資訊設備大小事

UniFi 區域防火牆設定教學:實踐零信任網路隔離

2026-07-10
還在用 UniFi 預設的「全部允許」設定嗎?這等於門戶大開。本文將帶您深入 UniFi 區域防火牆,學習如何透過自訂區域、VLAN 隔離與精細規則,打造真正的零信任網路架構。我們將拆解員工、訪客、IoT 與伺服器的隔離策略,並分享 CAPSULE GROUP 的真實案例,教您如何防範內部橫向移動攻擊,保護核心資產。

企業內網隔離設定或 UniFi 零信任架構需要協助?

蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

IT 委外服務 免費預約諮詢

02-2717-1019 LINE:@zonetech

內容目錄
  1. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  2. 參考資料
  3. 蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?
  4. 影響防火牆規劃複雜度的 3 大因素
  5. 立即開始:你的網路安全值得零信任架構
  6. 結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。
  7. 推薦閱讀
  8. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  9. 參考資料
  10. 零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?
  11. 實踐零信任的 4 大區域隔離策略
  12. 防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟
  13. 最常見的 3 個 UniFi 防火牆設定錯誤
  14. 蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?
  15. 影響防火牆規劃複雜度的 3 大因素
  16. 立即開始:你的網路安全值得零信任架構
  17. 結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。
  18. 推薦閱讀
  19. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  20. 參考資料
  21. 零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?
  22. 實踐零信任的 4 大區域隔離策略
  23. 防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟
  24. 最常見的 3 個 UniFi 防火牆設定錯誤
  25. 蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?
  26. 影響防火牆規劃複雜度的 3 大因素
  27. 立即開始:你的網路安全值得零信任架構
  28. 結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。
  29. 推薦閱讀
  30. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  31. 參考資料
  32. 零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?
  33. 實踐零信任的 4 大區域隔離策略
  34. 防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟
  35. 最常見的 3 個 UniFi 防火牆設定錯誤
  36. 蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?
  37. 影響防火牆規劃複雜度的 3 大因素
  38. 立即開始:你的網路安全值得零信任架構
  39. 結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。
  40. 推薦閱讀
  41. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  42. 參考資料
  43. 為什麼 UniFi 預設防火牆不夠安全?3 個你該知道的風險
  44. 傳統 Rule-Based vs. UniFi 區域防火牆:從清單到地圖的思維轉變
  45. 零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?
  46. 實踐零信任的 4 大區域隔離策略
  47. 防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟
  48. 最常見的 3 個 UniFi 防火牆設定錯誤
  49. 蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?
  50. 影響防火牆規劃複雜度的 3 大因素
  51. 立即開始:你的網路安全值得零信任架構
  52. 結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。
  53. 推薦閱讀
  54. 更多關於UniFi 區域防火牆設定教學的常見問題FAQ
  55. 參考資料

更多關於UniFi 區域防火牆設定教學的常見問題FAQ

Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

Q2:為什麼 UniFi 預設的 Internal 區域不安全?

UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

Q4:設定防火牆時,「反向阻擋」是什麼意思?

「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

參考資料

這是最懶惰也最危險的做法。為了節省建立自訂區域和防火牆規則的幾分鐘時間,而將所有網路——無論是員工、訪客、伺服器還是 IoT——全部丟在預設的 Internal 區域。這等於是自廢武功,放棄了 UniFi 強大的區域隔離能力。

事後補救的成本,往往是事前規劃的 5-10 倍。當資安事件發生,你需要花費大量時間去追查攻擊路徑、清理受感染的設備時,才會後悔當初為什麼沒有做好最基本的網路分段。一個好的網路架構,從一開始就應該採取「預設拒絕」的零信任原則。

蓋斯克科技工程師與CAPSULE GROUP IT主管在機房討論零信任網路架構導入方案
工程師與客戶檢視零信任區域防火牆規劃。

蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?

