Firewall gestionat el 2026, NGFW, IPS, VPN i segmentació: Què demanar i què evitar

En 2026, un firewall ja no és “la caixa que bloqueja ports”. És un punt de control crític per a la identitat, el trànsit xifrat, les seus, el núvol i el teletreball. I, precisament per això, moltes empreses fallen pel mateix: compren un NGFW potent… però l’operen com si fos un firewall de fa 10 anys. En aquest article concretem què significa un firewall gestionat el 2026 i què hauries d’exigir (i evitar) quan busques un servei professional: NGFW, IPS, VPN i segmentació amb un enfocament pràctic, pensat per a les PIME.

• • Si vols una regla ràpida: el firewall es compra una vegada; la seguretat s’opera cada dia.

• • Objectiu: reduir risc i aturades, i evitar configuracions “fràgils” que exploten en el pitjor moment.

• • Enfocament: què demanar, què mesurar i quines línies vermelles detectar abans de signar.

Per què el 2026 no n’hi ha prou amb “tenir un firewall”

El perímetre clàssic ja no existeix com un únic “punt d’entrada”. Tens SaaS, accessos remots, seus, dispositius mòbils, IoT i trànsit gairebé sempre xifrat. En aquest escenari, un firewall sense operació contínua es converteix en un “fals segur”. Les guies de bones pràctiques insisteixen que el valor real és en la política, la configuració, les proves i el manteniment del control perimetral, no només en el dispositiu. Per això “gestionat” importa tant com “NGFW”.

Què significa “firewall gestionat” a la pràctica

Un firewall gestionat és un servei, no un producte. Inclou responsabilitats clares, processos i mètriques. Si algú t’ofereix “gestionat” però només parla d’instal·lació i llicències, probablement estàs comprant suport, no operació.

• • Disseny i arquitectura: zones, segmentació, VPN, publicació segura de serveis i alta disponibilitat.

• • Polítiques i regles: creació, validació, control de canvis i neteja periòdica de regles obsoletes.

• • Actualitzacions: firmware, signatures, hardening i revisió de configuracions insegures.

• • Monitorització: esdeveniments rellevants, alertes accionables i correlació amb altres sistemes (XDR/SIEM si aplica).

• • Informes: visibilitat executiva (riscos, tendències) i roadmap tècnic (millores prioritzades).

A Inmove IT, aquest enfocament s’integra amb serveis com monitorització 24/7 de sistemes IT per detectar abans i actuar ràpid quan hi ha senyals de compromís o degradació.

NGFW el 2026: capacitats mínimes que haurien de venir de sèrie

Un NGFW es diferencia per la seva capacitat d’entendre aplicacions i context, no només IP/ports. Això permet polítiques més fines, millors investigacions i menys “forats” creats per excepcions mal plantejades.

Control per aplicació i usuari (no només per ports)

L’empresa necessita regles entenedores: “permetre Teams i bloquejar apps no autoritzades”, “només Finances accedeix a l’ERP”, “proveïdors només a un segment concret”. Això redueix exposició sense dependre de regles enormes i ingovernables.

Inspecció de trànsit xifrat (TLS) amb criteris

La majoria del trànsit va xifrat. Si no inspecciones res, perds visibilitat; si inspecciones “tot”, pots trencar rendiment o privacitat. El 2026 la clau és dissenyar-ho bé: què s’inspecciona, on, amb quines excepcions i com es mesura l’impacte.

Filtratge web/DNS i protecció contra amenaces conegudes

Un NGFW ben operat redueix infeccions “evitables” bloquejant dominis maliciosos, categories de risc i comunicacions de comandament i control. És una capa bàsica, però efectiva, si s’ajusta al teu negoci.

