IWILL Polska
FirewallVPNpfSenseBezpieczeństwo sieciowe

Dlaczego router od dostawcy nie chroni Cię (i co z tym zrobić)

IWILL Polska11 min czytania

Wprowadzenie

Dostawca dał Państwu router. Myślą Państwo, że są bezpieczni. Nie są.

Firmware routera ISP nie był aktualizowany od 2 lat. Używa fabrycznej nazwy użytkownika i hasła. Nie posiada IDS/IPS (systemu wykrywania i zapobiegania włamaniom). Państwa kamery i termostaty znajdują się w tej samej sieci co oprogramowanie księgowe i baza danych klientów.

W tym artykule pokażemy Państwu, jak zbudować profesjonalną ochronę sieciową za mniej niż 200 € – z tymi samymi funkcjami, które duże firmy otrzymują za tysiące. Zapoznaj się z naszą konfiguracją Firewall/VPN z N1121.

Czym jest Firewall?

Firewall (zapora sieciowa) to urządzenie, które inspektuje każdy pakiet danych wchodzący lub wychodzący z Państwa sieci i decyduje, co przepuścić, a co zablokować. Proszę to sobie wyobrazić jako ochronę przy wejściu do budynku – sprawdza każdego gościa i przepuszcza tylko osoby upoważnione.

Jak działa zapora sieciowa

InternetZagrożenia🦠🔓🕵️🛡️N1121 FirewallStateful InspectionIDS/IPS • VPN • VLANUprawnionyChronionasiećPCNASSerwer

Packet Filtering

Blokowanie niechcianego ruchu według adresu IP i portu. Podstawowa, ale skuteczna pierwsza linia obrony.

Stateful Inspection

Śledzenie stanu połączeń. Blokowanie nieprawidłowych pakietów, które nie należą do prawidłowej sesji.

Application Layer

Deep Packet Inspection – blokowanie malware, filtrowanie DNS i kontrola aplikacji.

Ważne: Router ISP posiada podstawowy NAT firewall – to tak, jakby zamknąć drzwi wejściowe, ale zostawić okna otwarte. Prawdziwa zapora sieciowa robi 100× więcej.

Dlaczego router od dostawcy nie wystarczy?

Router ISP

  • ×Tylko NAT – bez prawdziwej inspekcji ruchu
  • ×Bez IDS/IPS (wykrywanie i zapobieganie atakom)
  • ×Bez serwera VPN do zdalnego dostępu
  • ×Firmware opóźniony o 6–12 miesięcy względem podatności
  • ×Bez logów i bez alertów
  • ×Dostawca ma zdalny dostęp do urządzenia

Dedykowany firewall

  • Stateful Inspection każdego pakietu
  • Snort/Suricata IDS do wykrywania ataków
  • Serwer VPN (OpenVPN, WireGuard, IPsec)
  • Państwo kontrolują aktualizacje i konfigurację
  • Pełne logi i monitoring w czasie rzeczywistym
  • Państwa sprzęt – tylko Państwo mają dostęp

Praca zdalna

Bezpieczny tunel VPN dla pracowników pracujących z domu. Dostęp do zasobów firmowych bez ryzyka.

Segmentacja IoT

Kamery i termostaty w izolowanym VLAN – bez dostępu do sieci biznesowej.

Blokowanie reklam

Na poziomie sieci Pi-hole poprzez pfBlockerNG – bez reklam dla całej sieci.

Sieć dla gości

Internet dla odwiedzających bez dostępu do zasobów wewnętrznych i plików.

VPN do pracy zdalnej

VPN (Virtual Private Network) tworzy zaszyfrowany tunel między Państwa urządzeniem a siecią biurową/domową. Proszę to sobie wyobrazić jako prywatny korytarz przez internet – nikt nie może podsłuchiwać tego, co przez niego przechodzi.

Jak działa połączenie VPN

Pracownikz domuInternet🔒 Zaszyfrowany tunelN1121pfSenseSerwer VPNSieć biurowaNASPCDrukarka

OpenVPN

  • Dojrzały i sprawdzony protokół
  • Szerokie wsparcie klientów (Windows, macOS, iOS, Android)
  • 200–400 Mbps z akceleracją sprzętową AES-NI
  • Łatwa konfiguracja za pomocą kreatora pfSense
Zalecane

Tailscale

  • Oparty na WireGuard, bez przekierowywania portów
  • Działa za NAT bez konfiguracji
  • Sieć mesh – wszystkie urządzenia łączą się bezpośrednio
  • Bezpłatny do użytku osobistego (do 100 urządzeń)

Dlaczego Tailscale? W odróżnieniu od tradycyjnych rozwiązań VPN, Tailscale nie wymaga otwierania portów na routerze. Urządzenia odnajdują się automatycznie i łączą bezpośrednio. Idealny dla użytkowników, którzy chcą VPN bez konfiguracji technicznej.

Typowe scenariusze: Dostęp do serwera NAS z domu, site-to-site VPN między dwoma biurami, ochrona podczas pracy z publicznych sieci WiFi w hotelach i na lotniskach. Z N1121 i akceleracją AES-NI wszystko to działa z minimalnym opóźnieniem.

