedicato a offrire servizi agli altri PC della rete. Questo computer viene chiamato server, un punto centralizzato per archiviare e condividere informazioni (file) o programmi. I server si occupano anche di gestire e mettere a disposizione di tutti alcune periferiche come le stampanti. Se esiste un server in rete, gli altri computer prendono il nome di client.
In piccole reti dove si decide di non installare un server alcune funzioni di condivisione possono essere espletate dai singoli computer connessi. Gli utenti possono comunque scambiare file ed e-mail, copiare i file sui dischi fissi di qualcun altro e utilizzare persino le stampanti collegate a un altro computer.
Tuttavia, se alla rete si aggiungono più utenti, un server dedicato è sicuramente più efficiente e sicuro.

Il cavo di rete Ethernet

UTP

UTP cableUTP è l'acronimo di Unshielded Twisted Pair e identifica un cavo non schermato utilizzato comunemente per il collegamento nelle reti ethernet.

È composto da otto fili di rame intrecciati a coppie (pairs). Ciascuna coppia è intrecciata con un passo diverso, e ogni coppia è intrecciata con le altre. L'intreccio dei fili ha lo scopo di ridurre le interferenze, i disturbi e limitare il crosstalk.

La lunghezza massima di un cavo UTP nello standard ethernet è di 100 m.

I cavi UTP seguono le specifiche standardizzate in TIA/EIA che li dividono in varie categorie in base ad esempio al numero di intrecci e alle capacità di trasportare segnali. Attualmente la categoria 5 (100 Mbps) e la 5e (1000Mbps o 1Gbps) sono le più utilizzate, esiste tuttavia anche la categoria 6 (fino a 10Gbps) che permette di raggiungere velocità superiori a parità di lunghezza massima. Le categorie vanno da 1 a 7. Al momento consigliamo di implementare i nuovi cablaggi con il cavo cat 6.

Un cavo UTP termina con dei connettori di tipo RJ-45 che si innestano direttamente nell'interfaccia del dispositivo (scheda di rete, Hub, Switch, Router, ecc).

Se si devono collegare due dispositivi simili (ad esempio PC-PC o SWITCH-HUB) si utilizza un cavo ethernet incrociato mentre se si devono connettere dispositivi diversi (ad esempio PC-SWITCH) uno diritto.

RJ 45 TIA 568B LeftI cavi diritti presentano gli 8 fili nello stesso ordine in entrambi i 2 connettori, mentre quelli cross presentano una sequenza diversa, e vengono usati per collegare tra loro due host ethernet. Nella costruzione del cavo, ovvero nel crimpare i connettori alle sue estremità si possono seguire due standard: TIA/EIA 568A e TIA/EIA 568B che presentano un ordine degli 8 fili (identificati da diversi colori) diverso. Attento ai colori della crimpatura del cavo, seppur il cavo sembri funzionare potrebbe presentare delle anomalie di collegamento se non vengono crimpati secondo lo standard TIA/EIA 568A e TIA/EIA 568B. Consigliamo lo standard TIA/EIA 568B come immagine: bianco/arancio - arancio - bianco/verde - blu - bianco/blu - verde - bianco/marrone - marrone.

 

FTP

FTP, sigla di Foiled Twisted Pair, noto anche come ScFT o Screened UTP, è un cavo foderato utilizzato comunemente per il collegamento nelle reti ethernet.

È composto da otto fili di rame intrecciati a coppie (pairs), inoltre ogni coppia è intrecciata con le altre. L'intreccio dei fili ha lo scopo di ridurre le interferenze, i disturbi e limitare il crosstalk.

La lunghezza massima di un cavo FTP è di 100 m. Ha le medesime funzioni del cavo UTP e viene necessariamente impiegato in ambienti industriali ad alto rischio di interferenze elettromagnetiche (macchinari, vicinanza di impianti elettrici...) ed in esterno perchè garantisce una maggiore protezione delle scariche elettrostatiche. Il cavo FTP è pertanto più costoso del cavo UTP.

Esternamente alle 4 coppie vi è uno foglio di materiale conduttivo che funge da schermo per le onde elettromagnetiche.

I cavi FTP seguono le specifiche standardizzate TIA/EIA che li dividono in varie categorie in base ad esempio al numero di intrecci e alle capacità di trasportare segnali. Attualmente la categoria 5 e la 5e sono le più utilizzate, esistono tuttavia anche la categoria 6 e 7, che permettono di raggiungere velocità superiori.

