> Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной
> общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той
> же сети подключаются паиенты и сотрудники. В любой момент могут подключиться
> к принтеру и пустить печать бранных слов, или, чт еще хуже,
> получить доступ к файлам клиентов (информация, заключения и тд).

Где это? Я ничего не имею в виду, просто так спрашиваю. (:

> Так же
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами.

Это, в основном, дисциплинарными мерами надо решать. Вот уже больше 20-ти лет как менеджеры озабочены внедрением технических средств для отрезания сотрудников от порнухи, чатиков, вареза, мессенджеров, вот теперь и социальных сетей. И всё натыкаются на одни и те-же грабли, что либо меры неоправданно дороги в поддержке, либо катастрофически неэфекктивны. Мой совет - не связывайтесь с этой хотелкой, или будте готовы привинтить что-то исколючительно для галочки.

> Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом.

Если компьютер врача один, то не надо сервер. Пусть только срач в файлах не устраивает, и бакапится регулярно. Например, на флешку.

> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?

Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, чтобы снаружи кто попало не лез.

Добудьте себе какой-нибудь простенький роутер класса "SOHO" (small office - home office) с портом WAN и портами LAN.
WAN воткните в ту общедоступную сеть, где пациенты и сотрудники, а в порты LAN втыкайте ваши диван, чемодан, саквояж и картонку.
Принтеру обрубите wifi нафиг, пусть с ним все по кабелю общаются.
Смарт-тв, если он только как телевизор используется, в сеть пускать вообще не надо, даже если он очень просится. Если критично надо, то тоже по кабелю.
Что с камерами, я ХЗ, зависит от технологии и задач которые они призваны решать. Частый ватриант, это N аналоговых камер воткнутых в один цифровой рекордер, таким образом в сети оно выглядит как один единственный хост. За SOHO роутером ему должно быть вполне уютно.

> Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел.

Раздел норм.
"как это все можно сделать" тема широкая, имеет смысл этим заниматься если вы собираетесь с этого кейса начать, и обучаться/развиваться как специалист по сетям, безопасности, системному администрированию и т.д. Если не собираетесь, то лучше сразу зовите специалиста за денежку. Если возникнет подозрение что специалист мудрит что-то не то, описывайте сюда решение которое он предложил/установил, мы с удовольствием его поругаем по существу.

>[оверквотинг удален]
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами.
> Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом.
> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?
> Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел.

1. Совет нанять специалиста Вам уже дали. Это важный момент. Поскольку все что дальше будет говориться - предполагает довольно специфические знания.

Основная схема к которой вы должны стремиться- сеть медицинского кабинета - только для нужд медицинского кабинета. И сеть эта - проводная.
Что нужно? Протянуть провода. Свич или роутер +свич в одной коробке. Н арпинтере отключить wi-fi, принтер подключить к коробочке "LRP-сервер печати" (на аллиексперсс такие примерно по 1500 ). Wi-Fi в этой сети вообще не нужен.

Развлекалово клиентов через предоставление бесплатного вайфая - отдельная сеть.
Что нужно - роутер wi-fi, фильтрация трафика или средствами самого роутера, или отдельного устройства (не обязательно покупать полноценный сервер, можно обойтись решениями на базе роутера, если перепрошить его openwrt и поставить там чтото вроде сквида, на котором и организовать фильтрацию)

Соответственно обе сети втыкаются либо в выходное устройство, либо- ВНИМАНИЕ: все эти сети настраиваются на одном и том же устройстве на базе openwrt. Они будут разделены логически и недоступны друг другу, но физически присутствовать в одном устройстве.

Сами вы это - вероятно не настроите... поэтому тут мы возвращаемся к пункту 1.

Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент защиты корпоративной сети от несанкционированного доступа.