Napisz do nas
+48 725 532 755

biuro@helponetwork.pl

HELPO Network > BLOG > Informacje > Sieć firmowa od podstaw – jak zaprojektować i wdrożyć infrastrukturę SMB w 2026 roku

Sieć firmowa od podstaw – jak zaprojektować i wdrożyć infrastrukturę SMB w 2026 roku

What Are You Looking For?

Paweł Informacje 10 kwietnia, 2026

Sieć firmowa od podstaw jak zaprojektować sieć komputerową w małej i średniej firmie (SMB) w 2026

Sieć komputerowa w małej firmie to nie "router od operatora i WiFi". Większość firm przekonuje się o tym dopiero podczas ataku ransomware, wycieku danych lub awarii paraliżującej produkcję. Ten przewodnik pokazuje, jak krok po kroku zaprojektować i wdrożyć bezpieczną sieć firmową; od segmentacji VLAN, przez konfigurację firewalla i Active Directory, po backup 3‑2‑1 i monitoring. Konkretne decyzje architektoniczne, tabele konfiguracyjne i 32‑punktowa checklista wdrożenia zgodna z CIS Controls i dyrektywą NIS2.

01. Architektura sieci firmowej SMB

Dobra sieć firmowa to nie "router + switch + WiFi". To wielowarstwowa architektura, w ktorej każdy element ma konkretna role i graniczne uprawnienia. Poniżej schemat, ktory należy traktowac jako minimum dla każdej firmy powyżej 10 urządzeń.

Kliknij dowolny kafelek, aby przeczytać szczegółowy opis komponentu sieći
Internet / WAN
upstream · fiber / xDSL
ISP Demarc
ONU / modem / ONT
punkt styku z operatorem
Firewall / Router
IPS · VPN · NAT · ACL · IDS
FortiGate / pfSense / OPNsense
Core Switch L3
VLAN routing · QoS · STP
VLAN 10 - Management
DMZ
opcjonalnie
serwery publiczne
Access Switch
VLAN 20 - STAFF
24-port managed
Access Switch
VLAN 40 - GUEST
izolacja klientów
Server Switch
VLAN 30 - SERVERS
10G uplink · bonding NIC
PCs / VoIP
drukarki · laptopy sluzbowe
192.168.20.0/24
Guest WiFi / IoT
BYOD · smart devices
192.168.40.0/24
File Server
SMB 3.x · NTFS ACL
192.168.30.10
AD / DC
DNS · RADIUS · GPO
192.168.30.11
Backup Server
3-2-1 · Veeam / WinBackup
192.168.30.20

Wybierz element sieći

Kliknij dowolny kafelek powyżej, aby zobaczyc szczegółowy opis komponentu: funkcje, protokoły, adresy IP i wskazowki konfiguracyjne.

ISP / Demarc
Firewall
Core L3
Access / Server switch
Urządzenia koncowe
DMZ (opcjonalne)

Kluczowe elementy architektury

ISP Demarc

Punkt przekazania odpowiedziąlnosci między operatorem a firma. Zwykle ONU/ONT lub modem xDSL. Tu konczy sie sieć operatora, zaczyna twoja.

Firewall / Router

Mozg sieći. Kontroluje caly ruch wejsciowy i wyjsciowy. Obsługuje NAT, IPS, VPN, polityki ACL. Nigdy nie pomijaj tego elementu.

Core Switch L3

Centralny punkt sieći. Obsługuje routing między VLAN-ami, QoS oraz uplink do firewalla. Musi byc zarządzalny (managed).

Access Switch

Podłącza urządzenia koncowe (PC, drukarki, AP). Konfiguracja port-based VLAN. Jeden switch = jedna strefa dostępowa.

Server Switch

Dedykowany switch dla serwerów (VLAN 30). Izolacja ruchu serwerówego, bonding NIC, monitoring portów, uplink 10G.

Access Point (WiFi 6)

Minimum jeden AP na 20 użytkowników. Kilka SSID na jednym radiu (pracownicy, goscie, IoT) - każdy na osobnym VLAN-ie.

Decyzja architektoniczna: Firewall zawsze jako osobne urządzeńie - nigdy nie polegaj na routerze operatora. Nawet podstawowy pfSense na mini-PC jest lepszy niz brak dedykowanego firewalla.

02. Segmentacja VLAN

VLAN (Virtual LAN) to logiczny podział sieći fizycznej na izolowane segmenty. Bez VLAN-ow masz tzw. flat network - jeśli atakujacy dostanie sie do jednego urządzenia, widzi cała sieć. Z VLAN-ami kazda strefa jest odizolowana na poziomie switcha.