Un cavo FTP termina con dei connettori di tipo RJ-45 (anch'essi schermati) che si innestano direttamente nell'interfaccia del dispositivo (scheda di rete, Hub, Switch, Router, ecc).

Se si devono collegare due dispositivi simili (ad esempio PC-PC o SWITCH-HUB) si utilizza un cavo di tipo cross mentre se si devono connettere dispositivi diversi (ad esempio PC-SWITCH) uno diritto.

I cavi diritti presentano gli 8 fili nello stesso ordine in entrambi i 2 connettori, mentre quelli cross presentano una sequenza diversa, e vengono usati per collegare tra loro due host ethernet. Nella costruzione del cavo, ovvero nel crimpare i connettori alle sue estremità si possono seguire due standard: TIA/EIA 568A e TIA/EIA 568B che presentano un ordine degli 8 fili (identificati da diversi colori) diverso. Attento ai colori della crimpatura del cavo, seppur il cavo sembri funzionare potrebbe presentare delle anomalie di collegamento se non vengono crimpati secondo lo standard TIA/EIA 568A e TIA/EIA 568B. Consigliamo lo standard TIA/EIA 568B come immagine: bianco/arancio - arancio - bianco/verde - blu - bianco/blu - verde - bianco/marrone - marrone.

ATTENZIONE

Non usare cavi di rete piatti (costano poco e vengono utilizzati per pochi cm).

Il cavo di rete per nuovi impianti deve essere cat 5e o meglio cat 6

La colorazione della crimpatura deve rispettare gli standard TIA/EIA 568A e TIA/EIA 568B, consigliamo TIA/EIA 568B.

La distanza massima del collegamento su cavo UTP è 100 metri.

Il cablaggio strutturato

Cablaggio StrutturatoNegli edifici moderni destinati ad uffici vengono realizzati impianti di cablaggio strutturato, destinati a supportare la realizzazione di tipi diversi di reti locali, inclusa ad esempio la rete telefonica, l'audio, la trasmissione video. Gli impianti sono basati su cavi di categoria 5 o superiore e connettori RJ-45 (doppini e connettori RJ-11 per i collegamenti telefonici). I cavi hanno una lunghezza massima di 90 m, a cui vanno aggiunti 10 m per i cavi di permuta (lato apparato: EC Equipment Cable, e lato terminale: WAC Work Area Cable). Questo vincolo è dettato dalle caratteristiche della rete Ethernet.

Per ogni postazione da servire, vengono posati uno o più cavi in apposite canalizzazioni nelle pareti, nei controsoffitti o nei pavimenti dell'edificio, fino a raggiungere un armadio di distribuzione di piano (nel gergo del cablaggio strutturato, Floor Distributor o FD ovvero cablaggio di piano orizzontale), solitamente si tratta di un rack standard da 19 pollici, che può ospitare sia permutatori che apparati attivi.

Questi cavi sono attestati da una parte in un pannello di permutazione nell'armadio, dall'altra in una placca a muro o a pavimento in prossimità della postazione utente. Collegando un cavo di permuta dal calcolatore alla presa a muro, e un altro dal permutatore ad un apparato di rete (come un hub o uno switch), si crea un collegamento elettrico che permette di collegare il calcolatore alla rete.

I locali che ospitano gli armadi di distribuzione dovrebbero avere caratteristiche adeguate per alimentazione elettrica (meglio se protetta da un gruppo di continuità), condizionamento, controllo d'accesso (sono luoghi privilegiati per intrusioni o per provocare malfunzionamenti della rete).

ATTENZIONE

Il cablaggio strutturato è oramai diventato fondamentale. Il cavo UTP è sempre più utilizzato come cavo di trasporto di diversi segnali attraverso relativi adattatori o iniettore. Ad esempio: Video (VGA - HDMI), seriale, audio, telefonico. Se il cablaggio è realizzato in modo strutturato posso cambiare l'uso del cavo UTP da cavo di trasmissione della rete ad altro. Pertanto consigliamo di realizzare più di un punto di rete per postazione e di realizzare il cablaggio in modo strutturato

Gli apparati di rete: hub, switch, access point

Hub

Gli hub, o ripetitori, sono i dispositivi che collegano fra di loro gruppi di utenti, costituiscono quindi il punto di aggregazione di tutti i cavi collegati ai PC. Ogni pacchetto di dati proveniente da un computer viene ricevuto dall’hub su una porta e viene automaticamente trasmesso a tutte le altre. Tutti gli utenti collegati a un hub o a una serie di hub connessi ‘in cascata’ si trovano nello stesso segmento di rete e condividono la stessa larghezza di banda (la velocità, per così dire). Per esempio, nel caso della comune rete Ethernet, la banda di 10 Mbps viene condivisa in modo tale per cui se un utente sta trasmettendo dei dati, gli altri utenti rimangono in attesa e potranno trasmettere successivamente.
È facile immaginare che questa tipologia di connessione con banda condivisa esaurisca rapidamente la capacità della rete di far viaggiare velocemente il traffico delle informazioni.