Segmentacja sieci dla IoT

VLAN (Virtual LAN) pozwala tworzyć wirtualne sieci w ramach jednej infrastruktury fizycznej. Każdy VLAN jest izolowany – urządzenia w jednej strefie nie widzą urządzeń w innej, chyba że wyraźnie na to pozwolą Państwo.

Architektura sieci z segmentacją VLAN

InternetN1121 FirewallpfSense / OPNsenseStrefa zaufanaVLAN 10PCNASDrukarkaStrefa IoTVLAN 20📹🌡️💡Strefa gościVLAN 30📱💻Tylko internet

Czerwone linie oznaczają zablokowany ruch między strefami

Strefa zaufana (VLAN 10)

Komputery, telefony, drukarki – pełny dostęp do internetu i zasobów wewnętrznych. Tutaj znajdują się Państwa stacje robocze i serwery.

Strefa IoT (VLAN 20)

Kamery, czujniki, urządzenia smart – ograniczony internet, bez dostępu do strefy zaufanej. Jeśli kamera zostanie zhakowana, nie ma drogi do oprogramowania księgowego.

Strefa gości (VLAN 30)

WiFi dla odwiedzających – tylko internet. Bez widoczności zasobów wewnętrznych, drukarek ani urządzeń.

Dlaczego to ważne: Segmentacja oznacza, że skompromitowana kamera nie może dotrzeć do serwera księgowego. Każda strefa to ściana – włamanie do jednej nie wpływa na pozostałe.

N1121: Państwa twierdza za 190 €

3× 2.5G LAN

WAN + LAN + OPT/DMZ – trzy fizyczne strefy. Nie ma potrzeby stosowania managed switch do podstawowej segmentacji.

Intel AES-NI

Szyfrowanie sprzętowe dla szybkiego VPN. OpenVPN przy 200+ Mbps, WireGuard przy 800+ Mbps bez obciążania procesora.

<15W Fanless

Zawsze włączony, bezgłośny. Zużywa mniej energii niż żarówka LED. Zapominają Państwo o jego istnieniu.

TPM 2.0

Secure boot i zaszyfrowany dysk. Jeśli ktoś ukradnie urządzenie, dane pozostają chronione.

pfSense czy OPNsense? Oba systemy działają doskonale na N1121. pfSense ma większą społeczność i więcej dokumentacji. OPNsense oferuje nowocześniejszy interfejs i częstsze aktualizacje. Wybór to kwestia preferencji – oba są bezpłatne, open-source i klasy enterprise.

Porównanie kosztów

Fortinet FortiGate 40FCisco Meraki MX64N1121 + pfSense
Sprzęt600 €600 €190 €
Roczna licencja300 €400 €0 €
Użytkownicy VPNW zestawieW zestawieBez limitu
IDS/IPSW zestawieW zestawieSuricata (bezpłatnie)
3-letni TCO1 500 €1 800 €190 €

N1121 – kluczowe parametry

3× 2.5G

porty LAN

AES-NI

szyfrowanie sprzętowe

<15W

fanless zużycie energii

190 €

cena początkowa

Podsumowanie

Bezpieczeństwo sieciowe na poziomie enterprise nie jest już kwestią budżetu. Z N1121 i pfSense/OPNsense otrzymują Państwo te same funkcje co Fortinet i Cisco – stateful firewall, IDS/IPS, VPN, segmentacja VLAN – za mniej niż 200 € i bez rocznych licencji.

Dla małego biura, sieci domowej lub jako dodatkowy firewall w większej infrastrukturze – N1121 to cichy strażnik, który pracuje 24/7, a Państwo nie odczuwają jego obecności.

Zobacz konfiguracje FirewallSeria NANO – Edge ComputingWszystkie rozwiązania Network Security →

Zalecane konfiguracje

Rozwiązania Mini PC do Firewall, VPN i bezpieczeństwa sieciowego.

Nano-N1121 - Kompaktowy mini PC z Intel Celeron J6412, 3x 2.5G LAN, TPM 2.0 | IWILL PolskaMini PC

Nano-N1121

Kompaktowy mini PC z Intel Celeron J6412, 3x 2.5G LAN, TPM 2.0

Nano-N1241 - Mini router z Intel Alder Lake N200 i 4x 2.5G LAN, TPM 2.0 | IWILL PolskaMini PC

Nano-N1241

Mini router z Intel Alder Lake N200 i 4x 2.5G LAN, TPM 2.0

Nano-N3281 - Wydajne urządzenie sieciowe z Intel Core Ultra i 8x 2.5G LAN, DDR5 | IWILL PolskaNetwork Security

Nano-N3281

Wydajne urządzenie sieciowe z Intel Core Ultra i 8x 2.5G LAN, DDR5

Zobacz wszystkie modele Network Security

Gotowi na testy?

IWILL oferuje możliwość testowania Proof of Concept (PoC) dla polskich integratorów systemów.

Skontaktuj się z nami w sprawie PoC