← Indice pacchetto onboarding

Firewall Rulebase Review — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Fotografare e razionalizzare le regole firewall/perimetro e la segmentazione multi-sede. Oggi le regole sono ad-hoc, stratificate nel tempo: tipicamente si accumulano regole any-any, port-forward dimenticati e VPN legacy. Con ~24 società su 5 continenti la superficie è ampia. Approccio non accusatorio: si documenta l'esistente, si marca ciò che è rischioso, si propone la bonifica concordata.

1. Inventario perimetro

Sede / societàApparato firewallModello/firmwareIn supporto?Gestore attualeConfig documentata?
[da compilare]Sì/NoPresente/Parziale/Assente

2. Review regole — findings

Per ogni regola sospetta annotare: cosa fa, perché esiste (se noto), rischio, azione proposta.

# regolaOrigine → DestinazioneServizio/portaUso noto?Rischio (A/M/B)Azione propostaStato
[da compilare]mantieni/restringi/rimuoviPresente/Parziale/Assente

Pattern rischiosi da cercare esplicitamente

PatternPresente?DovePriorità bonifica
Regole any-any (o any su destinazione/servizio)Presente/Parziale/Assente[da compilare]Alta
Port-forward verso interno (RDP/SMB/DB esposti)Presente/Parziale/Assente[da compilare]Alta
VPN legacy / protocolli deboli (PPTP, IKEv1, no-MFA)Presente/Parziale/Assente[da compilare]Alta
Regole senza descrizione/ownerPresente/Parziale/Assente[da compilare]Media
Regole verso IP pubblici obsoleti / host dismessiPresente/Parziale/Assente[da compilare]Media
Management firewall esposto su WANPresente/Parziale/Assente[da compilare]Alta
Accessi fornitori permanenti (non temporanei)Presente/Parziale/Assente[da compilare]Media

3. Segmentazione multi-sede

RequisitoStatoNote
Reti separate per società/sedePresente/Parziale/Assente[da compilare]
VLAN dedicata OT/produzione isolata dall'officePresente/Parziale/AssenteContenimento ransomware verso reparto
Segmento guest/Wi-Fi isolatoPresente/Parziale/Assente[da compilare]
Traffico inter-sede filtrato (non trust totale site-to-site)Presente/Parziale/Assente[da compilare]
Segmento server separato da clientPresente/Parziale/Assente[da compilare]
Default deny tra segmenti + regole esplicitePresente/Parziale/Assente[da compilare]

4. Governance regole (target)

5. Checklist sintesi

Prossimi passi

[da compilare: prioritizzare bonifica any-any e VPN legacy con finestra concordata, collegare a nis2-technical-gap-checklist.md § access control e a security-baseline-hardening.md]