紙上談兵不如實際案例。台灣領先的 YouTuber 經紀公司 CAPSULE GROUP,就是一個透過 UniFi 區域防火牆成功實踐零信任架構的絕佳範例。

CAPSULE 的辦公環境非常多元,包含行政人員、影片製作團隊、以及大量來訪的創作者 (YouTuber)。他們面臨的挑戰是:如何提供高速、穩定的網路給所有人,同時確保公司核心的影片素材、財務資料與訪客網路完全隔離?

蓋斯克科技的團隊進場後,第一步就是重新進行網路的「身分劃分」,並利用 UniFi 的區域防火牆功能,建立了 4 個主要的隔離區域:

  • Corporate 區:供內部正職員工使用,可以存取公司內部的檔案伺服器 (NAS) 和印表機。此區域內的設備之間可以進行有限度的通訊,以利協同作業。
  • Creator 區 (Hotspot):專為來訪的創作者和合作夥伴設計的獨立 Wi-Fi。此區域被設定為「Hotspot」模式,與公司內部網路完全隔離,僅提供高速的網際網路存取。即使創作者的筆電有病毒,也無法感染到 CAPSULE 的內部網路。
  • Production 區 (DMZ):放置影片剪輯工作站和渲染伺服器。這個區域被設定為 DMZ,它無法主動連線到 Corporate 區,但 Corporate 區的管理者可以連線進來進行維護。這確保了核心的生財工具受到嚴格保護。
  • Management 區:一個極度受限的網路,只用來放置網路設備(如交換器、AP)的管理介面。只有 IT 人員的特定電腦才能存取此區域。

透過這樣的規劃,CAPSULE GROUP 成功地在一個超過 150 人的辦公空間中,打造了一個既開放又安全的網路環境。創作者可以享受無縫的網路體驗,而公司的核心資產則在多層防護下高枕無憂。這就是零信任架構在真實世界中的價值。

影響防火牆規劃複雜度的 3 大因素

導入區域防火牆與零信任架構,並非一體適用。規劃的複雜度與所需時間,主要取決於以下 3 個因素:

(一)設備種類與數量

一個只有電腦和手機的單純辦公室,跟一個擁有大量 IoT 感應器、產線機台 (PLC)、IP 攝影機的智慧工廠,其網路分段的複雜度是天壤之別。設備種類越多,需要規劃的 VLAN 和防火牆區域就越多,規則也越精細。通常,設備種類超過 5 種以上時,複雜度就會呈倍數增長。

(二)跨網段通訊需求

如果不同部門或區域之間完全不需要通訊,那防火牆設定相對簡單,大多是阻擋規則。但如果業務部門的 CRM 系統需要存取會計部門的資料庫,或者中控室的電腦需要監看所有廠區的攝影機畫面,這就需要建立非常精確的「允許」規則,明確定義來源、目的、埠口,規劃難度至少增加 2-3 倍。

(三)現有網路架構的包袱

在一張白紙上規劃新網路,遠比改造一個已經運行多年的混亂網路要容易。如果現有網路沒有 VLAN 規劃,所有設備都在同一個廣播域,IP 位址混亂,要導入零信任就必須先進行大規模的網路重構。這種「邊開飛機邊換引擎」的專案,其難度與風險最高,事後調整的成本往往是事前規劃的 3-5 倍。

立即開始:你的網路安全值得零信任架構

UniFi 區域防火牆提供了一個強大且相對容易上手的工具,讓中小企業也能享受到過去只有大型企業才能負擔的網路分段與進階安全防護。然而,工具本身並不能保證安全,關鍵在於背後的規劃與思維。

從預設的「全部允許」轉變為「預設拒絕」的零信任思維,是提升企業網路安全等級的關鍵一步。這不僅是技術升級,更是安全文化的轉變。

如果你不確定該從何開始,或擔心錯誤的設定會導致網路中斷,蓋斯克科技的專業團隊可以協助你。我們能為你的企業進行全面的網路健檢,設計符合需求的零信任架構,並協助你導入 UniFi 區域防火牆,打造一個真正安全、高效的網路環境。歡迎與我們聯絡,進行初步諮詢。

結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。

推薦閱讀


企業內網隔離設定或 UniFi 零信任架構需要協助?

蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

IT 委外服務 免費預約諮詢

02-2717-1019 LINE:@zonetech

更多關於UniFi 區域防火牆設定教學的常見問題FAQ

Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

Q2:為什麼 UniFi 預設的 Internal 區域不安全?

UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

Q4:設定防火牆時,「反向阻擋」是什麼意思?

「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

參考資料

零信任是什麼?為什麼「內部網路=可信任」是危險的迷思? 案場實景照
零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

在深入設定之前,我們必須先建立一個核心觀念:零信任 (Zero Trust)。

傳統的網路安全模型,就像一座中世紀的城堡。它有厚實的城牆(防火牆)和護城河,用來抵禦外敵。但一旦敵人混進城內,就可以在城裡四處遊走,因為城內的居民彼此是信任的。這就是所謂的「邊界防禦模型」。

零信任架構則徹底打破了這個思維。它的核心原則是「永不信任,一律驗證 (Never Trust, Always Verify)」。它假設威脅無所不在,無論是來自外部還是內部。在這個模型中,處於網路上的位置,並不代表擁有存取權限。

這就像一座現代化的辦公大樓,你刷卡進了大門,但要進入不同部門的辦公室、會議室、機房,每一道門都需要再次刷卡驗證身份與權限。即使你已經在「內部」,也只能存取你被授權的最小範圍資源。

UniFi 的區域防火牆,正是實踐這種「內部隔離」的絕佳工具。透過將不同功能的設備劃分到不同區域,並預設阻擋所有非必要的通訊,我們就能在網路層級建立起一道道「看不見的牆」,大幅提高內部安全性。

實踐零信任的 4 大區域隔離策略 案場實景照
實踐零信任的 4 大區域隔離策略

實踐零信任的 4 大區域隔離策略

要打造一個零信任網路,第一步就是進行策略性的「分區」。以下是針對四種常見設備類型,我們建議的區域劃分與隔離邏輯。

(一)訪客 (Guest/BYOD) 隔離區:放入「Hotspot」區域

設計邏輯:訪客或員工自帶設備 (BYOD) 的網路,其安全性完全未知,必須給予最嚴格的隔離。

UniFi 設定:將訪客 Wi-Fi 對應的 VLAN,其區域設定為 UniFi 內建的「Hotspot (熱點)」區域。

安全優勢:Hotspot 區域有 3 個強大的預設安全特性:

  • 完全阻擋對內存取:預設無法存取任何被歸類在 Internal、DMZ 或其他自訂區域的網路。
  • 嚴格限制網關存取:僅開放網路連線所需的最基本服務 (如 DHCP),完全無法存取管理介面。
  • 區域內互不相通:Hotspot 區域內的不同網路(或同網路內的不同使用者)預設也是互相隔離的,防止訪客之間互相攻擊。

(二)物聯網 (IoT) 設備隔離區:放入「DMZ」區域

設計邏輯:IoT 設備(如攝影機、感應器、智慧門鎖)通常韌體更新慢、安全性較低,是駭客最愛攻擊的目標之一。它們只需要連上網路和特定的控制器,完全不需要存取公司內部網路。

UniFi 設定:將所有 IoT 設備所在的 VLAN,其區域設定為「DMZ (非軍事區)」。

安全優勢:DMZ 區域和 Hotspot 類似,預設無法存取內部網路。但它有一個關鍵差異:內部網路(如 Internal 或自訂的 Corp 區域)可以「主動發起」連線到 DMZ 區域的設備,但 DMZ 設備無法反向連回內部。這非常適合需要由中控主機去輪詢 IoT 設備狀態的情境。此外,DMZ 區域內的網路彼此也是預設阻擋 (block all) 的,有效防止設備被駭後在區網內橫向移動。