Tabela VLAN - kompletna konfiguracja

ID
Nazwa
Subnet
Urządzenia / opis
Dostęp
10
Management
192.168.10.0/24
Switche, AP, firewall, UPS. Dostęp tylko dla adminów IT. Nigdy nie wystawiaj publicznie - tylko przez VPN.
Admin only
20
Staff
192.168.20.0/24
PC pracowników, laptopy, drukarki biurowe, telefony VoIP. Dostęp do internetu i serwerów (VLAN 30) na specyficzne porty.
Pracownicy
30
Servers
192.168.30.0/24
File server, Domain Controller, backup server, NAS. Ruch tylko z VLAN 20 na specyficzne porty (445, 3389, 389).
Internal
40
Guest WiFi
192.168.40.0/24
Goscie, kontrahenci, urządzenia BYOD. Tylko internet, zero dostępu do zasobow wewnętrznych. Izolacja klient-klient włączona.
Internet
50
IoT / CCTV
192.168.50.0/24
Kamery IP, smart-TV, drukarki produkcyjne, czytniki kart. Urządzenia IoT sa czesto podatne - izoluj bezwzglednie od reszty sieći.
Izolowany
Krytyczny błąd: VLAN 1 (domyślny na switchach Cisco/HP) - zawsze zmien go na inny numer. VLAN 1 jest podatny na atak VLAN hopping. Nigdy nie używaj VLAN 1 do ruchu produkcyjnego.

Przykładowa konfiguracja VLAN na switchu (Cisco IOS)

! Tworzenie VLAN-ow vlan 10 name MANAGEMENT vlan 20 name STAFF vlan 30 name SERVERS vlan 40 name GUEST vlan 50 name IOT ! Port dla PC pracownika (access port - VLAN 20) interface GigabitEthernet0/1 switchport mode access switchport access vlan 20 spanning-tree portfast ! Uplink do core switcha (trunk - wszystkie VLAN-y) interface GigabitEthernet0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50 switchport trunk native vlan 999

03. Firewall i zasady bezpieczeństwa

Firewall to nie tylko "blokowanie portów". W nowoczesnej architekturze SMB firewall jest centralnym punktem polityki bezpieczeństwa - kontroluje ruch między VLAN-ami, terminuje VPN, uruchamia IPS i rejestruje wszystkie połączenia.

Porownanie rozwiazan firewall dla SMB

Rozwiazanie
Typ
Use case
Koszt
pfSense CE
Open source
Firmy do 50 użytkowników, ograniczony budzet
Bezplatny (sprzet od 400 PLN)
OPNsense
Open source
Lepszy UI, aktywny rozwoj, IDS/IPS Suricata wbudowany
Bezplatny / Business Ed.
FortiGate 40F/60F
Sprzet NGFW
SMB z wymogami compliance, NIS2, NGFW, SD-WAN
od 2 500 PLN/rok
Sophos XGS
Sprzet NGFW
MSP, zarządzanie wieloma instalacjami z jednego panelu
od 2 000 PLN/rok
Mikrotik RB5009
RouterOS
Zaawansowani użytkownicy, elastyczna konfiguracja, brak subskrypcji
~900 PLN jednorazowo

Zasady firewall - inter-VLAN i WAN

VLAN 20 (Staff) - VLAN 30 (Servers) - TCP 445 (SMB), 3389 (RDP), 443, 389 (LDAP), 636 (LDAPS) ALLOW
VLAN 20 (Staff) - WAN - TCP 80, 443 z inspekcja SSL (HTTPS inspection włączona) ALLOW
VLAN 40 (Guest) - WAN - tylko TCP 80, 443 z ograniczeńiem pasma 20 Mbps per VLAN ALLOW
VLAN 40 (Guest) - VLAN 10/20/30 - blokada całego ruchu do sieći wewnętrznych DENY
VLAN 50 (IoT) - jakikolwiek VLAN - IoT widzi tylko internet, zero ruchu wewnętrznego DENY
WAN - LAN (inbound) - blokuj wszystko poza VPN i ewentualnie DMZ DENY ALL
VLAN 10 (Management) - zewnętrzny dostęp - tylko przez VPN + MFA, nigdy bezposrednio z WAN VPN ONLY

VPN i zdalny dostęp

WireGuard (rekomendowany)

Najszybszy protokół, minimalny kod, latwa konfiguracja. Wbudowany w OPNsense i pfSense. Idealny dla pracowników zdalnych.

OpenVPN

Sprawdzony, kompatybilny z wszystkim. Wolniejszy od WireGuard, ale bardziej elastyczny dla site-to-site VPN.

