Firemní firewall je první obrannou linií každé sítě – rozhoduje o tom, jaký provoz se do vaší firmy dostane a co zůstane venku. Přesto u malých firem často chybí úplně, nebo se spoléhá jen na základní funkci routeru od poskytovatele internetu. V tomto praktickém průvodci pro rok 2026 vysvětlíme, co firemní firewall dělá, jaké typy existují, jak ho vybrat podle velikosti firmy a na co si dát pozor při nastavení a správě.

Z naší praxe ve správě IT pro pražské firmy víme, že právě chybějící nebo špatně nakonfigurovaný firewall bývá nejčastější branou pro ransomware a útoky na vzdálený přístup. Dobrá zpráva je, že kvalitní ochranu dnes zvládne i firma s pěti počítači – a nemusí stát jmění.

Co je firemní firewall a proč nestačí router od providera

Firewall je zařízení (nebo software), které stojí na hranici mezi internetem a vaší firemní sítí a kontroluje veškerý procházející provoz. Funguje jako vrátný: podle nastavených pravidel rozhoduje, která spojení propustí a která zablokuje. Cílem je nepustit dovnitř nežádoucí komunikaci a zároveň pohlídat, co odchází ven.

Běžný router od poskytovatele internetu sice obsahuje jednoduchý firewall (NAT a základní filtrování portů), ale tím jeho možnosti končí. Nedokáže rozpoznat moderní útoky, neumí kontrolovat obsah provozu, nenabízí pokročilé logování ani segmentaci sítě. Pro domácnost to stačí – pro firmu, která zpracovává citlivá data a má zákonné povinnosti podle GDPR, nikoli.

Profesionální firemní firewall přidává funkce, které router nemá:

• Stavová inspekce provozu – sleduje celá spojení, ne jen jednotlivé pakety.
• IPS/IDS – systém detekce a prevence průniků, který pozná a zastaví známé útoky.
• Filtrování aplikací a webů – blokuje rizikové kategorie stránek a nežádoucí aplikace.
• VPN brána – bezpečný šifrovaný přístup do firmy pro práci z domova.
• Segmentace sítě – odděluje servery, kancelář a hostovskou Wi-Fi do samostatných zón.

Typy firewallů: který se hodí pro malou firmu

Ne každý firewall je stejný. Pro správné rozhodnutí je dobré rozumět základním kategoriím.

1. Hardwarový firewall (UTM / NGFW)

Samostatné zařízení umístěné mezi internetem a sítí. Moderní varianty se označují jako NGFW (Next-Generation Firewall) nebo UTM (Unified Threat Management) a kromě filtrování zvládají antivirus, IPS, VPN i webové filtrování v jednom boxu. Pro malou firmu jde o nejčastější a nejspolehlivější volbu – ochrana funguje pro celou síť bez ohledu na to, kolik zařízení máte.

2. Softwarový firewall

Běží přímo na jednotlivých počítačích nebo serverech (například Windows Defender Firewall). Je užitečný jako doplňková vrstva, ale nikdy by neměl být jedinou ochranou firmy – chrání pouze konkrétní zařízení, ne síť jako celek.

3. Cloudový firewall (FWaaS)

Firewall jako služba běžící v cloudu, vhodný pro firmy bez vlastní centrály nebo s plně vzdálenými týmy. V kombinaci s přístupem Zero Trust pro malé firmy jde o moderní směr, který nahrazuje klasickou „pevnost” kolem kanceláře.

Pro typickou pražskou firmu s kanceláří a 5–30 zaměstnanci v praxi nejlépe funguje hardwarový NGFW/UTM, případně doplněný cloudovou vrstvou pro mobilní zaměstnance.

Jak vybrat firemní firewall: 6 klíčových kritérií

Při výběru se nedívejte jen na cenu zařízení. Rozhodující je, zda firewall zvládne vaši zátěž a zda k němu dostanete dlouhodobou podporu a aktualizace.

1. Propustnost (throughput): Firewall musí zvládnout rychlost vašeho internetu i se zapnutými bezpečnostními funkcemi. Zapnutý IPS a antivirus reálnou propustnost snižují – počítejte s rezervou.
2. Počet uživatelů a zařízení: Výrobci uvádějí doporučený počet. Volte model s rezervou pro růst firmy.
3. Předplatné na bezpečnostní funkce: IPS, antivirus a webové filtrování bývají placené licence (roční). Tento náklad zahrňte do rozpočtu.
4. VPN a vzdálený přístup: Pokud máte home office, ověřte podporu moderních VPN protokolů (WireGuard, IPsec, SSL VPN).
5. Logování a reporting: Záznamy o provozu jsou nezbytné pro reakci na kybernetický incident i pro audit.
6. Správa a podpora: Přehledné rozhraní a dostupnost odborné správy. Špatně nastavený firewall je horší než žádný – dává falešný pocit bezpečí.

Firewall a segmentace sítě jdou ruku v ruce

Sám firewall na hranici sítě nestačí, pokud máte uvnitř všechno v jedné rovině. Jakmile se útočník dostane k jednomu počítači, má volný přístup ke všemu ostatnímu. Proto moderní bezpečnost stojí na segmentaci – rozdělení sítě do oddělených zón.