ATTENZIONE

Gli Hub non sono più in commercio ma dove sono impiegati vanno tolti perchè non più idonei al moderno uso delle reti.

Switch

Gli switch svolgono la stessa funzione degli hub, ma sono più potenti e intelligenti. In primo luogo, offrono una larghezza di banda maggiore agli utenti, perché la banda non è condivisa, ma dedicata: se si tratta di 100 Mbps, ogni utente ha a disposizione i propri 100 Mbps, da non dividere con nessuno.

Inoltre uno switch invia i pacchetti di dati solo alle porte specifiche dei destinatari, questo avviene perché ‘legge’ le informazioni con l’indirizzo di ogni pacchetto. Per isolare la trasmissione dalle altre porte, lo switch stabilisce una connessione temporanea tra la sorgente e la destinazione, chiudendola al termine della conversazione.

ATTENZIONE

Gli Switch sono oramai tutti Fast Ethernet (100Mbps) con evntualmente qualche porta Giga Ethernet (1000Mbps). Visti oramai i costi contenuti degli switch completamente Giga Ethernet consigliamo l'impiego di questi perchè oramai buona parte dei computer in commercio hanno la porta ethernet da 1000Mbps.

Router

Anche i router sono smistatori di traffico che ricevono dati da una rete (network) e li inviano ad un’altra. Nelle reti si occupano
solitamente del traffico verso l’esterno della rete locale, per esempio per un collegamento a Internet. I router sono particolarmente intelligenti: leggono un indirizzo più completo per determinare il punto successivo cui inviare il pacchetto dei dati.

Basandosi su una mappa di rete denominata tabella di routing, i router possono fare in modo che i pacchetti raggiungano le
loro destinazioni attraverso i percorsi più efficaci. Se cade la connessione tra due router, per non bloccare il traffico, il router
sorgente può definire un percorso alternativo.

I router creano anche i collegamenti tra reti che utilizzano linguaggi diversi o, in termini tecnici, protocolli diversi. Tra i protocolli utilizzati vi sono IP (Internet Protocol), IPX (Internet Packet Exchange) e AppleTalk. I router possono anche collegare
reti situate nello stesso luogo o in un gruppo di edifici ma sono usati soprattutto per il collegamento WAN tra reti fisicamente distanti. I servizi WAN, che vengono offerti dalle società di telecomunicazione per collegare network geograficamente distribuiti, verranno spiegati dettagliatamente in seguito. UTP è l'acronimo di Unshielded Twisted Pair e identifica un cavo non schermato utilizzato comunemente per il collegamento nelle reti ethernet.

Access Point

Un Access Point (AP) è un dispositivo elettronico di telecomunicazioni che, collegato ad una rete cablata, o anche, per esempio, ad un router, permette all'utente mobile di accedervi in modaltà wireless direttamente tramite il suo terminale, se dotato di scheda wireless. Se esso viene collegato fisicamente ad una rete cablata (oppure via radio ad un altro access point)[senza fonte], può ricevere ed inviare un segnale radio all'utente grazie ad antenne e apparati di ricetrasmissione, permettendo così la connessione sotto forma di accesso radio.[1][2] La funzionalità di Access Point è anche normalmente integrata nei più moderni router.

È possibile collegare più access point alla stessa rete cablata e/o tra di loro per creare in questo modo una rete più grande che permetta l'handover (passaggio tra un access point e l'atro) tra terminali e rete wireless (WLAN).

Se collegato ad una rete cablata, esso fa da interfaccia tra la parte wireless di accesso radio da parte degli utenti e la parte cablata di trasporto implementando un cambiamento di protocollo per il trasferimento dell'informazione tra le due sezioni di rete; se invece trasmette informazione tramite collegamento wireless agli altri access point (Wireless Distribution System) funziona come un semplice bridge (ponte).