Rendiment real amb seguretat activada

Aquest punt s’oblida contínuament: el throughput “de catàleg” no sol ser el throughput amb IPS, filtratge i TLS inspection activats. En compra, demana xifres realistes i valida amb el teu patró d’ús (seus, VPN, SaaS, videotrucades). Si vols reforçar el perímetre com a servei, té sentit enllaçar-ho amb una capa completa de seguretat perimetral per a empreses (firewall, polítiques, segmentació i operació contínua).

IPS el 2026: com demanar-ho sense ofegar-te en falsos positius

L’IPS és una funció valuosa, però delicada: bloqueja (o alerta) davant patrons d’atac. L’error típic és activar-lo “a màxima sensibilitat” sense tuning, generant soroll i bloquejos que acaben deshabilitant la protecció per fatiga.

• • Demana un pla de tuning: fase d’aprenentatge, mode detecció inicial i pas a prevenció amb regles validades.

• • Demana actualització contínua: signatures al dia i revisió quan canvien les teves aplicacions.

• • Demana context: què s’ha bloquejat, a quin actiu afecta, i quina acció es recomana (no només “alerta”).

• • Demana excepcions ben documentades: “per què existeix” i “quan es revisa”.

Un IPS ben operat s’integra amb la resta de la teva defensa (endpoint/XDR, identitat, còpies de seguretat, monitorització). Per exemple, si ja treballes XDR, convé connectar senyals per investigar ràpid i reduir impacte. Relacionat: al blog parlem de com millorar els temps de detecció i resposta amb Sophos XDR en entorns empresarials, especialment quan conviuen diverses peces de seguretat.

VPN el 2026: accés remot i seus, sense obrir portes de més

La VPN continua sent clau per a seus, accessos de proveïdors i teletreball. Però el 2026, una VPN mal dissenyada és una autopista per a l’atacant: credencials robades, MFA absent, privilegis excessius i manca de registres.

Què demanar per a VPN site-to-site (seus)

La VPN entre seus ha de ser estable, previsible i segmentada. L’objectiu no és “unir xarxes”, sinó connectar el necessari amb control de mínim privilegi.

• • IPsec/IKE ben configurat i xifrats actuals.

• • Selecció de subxarxes i rutes controlades (no “tot amb tot”).

• • Polítiques entre zones: el que creua la VPN passa per regles i registres.

• • Proves de failover si hi ha dos ISP o alta disponibilitat.

Què demanar per a VPN d’accés remot (usuaris i proveïdors)

L’accés remot ha de ser fort en identitat i “mínim accés”. No es tracta només de xifrar; es tracta de reduir el dany si cau un compte.

• • MFA obligatori en tots els accessos remots.

• • Perfils per rol (empleat, TI, proveïdor) amb permisos separats.

• • Postura del dispositiu quan sigui possible (equip gestionat, pegats, EDR).

• • Registre i traçabilitat (qui entra, des d’on, a què accedeix i què canvia).

Què evitar a la VPN (errors típics)

Hi ha decisions que semblen còmodes, però augmenten molt el risc. Són petites “concessions” que després es converteixen en incidents.

• • Accés remot sense MFA (o MFA “només per a alguns”).

• • Perfils “admin” per defecte per a proveïdors “perquè és més ràpid”.

• • Sense segmentació: la VPN entra i veu tota la xarxa interna.

• • Sense política de logs: quan hi ha incident, “no hi ha història”.

Segmentació el 2026: la manera més eficaç de reduir l’impacte

Si un atacant entra, el que determina el dany no és només “si entra”, sinó “fins on es pot moure”. La segmentació (i, quan aplica, la microsegmentació) limita el moviment lateral i protegeix els actius crítics. En PIME, normalment n’hi ha prou amb una segmentació ben feta per zones: usuaris, servidors, VoIP, IoT, convidats, OT/producció si existeix, i gestió TI. El més important és que les comunicacions entre zones estiguin governades per polítiques i logs.

• • VLAN i zones amb regles explícites (permetre el necessari, bloquejar la resta).