MFA (wymagane)

Każde logowanie VPN musi wymagac drugiego skladnika - TOTP (Google Authenticator), YubiKey. Bez tego VPN to iluzja bezpieczeństwa.

Split tunneling

Ruch do zasobow firmowych przez VPN, ruch do internetu bezposrednio. Odciaza łącze VPN i poprawia wydajnosc.

NIS2 / Security by Design

Od pazdziernika 2024 dyrektywa NIS2 wymaga od firm w UE wdrożenia minimalnych standardow bezpieczeństwa. Dla SMB kluczowe: firewall z IPS, VPN z MFA, segregacja sieći, regułarne audyty i procedury reagowania na incydenty. Brak wdrożenia to ryzyko kar do 10 mln EUR lub 2% przychodu globalnego.

04. Wi-Fi w firmie - konfiguracja i segmentacja

Jeden SSID dla wszystkich to klasyczny błąd. Goscie w tej samej sieći co ksiegowosc? Kamera IP w tej samej sieći co serwery? To prosta droga do wycieku danych lub incydentu.

Architektura Wi-Fi - trzy SSID na jednym AP

SSID
VLAN
Uwierzytelnianie
Ograniczenia
Pasmo
Corp-WiFi
VLAN 20
WPA3-Enterprise (802.1X / RADIUS)
Pełny dostęp wewnętrzny, filtrowanie DNS
Bez limitu
Guest-WiFi
VLAN 40
WPA2-PSK (rotacja co 30 dni) lub captive portal
Tylko internet, izolacja klientów, bandwidth limit
20 Mbps
IoT-WiFi
VLAN 50
WPA2-PSK (ukryty SSID)
Zero dostępu do sieći wewnętrznej, tylko cloud API
10 Mbps
WiFi 6 (802.11ax) vs. WiFi 5: Dla firm powyżej 20 użytkowników WiFi 6 to inwestycja, nie luksus. OFDMA i MU-MIMO radykalnie poprawiaja wydajnosc przy wielu jednoczesnych połączeniach. Jeden dobry AP WiFi 6 zastapi 2-3 starsze urządzenia.

05. Serwery i infrastruktura wewnętrzna

Active Directory - konfiguracja i polityki

Element AD
Konfiguracja / opis
Domain Controller
Minimum 2 DC (primary + replica). Nigdy jeden DC. IP: 192.168.30.10 / 192.168.30.11, Windows Server 2022.
DNS wewnętrzny
DC jest DNS serwerem dla sieći wewnętrznej. Forwarder: 1.1.1.1 lub NextDNS z filtrowaniem malware/phishing.
GPO - Password Policy
Min. 12 znakow, zlozonosc wymagana, historia 10 haseł, lockout po 5 probach, Fine-Grained Policy dla adminów.
GPO - Security Baseline
Wyłącz SMBv1, włącz Windows Defender + Tamper Protection, zablokuj USB storage, wyłącz autorun, BitLocker obowiązkowy.
RADIUS (802.1X)
NPS na DC do uwierzytelniania WiFi corporate (WPA3-Enterprise). Certyfikaty z wewnętrznego CA lub Let's Encrypt.
LAPS
Local Administrator Password Solution - unikalne hasło lokalne na każdym PC zarzadzane przez AD. Krytyctyczne.

Backup - reguła 3-2-1

Zasada 3-2-1 - absolutne minimum

3 kopie danych · 2 rozne nosniki/media · 1 kopia poza lokalizacja (offsite lub cloud). Bez tej zasady backup nie istnieje - istnieje tylko iluzja backupu.

Warstwa
Technologia
RPO
RTO
Kopia lokalna
Veeam Backup / Windows Server Backup na NAS (VLAN 30, dedykowane konto)
1 godzina (przyrostowy)
15-30 min
Kopia offsite
Replikacja na NAS w drugiej lokalizacji lub Backblaze B2 / Wasabi
24 godziny
2-4 godziny
Kopia cold
Tygodniowy eksport na dysk zewnętrzny przechowywany poza siećią (off-network)
7 dni
4-8 godzin
Test odtworzenia
Kwartalny test - odtworz plik, baze danych lub caly serwer. Dokumentuj wynik.
-
Obowiązkowy
Kopia backupu w tej samej sieći co serwery produkcyjne = brak backupu. Ransomware zaszyfruje także NAS-a jezeli jest dostępny bez izolacji. Uzyj dedykowanego konta z ograniczonym dostępem lub immutable backup (Veeam Hardened Repository / WORM).

