
Wat doet een firewall voor je bedrijf?
Wat doet een firewall voor je bedrijf? Ontdek hoe een zakelijke firewall je netwerk beschermt, welk type KMO’s nodig hebben en wat het kost.
Een klant komt binnen en vraagt het wifi-wachtwoord. Je geeft het. Vijf minuten later zit diezelfde persoon op dezelfde verbinding als je medewerkers, met toegang tot dezelfde printers, servers en gedeelde mappen. Niet omdat je dat wou, maar omdat je nooit een apart gastnetwerk hebt ingesteld.
Dit scenario speelt zich elke dag af in kantoren, praktijken en winkels door heel België. Het is een van de meest onderschatte beveiligingsrisico’s voor KMO’s. In deze blog leggen we uit wat het verschil is tussen een gastnetwerk en een bedrijfsnetwerk, waarom die scheiding cruciaal is en hoe je het praktisch aanpakt.
Een bedrijfsnetwerk is het interne netwerk waarop je medewerkers werken: ze hebben toegang tot servers, gedeelde bestanden, printers, interne toepassingen en bedrijfssoftware. Het is de ruggengraat van je dagelijkse werking.
Een gastnetwerk is een apart draadloos netwerk dat losgekoppeld is van het bedrijfsnetwerk. Gasten, klanten, leveranciers of flexwerkers krijgen toegang tot het internet, maar zien het interne netwerk niet en kunnen er niet bij. Ze surfen, bellen en werken via hun eigen verbinding, zonder dat je bedrijfsdata ook maar in de buurt komt.
| Gastnetwerk | Bedrijfsnetwerk |
Toegang | Alleen internet | Internet + interne systemen |
Zichtbaarheid | Ziet bedrijfsnetwerk niet | Volledige toegang tot interne resources |
Gebruikers | Klanten, leveranciers, bezoekers | Medewerkers |
Beveiliging | Gebrandmuurde omgeving | Volledig beveiligd, strikt beheerd |
Bandbreedte | Beperkt instelbaar | Prioriteit voor bedrijfsverkeer |
Een open of slecht geconfigureerd netwerk is een van de gemakkelijkste ingangen voor een cyberaanval. Wanneer gasten en medewerkers op hetzelfde netwerk zitten, zijn er drie concrete risico’s:
Het goede nieuws: de meeste professionele routers en access points ondersteunen een gastnetwerk standaard. Het is een kwestie van de juiste configuratie.
Een SSID is de naam van je wifi-netwerk. Maak een tweede SSID aan die uitsluitend voor gasten bestemd is, met een andere naam dan je bedrijfsnetwerk. Zo is het voor iedereen duidelijk welk netwerk voor wie bedoeld is. Geef het gastnetwerk een neutrale naam zonder vermelding van je bedrijfsnaam of locatie.
Een VLAN (Virtual Local Area Network) zorgt ervoor dat het gastnetwerk en het bedrijfsnetwerk volledig gescheiden zijn op netwerkniveau, ook al gebruiken ze dezelfde fysieke apparatuur. Verkeer van gasten kan het interne netwerk niet bereiken, zelfs als iemand dat zou proberen. Dit vereist een managed switch en professionele configuratie, wat een goede reden is om een IT-partner in te schakelen.
Gasten die grote bestanden downloaden of video streamen, kunnen de bandbreedte van je bedrijfsnetwerk belasten. Stel een maximum in voor het gastnetwerk, zodat je medewerkers altijd voldoende bandbreedte hebben voor videovergaderingen, cloudapplicaties en VoIP-telefonie.
WPA3 is de meest recente en veiligste wifi-encryptiestandaard. Activeer die op zowel je bedrijfsnetwerk als je gastnetwerk. Oudere toestellen ondersteunen soms nog alleen WPA2, wat ook aanvaardbaar is, maar vermijd WPA en zeker open netwerken zonder wachtwoord.
Een oud wachtwoord kan jarenlang in omloop zijn bij vroegere bezoekers, leveranciers of ex-medewerkers. Wijzig het wachtwoord van je gastnetwerk minstens eens per kwartaal. Bij professionele wifi-systemen kan je ook een tijdslimiet instellen of een captive portal gebruiken waarbij gasten voorwaarden accepteren voor toegang.