Firewall umožňuje nastavit pravidla i mezi jednotlivými vnitřními segmenty: hostovská Wi-Fi nevidí na firemní server, účetní oddělení je oddělené od skladu, IP kamery běží ve vlastní VLAN. Detailně jsme tomu věnovali samostatný článek o tom, jak rozdělit firemní síť pomocí VLAN. Aby segmentace fungovala, potřebujete také kvalitní firemní síťový switch s podporou VLAN, který firewall doplní uvnitř sítě.

Nejčastější chyby při nasazení firewallu

V praxi se opakovaně setkáváme s několika chybami, které dělají firewall neúčinným:

• Pravidlo „povolit vše”: Firewall, který propustí veškerý odchozí provoz, neplní polovinu své role. Správně se vychází z principu „výchozí zákaz” a povoluje se jen to, co je potřeba.
• Otevřené porty pro vzdálenou plochu (RDP): Přímo vystavený RDP do internetu je jednou z nejčastějších cest ransomwaru. Vzdálený přístup vždy řešte přes VPN.
• Neaktualizovaný firmware: Bez bezpečnostních aktualizací se i drahý firewall stává zranitelným. Aktualizace musí mít jasného vlastníka.
• Vypnuté nebo neprohlížené logy: Bez logování nezjistíte, že se něco děje, dokud nebude pozdě.
• Žádná pravidelná revize pravidel: Pravidla zastarávají. Jednou ročně by je měl někdo projít a odstranit nepotřebná.

Doporučení, jak konfigurovat hraniční zařízení, pravidelně vydává i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a americká agentura CISA. Pro hlubší metodiku segmentace a řízení přístupu je užitečný i rámec NIST Cybersecurity Framework.

Kolik stojí firemní firewall

Cena se odvíjí od velikosti firmy a požadovaných funkcí. Orientačně:

• Malá firma (do 10 lidí): vstupní UTM/NGFW zařízení od cca 6 000–15 000 Kč, plus roční licence na bezpečnostní funkce.
• Střední firma (10–50 lidí): výkonnější model 15 000–50 000 Kč podle propustnosti a počtu poboček.
• Licence a podpora: roční předplatné na IPS, antivirus a filtrování typicky v řádu tisíců až desetitisíců korun ročně.

K pořizovací ceně připočítejte odbornou konfiguraci a průběžnou správu. Právě nastavení a údržba rozhodují o tom, zda firewall reálně chrání – levné zařízení odborně spravované je lepší než drahý box, kterého se nikdo nedotkne. Firewall je proto vhodné chápat jako součást komplexní správy firemního IT, ne jako jednorázový nákup.

Závěr: firewall jako základ firemní bezpečnosti

Kvalitní firemní firewall je dnes nutností, ne luxusem – a to i pro nejmenší firmy. Chrání před útoky z internetu, umožňuje bezpečný vzdálený přístup a v kombinaci se segmentací sítě výrazně omezuje škody, pokud se útočník přece jen dostane dovnitř. Klíčem není ani tak konkrétní značka, jako správné nastavení, pravidelné aktualizace a sledování logů.

Nejste si jistí, zda je vaše firma chráněná? Nabízíme bezplatný IT audit, při kterém prověříme stav vašeho firewallu, sítě i zabezpečení a navrhneme konkrétní kroky. Ozvěte se nám – pomůžeme vám postavit ochranu, která dává smysl pro velikost i rozpočet vaší firmy.

Často kladené otázky

Stačí malé firmě firewall v routeru od poskytovatele internetu?

Nestačí. Router od providera zvládne jen základní filtrování portů (NAT). Nerozpozná moderní útoky, neumí kontrolovat obsah provozu, nenabízí IPS, VPN ani segmentaci. Pro firmu s citlivými daty a povinnostmi podle GDPR je potřeba samostatný firemní firewall (NGFW/UTM).

Jaký je rozdíl mezi firewallem a antivirem?

Antivirus chrání jednotlivé zařízení – kontroluje soubory a programy přímo v počítači. Firewall chrání celou síť na její hranici – rozhoduje, jaký provoz vůbec smí dovnitř a ven. Obojí se doplňuje a jedno nenahrazuje druhé; ideální je vrstvená ochrana.

Potřebuje firewall pravidelnou údržbu?

Ano. Firewall potřebuje pravidelné aktualizace firmwaru, obnovu bezpečnostních licencí, sledování logů a alespoň jednou ročně revizi pravidel. Bez údržby se i kvalitní zařízení časem stane zranitelným a poskytuje jen falešný pocit bezpečí.

Jak firewall souvisí s prací z domova?

Firewall obvykle slouží jako VPN brána – zaměstnanci se přes šifrovanou VPN bezpečně připojí do firemní sítě, aniž byste museli vystavovat vzdálenou plochu (RDP) přímo do internetu. To je dnes jeden z hlavních způsobů, jak zabránit ransomwaru.

Kolik stojí firewall pro malou firmu?

Vstupní UTM/NGFW zařízení pro firmu do 10 lidí pořídíte zhruba od 6 000 do 15 000 Kč, k tomu je potřeba počítat s roční licencí na bezpečnostní funkce a s odbornou konfigurací a správou. Konkrétní cenu nejlépe určí bezplatný IT audit.