(三)員工與核心設備:移入「自訂安全區域」

設計邏輯:這是最重要的一步。絕對不要將員工電腦、VoIP 電話、印表機等核心設備留在預設的「Internal」區域。我們需要建立一個新的、規則更嚴格的自訂區域。

UniFi 設定

  1. 在防火牆設定中,建立一個新的「自訂區域」,例如命名為「Corporate」。
  2. 將所有員工、核心設備所在的 VLAN,全部從預設的 Internal 區域,改為指派到這個新的「Corporate」區域。

安全優勢:當你使用自訂區域時,預設的防火牆規則會比 Internal 嚴格許多。區域內的網路之間預設無法互相通訊,你必須手動建立「允許 (Allow)」規則,才能放行必要的流量。這就是「預設拒絕 (Default Deny)」的安全原則,也是零信任的基礎。

(四)伺服器與管理介面:建立專屬的「伺服器區域」

設計邏輯:公司的核心資產,如檔案伺服器、資料庫、以及各種設備的管理介面 (如 IPMI),需要最高等級的保護。

UniFi 設定:同樣地,建立一個名為「Servers」的自訂區域,並將所有伺服器所在的 VLAN 移入此區。

安全優勢:透過專屬區域,你可以建立極度精細的存取規則。例如:

  • 只允許「Corporate」區域的特定 IP(如 IT 主管的電腦)透過 Port 3389 (RDP) 存取 Windows Server。
  • 只允許「Corporate」區域的會計部門網段,存取「Servers」區域財務伺服器的 Port 445 (SMB)。
  • 全面禁止「IoT」和「Guest」區域對「Servers」區域的任何存取。

透過這 4 大區域劃分,你的網路就從一個平面通鋪,變成了一個擁有多重安全檢查點的立體堡壘。

防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟 案場實景照
防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

完成了區域劃分,接下來的關鍵就是設定防火牆規則,徹底封鎖前面提到的「網關後門」。以下設定建議在「LAN In」規則集底下操作,因為這是處理內部跨 VLAN 流量的地方。

步驟一:建立「反向阻擋」規則,只允許 DNS/DHCP

這是鎖死網關最有效、也最優雅的方法。我們的目標是:阻擋所有從自訂區域(如 Corporate)到網關的連線,但只放行網路運作所必需的 DNS 和 DHCP 服務。

操作方法

  • Action: Drop (丟棄)
  • Source: 選擇你的自訂區域,例如「Corporate」。
  • Destination: 選擇「Gateway」。
  • Port/IP Group: 建立一個包含 Port 53 (DNS) 和 Port 67 (DHCP) 的群組。
  • Advanced: 勾選「Match Opposite on Port/IP Group」。

這個「反向配對 (Match Opposite)」是關鍵。它的意思是:「當目的為網關時,如果目的埠口『不是』53 或 67,就執行 Drop 動作」。這一條規則,就能有效地用白名單的邏輯,封鎖所有對網關管理介面的未授權存取,安全效能提升超過 90%。

步驟二:建立 ICMP 允許規則,方便網路排錯

在一個預設阻擋所有流量的嚴格環境中,如果連 Ping 都不通,網路出問題時會非常難以排查。因此,我們建議在所有規則的最頂端,建立一條允許 Ping (ICMP 協定) 的規則。

操作方法

  • Action: Accept (接受)
  • Protocol: 選擇 ICMP。
  • Source/Destination: 可以設定為允許從特定管理網段 Ping 所有內部網路。

由於 UniFi 防火牆規則是「由上而下 (top-down)」依序執行的,把這條放在最上面,可以確保你在不影響其他安全規則的情況下,保有最基本的網路診斷能力。這條規則的執行順序編號應小於 2000,以確保優先執行。