06. Najczęstsze błędy przy wdrozeniu sieći SMB

Flat network bez VLAN

Wszystkie urządzenia w jednej sieći /24. Drukarka, kamera i serwer ksiegowy w tej samej rozglosni. Jeden przejety komputer = pełny dostęp do wszystkiego.

Router operatora jako firewall

Router ISP nie jest firewallem. Nie ma IPS, nie loguje ruchu, nie filtruje C2C. Postaw dedykowany firewall za nim.

Brak backupu lub nieprzetestowany

60% firm, ktore stracily dane, zamknieto w ciągu roku. Backup ktory nie byl testowany, jest bezuzyteczny przy awarii.

RDP wystawiony na internet

Port 3389 otwarty na WAN to najszybsza droga do ransomware. Nigdy - używaj VPN z MFA jako jedynej bramy dostępu.

Brak monitoringu i logow

Bez logowania ruchu i alertow nie wiesz ze doszlo do ataku. Sredni czas wykrycia wlamania to 207 dni (IBM 2024).

Domyślne hasła na sprzecie

Admin/admin na switchu, AP, kamerze. Skanowanie sieći lokalnej zajmuje sekundy. Zmien hasła przed podłączeniem do sieći.

Brak aktualizacji firmware

Switche, AP, firewall - wszystkie maja podatnosci CVE. Ustaw automatyczne aktualizacje lub harmonogram przegladu co miesiac.

Jeden punkt dostępu do internetu

Jedno łącze ISP = jeden punkt awarii. Dla firm krytycznych: dwa ISP na failover z load balancing w firewall.

07. Budżet - sieć firmowa minimum vs. optymalny setup

Setup minimalny (10-20 użytkowników)
15 000 - 25 000 PLN
  • Firewall pfSense / OPNsense na dedykowanym mini-PC (1 500-3 000 PLN)
  • Core switch L3 managed 24-port (2 500-4 000 PLN)
  • 2x Access switch managed 24-port (1 000-2 000 PLN / szt)
  • 2x AP WiFi 6 (1 200-2 000 PLN / szt)
  • NAS 4-bay z RAID jako backup lokalny (2 000-3 500 PLN)
  • UPS 1500VA line-interactive (1 200-2 000 PLN)
  • Okablowanie strukturalne Cat6 + patch panel (1 500-3 000 PLN)
  • Wdrozenie, konfiguracja, dokumentacja (3 000-6 000 PLN)
Setup optymalny (20-50 użytkowników)
40 000 - 80 000 PLN
  • NGFW komercyjny FortiGate 60F / Sophos XGS (8 000-14 000 PLN + subskrypcja)
  • Core switch L3 stackowalny 48-port (8 000-14 000 PLN)
  • 3x Access switch managed 48-port (2 500-4 500 PLN / szt)
  • Server switch 10G SFP+ (4 000-7 000 PLN)
  • 4x AP WiFi 6E enterprise (2 000-3 500 PLN / szt)
  • Serwer rack 1U/2U lub NAS enterprise (8 000-18 000 PLN)
  • UPS rack line-interactive 3000VA (4 000-7 000 PLN)
  • Okablowanie, szafa rack 12-24U (3 000-6 000 PLN)
  • Monitoring PRTG / Zabbix + SIEM podstawowy (2 000-5 000 PLN/rok)
  • Wdrozenie, dokumentacja, szkolenie zespolu (8 000-15 000 PLN)
Zasada: Nie oszczedzaj na firewall i core switchu. Tani sprzet w kluczowych wezlach to punkt awarii dla całej firmy. Lepiej jeden dobry firewall niz trzy tanie.