• • Separació d’administració (gestió TI mai barrejada amb usuaris).

• • DMZ per a serveis publicats (i publicació mínima imprescindible).

• • Accessos a ERP/BD des de segments controlats, no des de “qualsevol PC”.

Si la teva xarxa necessita redisseny o creixement (noves seus, WiFi empresarial, IoT), convé treballar-ho amb solucions de networking empresarial perquè la segmentació no sigui un pedaç, sinó una base sòlida.

Regles, canvis i govern: on es trenca el 80% de la seguretat perimetral

La majoria d’incidents “per firewall” no són per falta de funcions. Són per regles acumulades, excepcions sense propietari, canvis urgents sense revisió i absència de neteja. Un firewall gestionat ha de tenir un procés de govern.

• • Control de canvis: qui demana, qui aprova, qui executa i com es valida.

• • Revisió periòdica: regles sense ús, regles duplicades i accessos “temporals” que es van quedar per sempre.

• • Documentació mínima: cada regla crítica ha de tenir “per què existeix” i “quin risc assumeix”.

• • Còpies de seguretat de la configuració: per tornar enrere ràpid si alguna cosa trenca producció.

Alta disponibilitat: si el firewall cau, la teva empresa s’atura

Si el teu firewall és la sortida a Internet, la VPN amb seus i l’accés a aplicacions, és un element de continuïtat. I el 2026, la continuïtat no és un luxe: és operativa bàsica.

• • HA (actiu/passiu o actiu/actiu) amb proves periòdiques de commutació.

• • Doble ISP si la dependència de connectivitat és alta.

• • Alimentació i rack (SAI, redundància) quan aplica.

• • Pla d’emergència documentat: què es fa si hi ha caiguda, degradació o atac.

Checklist: què demanar a un firewall gestionat el 2026

Si només et quedes amb una part de l’article, que sigui aquesta. Fes-la servir com a llista de compra i com a llista de control de qualitat quan comparis proveïdors.

• • Abast operatiu: regles, IPS, VPN, actualitzacions, revisions i resposta davant alertes.

• • SLA i horaris: temps de resposta reals i canal d’escalat.

• • Procés de canvis: aprovacions, finestra de manteniment i rollback.

• • Reporting útil: KPI de seguretat + recomanacions accionables (no “PDF de 30 pàgines”).

• • Segmentació per zones: disseny inicial + evolució quan canvia el negoci.

• • VPN amb MFA: accés remot fort i amb permisos per rol.

• • Logs i traçabilitat: retenció, exportació i accés en cas d’incident.

• • Proves: validació de regles crítiques, commutació HA i proves de restauració si integra continuïtat.

• • Risc i compliment: evidències per a auditories (RGPD, NIS2 si aplica).

• • Suport expert: no només “obrir tiquet”, sinó criteri tècnic de seguretat.

Què evitar: línies vermelles abans de signar

Aquests senyals solen acabar en sobrecostos, incidents o frustració. Si apareixen en preventa, és millor corregir-los abans de contractar o buscar una alternativa.

• • “Gestionat” = instal·lar i oblidar-se’n. Sense revisions, sense tuning, sense reporting.

• • Llicències opaques (no saps què inclou, ni què caduca, ni com impacta a funcions clau).

• • Excepcions sense control (“obrim això i després ja veurem”).

• • Sense segmentació perquè “és complicat” (o perquè ningú vol tocar la xarxa).

• • VPN sense MFA o amb accessos massa amplis.

• • Logs inaccessibles o sense retenció suficient per investigar.

Exemple realista: com hauria de quedar una PIME ben protegida

Imagina una empresa de 80–200 empleats amb una seu principal, una delegació i teletreball parcial. L’objectiu no és “blindar” al 100%, sinó reduir dràsticament el risc i l’impacte operatiu.

• • Zones: usuaris, servidors, VoIP, convidats, IoT, gestió TI.