L'AP comunica in broadcast alle stazioni riceventi nel proprio raggio di copertura l'SSID della rete o delle reti locali wireless che sta servendo. Questo vuol dire che la tecnologia è simile a quella dei collegamenti con cavo e HUB (condivisione delle performance di rete). La rete Wifi non sarà mai performante ed efficiente come la rete via cavo.

Le celle di copertura degli AP sono spesso parzialmente sovrapposte per evitare buchi di copertura del segnale mentre la parte cablata è generalmente una rete Ethernet che può essere a bus condiviso oppure commutata ovvero switchata.

Un Access Point IEEE 802.11 (standard delle reti WiFi) può normalmente comunicare con circa 30 client nel raggio di circa 100 m, anche se il range di copertura può scendere sensibilmente in presenza di ostacoli fisici nella linea di vista.

La banda di comunicazione può variare molto in funzione di diverse variabili come il posizionamento interno o esterno, l'altezza dal suolo, la presenza di ostacoli vicini, il tipo di antenna, le attuali condizioni meteo, la frequenza radio su cui opera e la potenza di output del dispositivo.

La banda dell'Access Point può essere estesa attraverso l'utilizzo di ripetitori e riflettori del segnale, i quali possono far rimbalzare e amplificare i segnali radio che altrimenti non potrebbero essere ricevuti ordinariamente.

I protocolli Wi-Fi consentono anche di adattare la velocità di trasmissione nella parte di accesso wireless in funzione della distanza dalla stazione ricetrasmittente. L'uso tipico di un Access Point è quello di collegarlo ad una LAN e consentire così ad utenti muniti di dispositivi wireless di usufruire dei servizi di rete LAN con in aggiunta il vantaggio della mobilità. In questa configurazione l’Access Point agisce da gateway per i client wireless. Un altro utilizzo è quello di collegare due LAN distinte; ad esempio, se due uffici di una azienda sono separati da una strada pubblica, può risultare economicamente più vantaggioso sfruttare l'etere attraverso due Access Point (uno per ogni sede) anziché portare dei cavi sotto terra (con possibili problematiche di permessi comunali). In questo caso gli Access Point verranno configurati in modalità bridge (ponte).

Reti senza fili a basso costo sono divenute rapidamente popolari verso la fine degli anni '90 e primi anni 2000 poiché permettono di minimizzare il cablaggio dei cavi di collegamento di rete usati nelle reti ethernet tradizionali, riducendo drasticamente i costi d'impianto oltre ad offrire una certa mobilità nell'accesso. Queste reti si sono diffuse, grazie allo standard Wi-Fi, nelle reti domestiche senza fili e nelle reti pubbliche di accesso a Internet. Le reti senza fili permettono inoltre maggiore mobilità agli utenti, liberandoli dal vincolo di impiego del terminale nei pressi di una presa di rete (es. RJ-45): nell'industria e nel commercio, ad esempio, terminali portatili o palmari wireless consentono agli utenti maggiore operatività, quali la possibilità di compiere operazioni di registrazioni o rettifica di dati, carichi e scarichi di merce, direttamente ed in tempo reale negli archivi degli elaboratori centrali. Nel settore della grande distribuzione, terminali wireless affidati al cliente permettono la registrazione degli acquisti ed al successivo pagamento con ridotta o del tutto assente interazione con gli addetti di cassa.UTP è l'acronimo di Unshielded Twisted Pair e identifica un cavo non schermato utilizzato comunemente per il collegamento nelle reti ethernet.

Per evitare di portare l'alimentazione agli access point spesso questi integrano lo standard POE (Power Over Ethernet), ovvero possono essere alimentati dal cavo di rete, se lo switch è poe o altrimenti se si frappone tra lo switch e l'access point un power injector (ovvero un trasformatore che inietta nel cavo di rete la corrente adeguata all'alimentazione dell'access point).

Esistono diversi standard wireless per la trasmissione:

- 802.11a con trasmissione max a 54 Mb/s a 5 GHz

- 802.11b con trasmissione max a 11 Mb/s a 2,4 GHz

- 802.11g con trasmissione max a 54 Mb/s a 2,4 GHz

- 802.11n con trasmissione max a 300 Mb/s a 2,4 GHz e 5 GHz

- 802.11ac con trasmissione max superiore a 1 Gb/s a 2,4 GHz e 5 GHz

Gli standard più diffusi sono B/G/N e va anche sottolineato che un access point di nuova generazione trasmette in 3 tipologie di segnali e non 4, poiché lo standard A e B sono ormai obsoleti e troppo lenti. Inoltre per ricevere da un access point un segnale di nuova generazione ovvero di standard N è necessario avere la scheda wireless adeguata altrimenti essa si connetterà in modalità compatibile. Naturalmente se accade il contrario, ovvero lo standard adottato non è di ultima generazione ma il dispositivo di connessione del PC lo è, esso si connetterà con lo standard più veloce compatibile a quell'access point.