步驟三:阻擋對外 RFC 1918 私有 IP 請求,防止 VPN 路由外洩

這是一個進階但重要的安全設定。如果你的 UniFi 網關有設定 VPN Client 連到外部服務,預設情況下,內部網路的流量可能會被錯誤地路由到 VPN 另一端的私有網段 (Private IP),造成資訊外洩。

我們可以建立一條規則,阻擋內部網路向「外部區域 (External)」發送前往私有 IP 網段的請求。UniFi 內建了一個名為「RFC1918」的 IP 群組,包含了所有私有網段 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)。

操作方法

  • Action: Drop (丟棄)
  • Source: 你的內部網路區域 (如 Corporate)。
  • Destination: IP/Port Group 選擇「RFC1918」。
  • Advanced: 確保這條規則只作用於流向「External」區域的流量。

這條規則不會影響你內部 VLAN 之間的正常通訊,因為 inter-VLAN 路由是在網關層級處理的,不屬於流向「External」區域的流量。

最常見的 3 個 UniFi 防火牆設定錯誤 案場實景照
最常見的 3 個 UniFi 防火牆設定錯誤

最常見的 3 個 UniFi 防火牆設定錯誤

理論和實作之間總有差距。根據我們的經驗,許多管理者在設定 UniFi 防火牆時,會陷入以下 3 個常見的迷思與錯誤。

錯誤一:過度依賴「隔離網路」選項,以為萬無一失

再次強調,在網路設定中勾選「隔離網路 (Isolate Network)」或「客戶端隔離 (Client Isolation)」,其作用非常有限。它主要用於防止同一個 Wi-Fi AP 或同一個 VLAN 下的用戶端互相通訊,例如在咖啡廳防止顧客 A 攻擊顧客 B 的筆電。

它完全無法阻止跨 VLAN 的通訊,也無法阻止設備存取網關的管理介面。把它當作安全防護的唯一手段,無異於只鎖了房門,卻忘了關上窗戶。真正的安全隔離,必須透過我們前面提到的「區域防火牆」規則來實現。

錯誤二:忽略 mDNS 造成的跨網段安全風險

mDNS (Multicast DNS) 是一個方便的功能,它允許設備(如 Apple TV、Chromecast、網路印表機)在不同 VLAN 之間被探索和發現。但在不需要它的網路上開啟,就等於打開了一個不必要的廣播通道。

例如,在 IoT 網路或伺服器網路上開啟 mDNS,不僅沒有任何好處,還可能洩漏設備資訊,增加被攻擊的風險。你應該只在確實有需求的網路上(例如,員工網路需要找到會議室的投影設備)才開啟它,並且透過防火牆規則,嚴格限制哪些設備可以發起和回應 mDNS 查詢。一般來說,只有不到 10% 的企業網路情境真正需要開啟 mDNS。

錯誤三:所有網路都塞在預設 Internal 區域,貪圖一時方便

這是最懶惰也最危險的做法。為了節省建立自訂區域和防火牆規則的幾分鐘時間,而將所有網路——無論是員工、訪客、伺服器還是 IoT——全部丟在預設的 Internal 區域。這等於是自廢武功,放棄了 UniFi 強大的區域隔離能力。

事後補救的成本,往往是事前規劃的 5-10 倍。當資安事件發生,你需要花費大量時間去追查攻擊路徑、清理受感染的設備時,才會後悔當初為什麼沒有做好最基本的網路分段。一個好的網路架構,從一開始就應該採取「預設拒絕」的零信任原則。

蓋斯克科技工程師與CAPSULE GROUP IT主管在機房討論零信任網路架構導入方案
工程師與客戶檢視零信任區域防火牆規劃。

蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?

紙上談兵不如實際案例。台灣領先的 YouTuber 經紀公司 CAPSULE GROUP,就是一個透過 UniFi 區域防火牆成功實踐零信任架構的絕佳範例。

CAPSULE 的辦公環境非常多元,包含行政人員、影片製作團隊、以及大量來訪的創作者 (YouTuber)。他們面臨的挑戰是:如何提供高速、穩定的網路給所有人,同時確保公司核心的影片素材、財務資料與訪客網路完全隔離?