• • NGFW: control per aplicació/usuari + filtratge web/DNS + inspecció TLS selectiva.

• • IPS: tuning progressiu, prevenció només on aporta sense trencar negoci.

• • VPN site-to-site: només subxarxes necessàries, trànsit entre zones amb regles i logs.

• • VPN remota: MFA obligatori, perfils per rol i accessos mínims.

• • Operació: control de canvis + revisió trimestral de regles + reporting mensual.

Aquest disseny redueix el moviment lateral (clau en ransomware) i fa que, si passa alguna cosa, puguis respondre amb rapidesa perquè tens visibilitat i traçabilitat.

Com ho treballem a Inmove IT Solutions?

Quan implantem un firewall gestionat, el tractem com una peça de continuïtat i seguretat, no com un projecte puntual. El focus és operar, mesurar i millorar.

• • Fase 1 – Diagnòstic: mapa de xarxa, serveis crítics, riscos i dependències.

• • Fase 2 – Disseny: zones/segmentació, VPN, publicació segura, HA si aplica.

• • Fase 3 – Implantació: regles per necessitat, hardening, proves i validació amb negoci.

• • Fase 4 – Operació: monitorització, tuning IPS, revisió de regles i reporting.

• • Fase 5 – Millora contínua: canvis controlats i evolució segons creix l’empresa.

Si vols veure-ho dins d’un servei complet, revisa seguretat perimetral per a empreses i, si busques detecció proactiva, complementa amb monitorització 24/7. Per ampliar l’enfocament a nivell de direcció (núvol, IA i seguretat), també et pot interessar Tendències IT 2026: núvol, IA i seguretat per a empreses.

Preguntes freqüents sobre firewall gestionat

Aquests són dubtes habituals quan una empresa compara opcions o revisa la seva seguretat perimetral. Si vols, podem convertir-les en FAQ Schema per millorar el SEO.

Un NGFW substitueix un antivirus o un XDR?

No. Són capes diferents. L’NGFW redueix exposició a nivell de xarxa (control, filtratge, segmentació), mentre que l’endpoint/XDR aporta visibilitat i resposta dins del dispositiu. Junts redueixen temps de detecció i contenció.

Quina diferència hi ha entre IDS i IPS?

L’IDS detecta i alerta; l’IPS a més pot bloquejar. En empreses, el més important és el tuning: començar amb detecció, validar, i passar a prevenció on aporti sense trencar processos crítics.

Necessito inspecció TLS sí o sí?

Depèn del risc i del tipus de trànsit. Sense inspecció perds visibilitat en gran part del trànsit; amb inspecció indiscriminada pots afectar rendiment o privacitat. El recomanable és fer-ho per criteris: categories, destinacions, perfils d’usuari i mesura d’impacte.

Cada quant es revisen regles i polítiques?

Com a mínim, de manera periòdica (mensual/trimestral) segons criticitat i canvis del negoci. La revisió busca eliminar regles obsoletes, reduir permisos excessius i mantenir la política alineada amb la realitat.

Quan té sentit alta disponibilitat (HA)?

Quan una caiguda del firewall implica aturada (Internet, VPN, aplicacions, telefonia IP). En molts casos, la HA costa menys que un matí d’improductivitat.

Següent pas

Si vols validar si el teu firewall actual està operat com a “caixa” o com a “servei”, podem ajudar-te a definir un disseny per zones, endurir VPN, afinar IPS i establir un govern de canvis i revisions. Parla amb l’equip d’Inmove IT Solutions des de contacte amb Inmove IT Solutions i explica’ns el teu escenari (seus, teletreball, núvol, aplicacions crítiques). Et direm què demanar, què prioritzar i què evitar perquè la inversió tingui impacte real. Font recomanada (externa): per aprofundir en polítiques i bones pràctiques de firewall, pots consultar NIST SP 800-41: Guidelines on Firewalls and Firewall Policy.