Een duidelijke toewijzing voorkomt verwarring en versterkt de beveiliging:
Gebruiker | Netwerk | Reden |
Medewerkers | Bedrijfsnetwerk | Toegang tot interne systemen en bestanden |
Bezoekers en klanten | Gastnetwerk | Alleen internet, geen toegang tot bedrijfsdata |
Leveranciers en technici | Gastnetwerk | Tijdelijke toegang, geen interne blootstelling |
IoT-apparaten (printer, camera, scanner) | Apart IoT-segment | Kwetsbare toestellen afschermen van beide netwerken |
Persoonlijke smartphones medewerkers | Gastnetwerk of apart BYOD-netwerk | Persoonlijke toestellen horen niet op het bedrijfsnetwerk |
Een apart gastnetwerk is geen luxe voor grote bedrijven, het is een basisvereiste voor elke KMO die online actief is. Het beschermt je bedrijfsdata, voorkomt malware-verspreiding en helpt je voldoen aan GDPR en NIS2. De technische ingreep is beperkt als je beschikt over de juiste apparatuur en een goede configuratie. Wie dat liever uitbesteedt, kan dit onderdeel laten opnemen in een managed netwerkbeheer-contract.
Wil je meer weten over hoe je een veilig en stabiel bedrijfsnetwerk opzet? Lees onze complete gids: Zakelijk internet en netwerkbeheer voor KMO’s: alles wat je moet weten.
Veel KMO’s ontdekken pas dat hun gastnetwerk en bedrijfsnetwerk vermengd zijn wanneer er iets misgaat. Onze netwerkspecialisten bekijken je huidige opstelling en adviseren je op maat. Neem contact op voor een vrijblijvend gesprek en zet vandaag de eerste stap naar een veiliger netwerk.
Wettelijk verplicht is het niet voor alle sectoren, maar het is een aanbevolen maatregel onder de NIS2-richtlijn en een standaard GDPR-vereiste als je met persoonsgegevens werkt. Bovendien eisen veel cyberverzekeraars een gedocumenteerd netwerksegmentatiebeleid. Praktisch gezien is het voor elke KMO die bezoekers ontvangt simpelweg een basisvereiste.
Op een correct geconfigureerd gastnetwerk: nee. Het gastnetwerk is via VLAN volledig gescheiden van het bedrijfsnetwerk. Gasten zien de interne systemen niet en kunnen er niet bij. Op een slecht geconfigureerd of ongesegmenteerd netwerk is dat helaas wel mogelijk, wat een serieus beveiligingsrisico vormt.
Een gangbare instelling is 20 tot 30 procent van de totale bandbreedte reserveren voor het gastnetwerk. Zo kunnen bezoekers vlot surfen en videovergaderen zonder dat je medewerkers hinder ondervinden. De exacte instelling hangt af van het aantal verwachte gasten en de totale bandbreedte van je internetverbinding.
Voor een eenvoudig gastnetwerk op een consumentenrouter volstaat soms een instelling in het beheerpaneel. Voor een correct gesegmenteerd netwerk met VLAN, managed switches en professionele access points heb je echter technische kennis nodig. Een IT-partner zorgt voor een correcte configuratie die ook stand houdt bij firmware-updates en uitbreidingen.
Drie snelle checks: probeer zelf vanuit het gastnetwerk toegang te krijgen tot een gedeelde map op het bedrijfsnetwerk. Controleer of het gastnetwerk een sterk wachtwoord heeft en WPA2 of WPA3-encryptie gebruikt. En kijk of er een bandbreedte-limiet ingesteld is. Twijfel je? Laat een IT-partner een netwerkscan uitvoeren.

Wat doet een firewall voor je bedrijf? Ontdek hoe een zakelijke firewall je netwerk beschermt, welk type KMO’s nodig hebben en wat het kost.

Wat kost een telefooncentrale voor een KMO? Vergelijk de prijs van cloud, on-premise en mini-centrales. Inclusief een voorbeeldberekening.

Com-One gebruikt cookies om het gebruik van deze website te analyseren en je surfervaring te verbeteren door b.v. het gebruik van Google Maps toe te staan. Door dit te accepteren, sta je het gebruik van deze cookies toe.