27/03/2026 / Cybersecurity /

Firewall w małej firmie – co MUSI być ustawione w 2026?

Firewall sieciowy w obudowie rack — konfiguracja zabezpieczeń małej firmy

Wprowadzenie

W 2026 roku firewall to już nie „opcjonalne zabezpieczenie”, tylko absolutna podstawa działania każdej firmy. Co ważne — większość ataków nie dotyczy korporacji, tylko małych i średnich firm, które mają słabsze zabezpieczenia.

Źle skonfigurowany firewall to często tylko iluzja ochrony.

1. Segmentacja sieci (VLAN) – absolutny MUST

Największy błąd w małych firmach: jedna sieć dla wszystkiego.

Powinieneś mieć minimum:

  • VLAN dla pracowników
  • VLAN dla gości (Guest WiFi)
  • VLAN dla urządzeń (drukarki, monitoring, IoT)
  • VLAN dla serwerów

Dlaczego?
Bo jeśli ktoś włamie się do jednego segmentu — nie ma dostępu do reszty.

2. Domyślna zasada: BLOCK ALL

Firewall powinien działać na zasadzie:

„blokuj wszystko, pozwalaj tylko na to, co potrzebne”

Czyli:

  • brak otwartych portów „na wszelki wypadek”
  • brak dostępu z internetu do paneli admina
  • brak publicznych usług bez potrzeby

3. Dostęp zdalny tylko przez VPN

Nigdy:
otwarty port RDP
dostęp do NAS / serwera z internetu
panel routera dostępny publicznie

Zamiast tego:
VPN (np. WireGuard / OpenVPN)
dostęp tylko po autoryzacji

4. IDS / IPS – wykrywanie ataków

Nowoczesne firewalle (np. UniFi, pfSense, MikroTik) oferują:

  • IDS (wykrywanie zagrożeń)
  • IPS (blokowanie ataków)

To nie jest „fajny dodatek” — to konieczność.

Bez tego:

  • nie widzisz prób włamań
  • nie blokujesz automatycznych ataków

5. Filtracja ruchu DNS i blokowanie malware

W 2026 większość ataków idzie przez:

  • phishing
  • złośliwe domeny
  • fałszywe strony logowania

Dlatego:

  • blokuj znane domeny malware
  • używaj filtracji DNS
  • loguj zapytania

6. Logowanie i monitoring

Firewall bez logów = brak kontroli.

Powinieneś mieć:

  • logi połączeń
  • alerty o podejrzanej aktywności
  • historię prób logowania

To pozwala wykryć atak zanim będzie za późno.

7. Aktualizacje i automatyka

Wiele włamań wykorzystuje stare podatności.

Dlatego:

  • aktualizuj firmware
  • aktualizuj reguły IPS
  • monitoruj CVE

Najczęstsze błędy firm

  • brak VLANów
  • otwarte porty „bo kiedyś były potrzebne”
  • brak VPN
  • brak monitoringu
  • brak aktualizacji

Podsumowanie

Firewall w 2026 to nie tylko „blokada portów”, ale pełny system ochrony sieci.

Jeśli Twoja firma:

  • ma jedną sieć
  • nie używa VPN
  • nie loguje ruchu

to nie jest zabezpieczona.

Najczęściej zadawane pytania

Czy mała firma w ogóle potrzebuje firewalla?
Tak, bezwzględnie. Router od dostawcy internetu ma firewall podstawowy, ale nie filtruje ruchu wychodzącego, nie wykrywa złośliwego oprogramowania ani nie blokuje phishingu. Dedykowany firewall (UDM, MikroTik, OPNsense, Fortinet) jest minimum 2026.
Jakie reguły firewall są obowiązkowe w 2026?
Default deny inbound (domyślnie blokuj ruch przychodzący), blokada wszystkich portów oprócz potrzebnych (zamiast otwarcia wszystkich i blokady "złych"), separacja VLAN-ów (goście, IoT, produkcja), filtracja DNS na poziomie firewalla, blokada znanych blacklist (Spamhaus, abuse.ch).
Czy stary router z Allegro/OLX jako firewall jest ok?
Nie. Stare urządzenia (EdgeRouter, MikroTik <RouterOS 7) bez aktualnego firmware mają publicznie znane luki (CVE). Sprzęt powinien mieć aktywne wsparcie producenta i aktualizacje minimum raz w miesiącu.
Jak często aktualizować firewall?
Firmware — raz w miesiącu (po sprawdzeniu changeloga). Reguły — przeglądać kwartalnie i usuwać te dla pracowników, którzy odeszli, oraz usług, które nie są używane. Pełny audyt raz w roku.
Czy hardware firewall jest lepszy od pfSense/OPNsense?
pfSense/OPNsense na dedykowanym mini-PC z 2 NIC-ami jest porównywalny do komercyjnego firewalla do ~500 Mbps. Powyżej tej przepustowości albo gdy potrzebujesz IPS/IDS (Snort, Suricata) — dedykowane appliance (UDM Pro SE, MikroTik CCR) są bardziej przewidywalne.