Le novità più rilevanti dell'802.11n consistono oltre che nella maggiore velocità possibile attraverso il raddoppio della banda utilizzata quando possibile (con un canale secondario ,antecedente o conseguente) cioè 20 + 20 mhz, nell'utilizzo della tecnica MIMO, cioè di più coppie di antenne in diversity e un potente DSP che permette di rifasare i segnali corrotti in arrivo dalle differenti antenne e sommarli in una "interferenza additiva".

La velocità massima supportata (al 2009) è di 300 Mbit/s (megabit al secondo), mentre reti cablate raggiungono i 10 000 Mbit/s (10 gigabit Ethernet o 10 GbE).

Esiste solo un numero limitato di bande di frequenze (suddivise in canali) legalmente utilizzabili in ambiente wireless. Al fine di evitare interferenze, normalmente più Access Point adiacenti utilizzano canali differenti per comunicare con i relativi client. Le periferiche wireless sono in grado di operare su tutti i canali nella banda a loro assegnata, e possono rapidamente settarsi da uno all'altro per ottenere il collegamento migliore. Comunque, il numero limitato di frequenze/canali disponibili rende solitamente problematico il funzionamento delle apparecchiature wireless in aree ad alte concentrazioni di Access Point, dove diventa quindi difficile trovare un canale libero da interferenze ( in linea teorica solo 3 canali contemporanei non interferiscono tra loro se opportunamente spaziati).

Un ulteriore problema presente nelle reti wireless è la necessità di misure di sicurezza contro l'accesso abusivo alla rete e l'intercettazione dei dati in transito. Mentre nella rete cablata la sicurezza del mezzo è racchiusa "tra le proprie mura" (e quindi relativamente più semplice gestire il controllo degli accessi al mezzo fisico), in un sistema di reti wireless il "mezzo fisico" è l'etere, per cui un malintenzionato potrebbe ottenere l'accesso alla rete senza fisicamente introdursi all'interno delle mura. Sono quindi stati studiati diversi sistemi di sicurezza. Una delle tecniche più semplici è quella di consentire l'accesso al proprio Access Point solo ai dispositivi aventi MAC address determinato, ma poiché i MAC address possono essere facilmente clonati, è diventato necessario introdurre sistemi di sicurezza più efficaci. La maggior parte degli Access Point implementano un sistema di cifratura dei dati denominato Wired Equivalent Privacy (WEP), ma anche questo sistema si è rivelato debole (l'informazione è allo stato, decodificabile in pochi minuti attraverso la crittoanalisi). I più recenti Access Point implementano sistemi di crittografia denominati Wi-Fi Protected Access (WPA e WPA2), fornendo più robusti criteri di sicurezza (la sicurezza assoluta non esiste, per robustezza si intende l'ordine di grandezza del tempo necessario per decodifica: minuti/ore/anni).

ATTENZIONE

Per una efficiente rete WiFi è necessario che tutti gli access point della rete siano cablati con cavo di rete dedicato.

Quando il numero degli access point diventa rilevante (suggeriamo più di 3-4) o le esigenze applicative sono importanti (controllare gli accessi, realizzare una rete ospiti, dividere le utenze) consigliamo l'utilizzo di un controller WiFi e gli access point gestiti. Questo controller organizza la rete, la gestisce e la rende efficiente e sicura.

Consigliamo l'impiego di access poin con standard 802.11n o meglio 802.11ac con tecnologia Dual Band.

Firewall

In informatica, nell'ambito delle reti di computer, un firewall (termine inglese dal significato originario di parete refrattaria, muro tagliafuoco, muro ignifugo; in italiano anche parafuoco o parafiamma) è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere funzioni di collegamento tra due o più tronconi di rete, garantendo dunque una protezione in termini di sicurezza informatica della rete stessa.

Di norma, la rete viene divisa in due sottoreti: una, detta esterna, comprende interamente Internet mentre l'altra interna, detta LAN (Local Area Network), comprende una sezione più o meno grande di un insieme di computer host locali.

