Seu firewall / roteador, por padrão, bloqueará o tráfego de entrada e somente permitirá a saída de tráfego iniciada pelo lado interno da LAN. Verifique se o firewall está ativado, sim. Especialmente se este for o caminho final para a internet.
Portanto, as conexões de entrada iniciadas pelo lado de fora devem ser descartadas por padrão, mas você pode fazer uma varredura de porta completa dos endereços IP públicos da WAN aqui: link
Isso deve ajudá-lo a avaliar se algo está aberto ou não aberto.
Existem outras etapas, como garantir que seu IP da WAN para fins de gerenciamento em seu roteador não esteja acessível (para impedir o acesso externo a ele por tentativas de invasão), juntamente com senhas seguras, em vez dos padrões nele. Certifique-se de que está no firmware mais recente e pergunte ao TP Link se houver alguma exploração conhecida contra esse roteador.
Isso não é totalmente à prova de qualquer forma, e você precisará ser minucioso em relação à sua segurança, caso mude alguma coisa ou permita o acesso à porta de entrada para coisas como VPN, aplicativos hospedados (como sites / email), etc.
Se você está super preocupado ou é um grande negócio para a gerência, considere a contratação de uma pequena empresa para fazer um teste de penetração e avaliação de segurança de tempos em tempos.
Finalmente, relaxe ... você provavelmente é uma pequena loja, então não fique louco tentando criar todos os tipos de camadas e personalização. Coloque em prática o que torna você e a gerência confortáveis sem ser tão draconiano que as pessoas não possam trabalhar.