Firewall dla małych firm: konfiguracja krok po kroku bez przesady
Firewall w małej firmie nie ma być dekoracją w routerze. Ma ograniczać ruch do tego, co faktycznie potrzebne, blokować przypadkowe wystawienie usług do internetu i zostawiać czytelny ślad po podejrzanych próbach połączeń.
Największy błąd to konfiguracja typu wszystko działa, więc wszystko wpuszczamy. Bezpieczniejsze podejście jest odwrotne: domyślnie blokuj ruch przychodzący, a potem świadomie otwieraj tylko konkretne porty, kierunki i adresy.
Krok 1: spisz zasoby i usługi
Zanim zmienisz reguły, wypisz router, serwer NAS, komputer księgowy, drukarki, kamery, stronę firmową, pocztę, VPN i aplikacje zewnętrzne. Przy każdym elemencie dopisz, kto ma mieć dostęp: biuro, zdalni pracownicy, hosting, dostawca IT albo internet publiczny.
Krok 2: ustaw zasadę domyślną
- Ruch przychodzący z internetu: blokuj domyślnie.
- Ruch wychodzący z sieci firmowej: pozwól, ale monitoruj nietypowe porty i kraje, jeśli urządzenie to wspiera.
- Dostęp administracyjny: tylko z sieci lokalnej albo przez VPN.
- Panel routera i NAS: nigdy bezpośrednio z publicznego internetu.
Krok 3: otwieraj porty tylko z powodem
| Usługa | Typowe ryzyko | Bezpieczniejsza decyzja |
|---|---|---|
| RDP lub zdalny pulpit | Ataki brute force i przejęcia haseł. | Nie wystawiaj publicznie. Użyj VPN i MFA. |
| Panel CMS albo sklepu | Próby logowania i skanowanie podatności. | Ogranicz dostęp, aktualizuj, dodaj 2FA. |
| NAS i pliki firmowe | Wyciek danych i ransomware. | Dostęp przez VPN, osobne konta, kopie offline. |
| Kamery IP | Domyślne hasła i podatny firmware. | Segmentuj sieć, aktualizuj, nie wystawiaj panelu. |
Krok 4: oddziel gości, urządzenia i administrację
Sieć gościnna powinna mieć dostęp do internetu, ale nie do komputerów, NAS-a i drukarek firmowych. Kamery, urządzenia IoT i terminale płatnicze najlepiej trzymać w osobnych segmentach lub VLAN-ach. Nawet proste routery biznesowe często pozwalają zrobić przynajmniej izolowaną sieć gościnną.
Krok 5: włącz logi i alerty
Logi są przydatne tylko wtedy, gdy ktoś je widzi. Ustaw alerty dla wielokrotnych prób logowania, skanowania portów, zmian konfiguracji i nowych przekierowań portów. Raz w miesiącu sprawdź, czy w konfiguracji nie została reguła tymczasowa dodana na czas awarii.
Krok 6: test po konfiguracji
- Sprawdź z zewnątrz, jakie porty są widoczne publicznie.
- Zweryfikuj, czy pracownicy zdalni łączą się przez VPN.
- Przetestuj drukarki, NAS, płatności i aplikacje krytyczne.
- Zapisz aktualną konfigurację i datę zmian.
- Ustal osobę odpowiedzialną za aktualizacje routera i firmware.
Minimum, które daje realny efekt
Jeżeli budżet jest mały, zacznij od trzech rzeczy: brak publicznego panelu administracyjnego, VPN dla zdalnego dostępu i kopia zapasowa poza główną siecią. To nie rozwiązuje wszystkiego, ale usuwa część najczęstszych i najbardziej kosztownych pomyłek.
Powiązane usługi
Zobacz usługi powiązane z tym artykułem
Jeśli ten temat jest aktualny dla Twojej firmy, sprawdź 2-3 usługi, które najczęściej pomagają naszym klientom przejść od wiedzy do wdrożenia.
Masz pytania? Porozmawiajmy!
Chętnie pomożemy z Twoim projektem internetowym. Bezpłatna konsultacja.
Skontaktuj się z nami