Una prima definizione chiusa di firewall è la seguente: Apparato di rete hardware o software di ingresso-uscita bidirezionale che, opportunamente configurato o settato e agendo in maniera centralizzata, filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, secondo regole prestabilite che contribuiscono alla sicurezza della stessa.

Il firewall infatti agisce sui pacchetti in transito da e per la zona interna potendo eseguire su di essi operazioni di controllo, modifica e monitoraggio.

In alcuni casi è possibile che nasca l'esigenza di creare una terza sottorete detta DMZ (o zona demilitarizzata) adatta a contenere quei sistemi che devono essere isolati dalla rete interna, ma che devono comunque essere protetti dal firewall ed essere raggiungibili dall'esterno (server pubblici).

Una funzione spesso associata al firewall è quella di NAT (traduzione degli indirizzi di rete), che può contribuire a rendere inaccessibili i calcolatori sulla rete interna mascherandone gli indirizzi IP. Molti firewall possono registrare tutte le operazioni fatte (logging), effettuare registrazioni più o meno selettive (ad esempio, registrare solo i pacchetti che violano una certa regola, non registrare più di N pacchetti al secondo), e tenere statistiche di quali regole sono state più violate. La registrazione integrale dell'attività di un firewall può facilmente assumere dimensioni ingestibili, per cui spesso si usa il logging solo temporaneamente per diagnosticare problemi, o comunque in modo selettivo (logging dei soli pacchetti rifiutati o solo di alcune regole). Tuttavia, l'analisi dei log di un firewall (o anche dei contatori delle varie regole) può permettere di individuare in tempo reale tentativi di intrusione. Talvolta ad un firewall è associata anche la funzione rilevamento delle intrusioni (IDS), un sistema basato su euristiche che analizza il traffico e tenta di riconoscere possibili attacchi alla sicurezza della rete, e può anche scatenare reazioni automatiche da parte del firewall (Intrusion prevention system).

Una delle vulnerabilità più conosciute di un firewall di fascia media è l'HTTP tunneling, che consente di bypassare le restrizioni Internet utilizzando comunicazioni HTTP solitamente concesse dai firewall. Altra tipica vulnerabilità è la dll injection, ovvero una tecnica utilizzata da molti trojan, che sovrascrive il codice maligno all'interno di librerie di sistema utilizzate da programmi considerati sicuri. L'informazione riesce ad uscire dal computer in quanto il firewall, che di solito controlla i processi e non le librerie, crede che l'invio ad Internet lo stia eseguendo un programma da lui ritenuto sicuro, ma che di fatto utilizza la libreria contaminata. Alcuni firewall hanno anche il controllo sulla variazione delle librerie in memoria ma è difficile capire quando le variazioni sono state fatte da virus.

Una funzione che alcuni firewall prevedono è la possibilità di filtrare ciò che arriva da Internet sulla base di diversi tipi di criteri non relativi alla sicurezza informatica, ma volti a limitare gli utilizzi della rete sulla base di decisioni politiche, in particolare vietando la connessione su determinate porte o, per quanto riguarda il web, a determinate categorie di siti: contenuti non adatti ai minori (ad esempio in una rete domestica con postazioni libere non protette individualmente); contenuti ritenuti non pertinenti con l'attività lavorativa (in una rete aziendale); contenuti esclusi in base alle informazioni veicolate, su base politica, religiosa o per limitare la diffusione della conoscenza (in questi casi il firewall è uno strumento di censura). Alcune nazioni arrivano a filtrare tutto il traffico internet proveniente dal proprio territorio nazionale nel tentativo di controllare il flusso di informazioni. Spesso l'attivazione di questa funzionalità è demandata a software e/o hardware aggiuntivi appartenenti alla categoria dell'URL filtering. Ai firewall viene però richiesto di impedire che gli utenti aggirino tali limitazioni.

ATTENZIONE

Il firewall è un elemento fondamentale della rete per la sua sicurezza e stabilità. Internet è veicolo di virus e di contenuti inpropri o fraudolenti. È importante però conoscere e manuntenere questo strumento perchè sia sempre efficiente, gestito e garantisca nel tempo le funzionalità auspicate. Molti sono gli strumenti gratuiti nel mercano ma di difficile manutenzione richiedendo spesso una consulenza sistemistica periodica di esperti. Molti strumenti in commercio invece facilitano la manutenzione di persone istruite ma non necessariamente esperte in materia. Consigliamo pertanto di associare all'acquisto di questi strumenti una adeguata formazione all'utilizzo per rendere autonomo il proprio personale agli interventi di veloce manutenzione.