Firewall?

Se ti fai queste domande presuppongo che tu sia un utente mediamente avanzato.
Un firewall secondo me ti serve nel momento in cui:

• esponi diversi servizi pubblicamente e vuoi controllare la loro esposizione granularmente
• vuoi segmentare la tua rete domestica e stabilire delle regole di comunicazione fra le varie subnet.

Non ritengo che in un'utenza come quella descritta da te sia necessario, ma se hai passione e ti piace "giocare" con questi attrezzi... procedi pure! Anche io sto pianificando un bel pfsense per la mia connessione domestica ma sono stato subito chiaro con me stesso: è un mio passatempo, non sarebbe necessario. Se devo connettermi alla mia rete domestica lo faccio tramite VPN e non espongo pubblicamente un bel niente.

Se ti piace "giocare" lascia stare i router del provider e comprati tu i dispositivi che gradisci di più.

L'appliance che hai segnalato è forse sovradimensionata per fare solo da firewall. A mio avviso bastano 4, massimo 8 GB di RAM e 32 GB di hard disk. Con un'appliance del genere ci installi un hypervisor tipo proxmox e ci virtualizzi altre cose oltre al firewall.

IMHO, per un impianto SOHO/IOT aperto ed espandibile, partirei da un buon managed switch.
A quello poi colleghi i vari dispositivi: ONT, ROUTER/FW, AP, PC etc.
Poi con VLAN sullo switch segmenti la tua rete a piacimento: LAN, WAN, DMZ, IOT, GUEST etc.
Come Router/Firewall puoi comprare un NUC da poco: 4GB RAM, 64GB SSD con una sola NIC (1gbps o 2.5gbps) va benissimo. Installi opn/pfsense, definisci tutte le varie VLAN e ti gestisce tutta la rete.

d1ego Vale la pena pensare fin da subito ad un firewall?

(Quasi) Tutti i router in commercio oggi hanno anche un firewall integrato. Quanto sia flessibile dipende dall'interfaccia del router che permette di configurarlo. Usare un firewall separato può avere senso o meno, dipende cosa vuoi farci. Può anche bastare sostituire il router con uno più flessibile (in FTTH il modem è l'ONT).

m-toso Un firewall secondo me ti serve nel momento in cui:

No. molto riduttivo. Il firewall serve quando vuoi controllare cosa entra e cosa esce dal tuo network. Ad esempio potresti far sì che determinati dispositivi abbiano accesso solo ad HTTPS (e solo determinati IP), e non ad altro. Ad esempio nella mia rete ci sono dispositivi che hanno accesso solo a web e posta elettronica (e solo i server autorizzati), perché sono usati da utenti che non devono fare altro. SSH, RDP o qualsiasi altro protocollo non è utilizzato e non deve essere utilizzato. Se un dispositivo tentasse di fare traffico non autorizzato avrei un'alert che qualcosa non va.

mircolino con una sola NIC (1gbps o 2.5gbps) va

Ehm, no - almeno due, suvvia - o ti castri automaticamente il traffico sulla singola NIC.

d1ego ) su una connessione da 1Gb/s fosse necessaria tanta potenza di calcolo

Ci vuole più CPU che RAM, di questa ne basta relativamente poca. Poi dipende da quante regole hai attive in un dato momento. Poi se il firewall fa qualcosa di più dell'analisi del flusso TCP/IP, ma va anche a mettere il naso nei livelli superiori (es. individua e blocca certi protocolli, fa analisi del traffico web per bloccare determinati URL, keyword, ecc) allora le richieste di RAM possono aumentare.

d1ego Che cosa ci faccio con il managed switch?

Isoli appunto la rete delle telecamere (via VLAN) e poi con il firewall decidi quali dispositivi possono accedere a quella rete, e non altri.

d1ego Un router/firewall ti serve comunque.

In termini molto molto semplificati, i componenti base di una rete domestica sono 4: router, firewall, switch e access point. La maggioranza delle apparecchiature consumer (tipo quello che ti da il provider) li conglomera tutti in un unico device. Mentre per reti piu' avanzate in genere si usano device dedicati per ogni componente.

d1ego Parli di appropriate regole nel firewall... Intendi nel managed switch o comunque mi serve un firewall?

Gli switch managed di un certo livello permetto delle regole di accesso (ACL), che possono filtrare il traffico ma sono più scomode e complesse da usare rispetto alle regole di un firewall, ad esempio non accettano in automatico il traffico di ritorno tenendo traccia delle connessioni attive.

Se hai impostato delle VLAN sulla rete queste non si potranno parlare tra loro a meno che non ci sia qualcosa che faccia routing fra le VLAN quando e dove necessario. Questo è uno dei motivi per i quali alle VLAN si assegnano subnet IP separate - è possibile fare routing facilmente.

Gli switch con funzioni layer 3 possono fare inter-VLAN routing, ma di default fanno passare tutto il traffico. Se ci sono si possono usare le ACL di cui sopra, ma è più frequente usare un router/firewall che oltre a fare routing permette di controllare quale traffico è ammesso fra le VLAN.

d1ego Che voi sappiate, qualcuno dei fornitori offre un router "migliore" degli altri (es. più facilmente configurabile come fw e ap per ospiti...) oppure un buono sconto se non si prende il router fornito?

Dipende da quali router offrono in quel momento, quanto li hanno castrati a livello di firmware - e quanto facili da configurare devono essere. Ad esempio un sistema basata su VLAN è nettamente più sicuro e flessibile, ma è anche un poco più complesso da configurare. C'è chi comunque rifila il router in comodato gratuito e non fa sconti, altri se si prende il router fornito applicano costi all'incirca di 5 euro al mese per 24-48 mesi, che in totale non sono pochi. Però c'è chi anche (TIM, ad esempio) nel caso obbliga a prendere altre opzioni allo stesso prezzo.