08. Checklist wdrożenia sieći firmowej

FAZA 1 - Planowanie i dokumentacja
  • 1Sporzadz inwentaryzacje urządzeń - ile PC, drukarek, kamer, telefonow IP
  • 2Zdefiniuj strefy sieći i użytkowników (pracownicy / goscie / serwery / IoT)
  • 3Zaprojektuj schemat adresacji IP i przydziel zakresy na VLAN-y
  • 4Wybierz i zamow sprzet (firewall, switche, AP) z odpowiednim wyprzedzeniem
  • 5Przygotuj dokumentacje wstepna - schemat sieći, tabela VLAN, lista portów
FAZA 2 - Infrastruktura fizyczna
  • 6Zamontuj sprzet w szafie rack, poprowadz okablowanie strukturalne Cat6/Cat6A
  • 7Oznakuj wszystkie kable i porty (patch panel z opisem, etykiety na kablach)
  • 8Podłącz UPS - sprzet siećiowy musi byc zasilany przez UPS
  • 9Sprawdz kable testerm lub certyfikatorem (Cat6 do 250 MHz)
FAZA 3 - Konfiguracja sieći
  • 10Skonfiguruj firewall: strefy, polityki inter-VLAN, NAT, IPS, VPN, logi
  • 11Utwórz VLAN-y na core switchu, skonfiguruj inter-VLAN routing lub firewall routing
  • 12Skonfiguruj access switche - porty access i trunk, STP portfast
  • 13Skonfiguruj AP: SSID per VLAN, WPA3, izolacja klientów, bandwidth limit na guest
  • 14Zmien domyślne hasła na WSZYSTKIM sprzecie przed podłączeniem do sieći
  • 15Włącz SSH tylko z VLAN management, wyłącz Telnet i HTTP na sprzecie
  • 16Skonfiguruj DHCP per VLAN z odpowiednimi zakresami i lease time
  • 17Skonfiguruj DNS wewnętrzny i forwarder z filtrowaniem (NextDNS / Pi-hole)
FAZA 4 - Serwery i Active Directory
  • 18Zainstaluj i skonfiguruj Domain Controller (minimum 2 sztuki - primary + replica)
  • 19Wdróz polityki GPO - password policy, security baseline, BitLocker, LAPS
  • 20Skonfiguruj RADIUS/NPS dla WiFi corporate (802.1X + certyfikaty)
  • 21Skonfiguruj backup: lokalne + offsite, reguła 3-2-1, immutable repository
  • 22Wykonaj i udokumentuj test odtworzenia danych z backupu
FAZA 5 - Bezpieczeństwo i monitoring
  • 23Włącz logowanie zdarzen na firewall i switchach (syslog na centralny serwer)
  • 24Skonfiguruj monitoring dostępnośći urządzeń (Zabbix / PRTG / Uptime Kuma)
  • 25Skonfiguruj alerty email/SMS dla krytycznych zdarzen (down urządzenia, high CPU)
  • 26Wdróz filtrowanie DNS (blokowanie malware, phishing, C2C)
  • 27Przeprowadz scan podatnosci sieći wewnętrznej (Nmap, Nessus Essentials)
  • 28Przeszkol użytkowników - phishing, silne hasła, VPN, incydenty bezpieczeństwa
FAZA 6 - Dokumentacja koncowa i odbior
  • 29Zaktualizuj schemat sieći - wersja finalna z pełna konfiguracja i IP
  • 30Przygotuj runbook: procedury awaryjne, kontakty, lokalizacja backupow konfiguracji
  • 31Zaplanuj harmonogram przegladu sieći (co kwartal) i aktualizacji firmware
  • 32Podpisz protokół odbioru i przekaz dokumentacje klientówi / działowi IT

09. Podsumowani - sieć firmowa bezpieczna i skalowalna

Dobrze zaprojektowana sieć komputerowa w małej i średniej firmie to nie koszt — to inwestycja chroniąca ciągłość działalności. Firmy z prawidłową segmentacją sieci ograniczają zasięg ataku ransomware z 100% do 12% zasobów (Sophos Threat Report 2024). Kluczowe zasady bezpiecznej sieci firmowej:

  • Segmentuj sieć przez VLAN-y - odizoluj pracowników, gosci, serwery i IoT od siebie
  • Firewall jako obowiązkowy element - nigdy nie polegaj wyłącznie na routerze ISP
  • VPN + MFA dla zdalnego dostępu - zero tolerancji dla RDP wystawionego na internet
  • Backup 3-2-1 i regułarny test odtworzenia - backup bez testu to fałszywe poczucie bezpieczeństwa
  • Monitoring i logi - nie możesz chronic tego, czego nie widzisz
  • Dokumentacja sieći - brak dokumentacji to bomba zegarowa przy każdej awarii lub zmianie administratora
Artykul jest zgodny z wytycznymi CIS Controls v8, NIST SP 800-53 oraz wymogami dyrektywy NIS2 (2024) w zakresie segmentacji sieći, zarządzania dostępu i monitorowania.
Źródła i standardy
#siećfirmowa #VLAN #firewall #SMB #cybersecurity #NIS2 #ActiveDirectory #backup321 #HELPONetwork #networkengineering
Bezpłatna konsultacja

Chcesz zaprojektować bezpieczną sieć w swojej firmie?

Nasz zespół przeanalizuje Twoją obecną infrastrukturę i zaproponuje optymalne rozwiązanie dopasowane do wielkości firmy, budżetu i wymagań bezpieczeństwa. Wdrożenia realizujemy na terenie całego Podkarpacia i zdalnie.

Bezpłatna analiza istniejącej sieci Projekt i wdrożenie pod klucz Zgodność z NIS2 i CIS Controls Opieka serwisowa i monitoring 24/7