蓋斯克科技的團隊進場後,第一步就是重新進行網路的「身分劃分」,並利用 UniFi 的區域防火牆功能,建立了 4 個主要的隔離區域:

  • Corporate 區:供內部正職員工使用,可以存取公司內部的檔案伺服器 (NAS) 和印表機。此區域內的設備之間可以進行有限度的通訊,以利協同作業。
  • Creator 區 (Hotspot):專為來訪的創作者和合作夥伴設計的獨立 Wi-Fi。此區域被設定為「Hotspot」模式,與公司內部網路完全隔離,僅提供高速的網際網路存取。即使創作者的筆電有病毒,也無法感染到 CAPSULE 的內部網路。
  • Production 區 (DMZ):放置影片剪輯工作站和渲染伺服器。這個區域被設定為 DMZ,它無法主動連線到 Corporate 區,但 Corporate 區的管理者可以連線進來進行維護。這確保了核心的生財工具受到嚴格保護。
  • Management 區:一個極度受限的網路,只用來放置網路設備(如交換器、AP)的管理介面。只有 IT 人員的特定電腦才能存取此區域。

透過這樣的規劃,CAPSULE GROUP 成功地在一個超過 150 人的辦公空間中,打造了一個既開放又安全的網路環境。創作者可以享受無縫的網路體驗,而公司的核心資產則在多層防護下高枕無憂。這就是零信任架構在真實世界中的價值。

影響防火牆規劃複雜度的 3 大因素

導入區域防火牆與零信任架構,並非一體適用。規劃的複雜度與所需時間,主要取決於以下 3 個因素:

(一)設備種類與數量

一個只有電腦和手機的單純辦公室,跟一個擁有大量 IoT 感應器、產線機台 (PLC)、IP 攝影機的智慧工廠,其網路分段的複雜度是天壤之別。設備種類越多,需要規劃的 VLAN 和防火牆區域就越多,規則也越精細。通常,設備種類超過 5 種以上時,複雜度就會呈倍數增長。

(二)跨網段通訊需求

如果不同部門或區域之間完全不需要通訊,那防火牆設定相對簡單,大多是阻擋規則。但如果業務部門的 CRM 系統需要存取會計部門的資料庫,或者中控室的電腦需要監看所有廠區的攝影機畫面,這就需要建立非常精確的「允許」規則,明確定義來源、目的、埠口,規劃難度至少增加 2-3 倍。

(三)現有網路架構的包袱

在一張白紙上規劃新網路,遠比改造一個已經運行多年的混亂網路要容易。如果現有網路沒有 VLAN 規劃,所有設備都在同一個廣播域,IP 位址混亂,要導入零信任就必須先進行大規模的網路重構。這種「邊開飛機邊換引擎」的專案,其難度與風險最高,事後調整的成本往往是事前規劃的 3-5 倍。

立即開始:你的網路安全值得零信任架構

UniFi 區域防火牆提供了一個強大且相對容易上手的工具,讓中小企業也能享受到過去只有大型企業才能負擔的網路分段與進階安全防護。然而,工具本身並不能保證安全,關鍵在於背後的規劃與思維。

從預設的「全部允許」轉變為「預設拒絕」的零信任思維,是提升企業網路安全等級的關鍵一步。這不僅是技術升級,更是安全文化的轉變。

如果你不確定該從何開始,或擔心錯誤的設定會導致網路中斷,蓋斯克科技的專業團隊可以協助你。我們能為你的企業進行全面的網路健檢,設計符合需求的零信任架構,並協助你導入 UniFi 區域防火牆,打造一個真正安全、高效的網路環境。歡迎與我們聯絡,進行初步諮詢。

結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。

推薦閱讀


企業內網隔離設定或 UniFi 零信任架構需要協助?

蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

IT 委外服務 免費預約諮詢

02-2717-1019 LINE:@zonetech

更多關於UniFi 區域防火牆設定教學的常見問題FAQ

Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

Q2:為什麼 UniFi 預設的 Internal 區域不安全?

UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

Q4:設定防火牆時,「反向阻擋」是什麼意思?

「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

參考資料

  • 訪客區域 (Guest_Zone):包含訪客 Wi-Fi 的 VLAN。
  • 物聯網區域 (IoT_Zone):包含網路攝影機、溫控器、門禁系統的 VLAN。
  • 伺服器區域 (Server_Zone):包含公司內部伺服器的 VLAN。
  • 分好組之後,你不再是針對單一 IP 或網段寫規則,而是定義「區域」與「區域」之間的關係。例如,你可以建立一條簡單的規則:「阻擋所有從 IoT_ZoneCorp_Zone 的流量」。

    這條規則就自動套用到所有在 IoT 區域內的設備,無論未來你新增多少 IoT 設備或 VLAN,只要把它們歸類到 IoT_Zone,規則就會自動生效。管理方式從一維的清單,變成了二維的網格地圖,策略更清晰,也更容易擴展。

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思? 案場實景照
    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    在深入設定之前,我們必須先建立一個核心觀念:零信任 (Zero Trust)。

    傳統的網路安全模型,就像一座中世紀的城堡。它有厚實的城牆(防火牆)和護城河,用來抵禦外敵。但一旦敵人混進城內,就可以在城裡四處遊走,因為城內的居民彼此是信任的。這就是所謂的「邊界防禦模型」。

    零信任架構則徹底打破了這個思維。它的核心原則是「永不信任,一律驗證 (Never Trust, Always Verify)」。它假設威脅無所不在,無論是來自外部還是內部。在這個模型中,處於網路上的位置,並不代表擁有存取權限。

    這就像一座現代化的辦公大樓,你刷卡進了大門,但要進入不同部門的辦公室、會議室、機房,每一道門都需要再次刷卡驗證身份與權限。即使你已經在「內部」,也只能存取你被授權的最小範圍資源。

    UniFi 的區域防火牆,正是實踐這種「內部隔離」的絕佳工具。透過將不同功能的設備劃分到不同區域,並預設阻擋所有非必要的通訊,我們就能在網路層級建立起一道道「看不見的牆」,大幅提高內部安全性。

    實踐零信任的 4 大區域隔離策略 案場實景照
    實踐零信任的 4 大區域隔離策略

    實踐零信任的 4 大區域隔離策略

    要打造一個零信任網路,第一步就是進行策略性的「分區」。以下是針對四種常見設備類型,我們建議的區域劃分與隔離邏輯。

    (一)訪客 (Guest/BYOD) 隔離區:放入「Hotspot」區域

    設計邏輯:訪客或員工自帶設備 (BYOD) 的網路,其安全性完全未知,必須給予最嚴格的隔離。

    UniFi 設定:將訪客 Wi-Fi 對應的 VLAN,其區域設定為 UniFi 內建的「Hotspot (熱點)」區域。

    安全優勢:Hotspot 區域有 3 個強大的預設安全特性:

    • 完全阻擋對內存取:預設無法存取任何被歸類在 Internal、DMZ 或其他自訂區域的網路。
    • 嚴格限制網關存取:僅開放網路連線所需的最基本服務 (如 DHCP),完全無法存取管理介面。
    • 區域內互不相通:Hotspot 區域內的不同網路(或同網路內的不同使用者)預設也是互相隔離的,防止訪客之間互相攻擊。

    (二)物聯網 (IoT) 設備隔離區:放入「DMZ」區域

    設計邏輯:IoT 設備(如攝影機、感應器、智慧門鎖)通常韌體更新慢、安全性較低,是駭客最愛攻擊的目標之一。它們只需要連上網路和特定的控制器,完全不需要存取公司內部網路。

    UniFi 設定:將所有 IoT 設備所在的 VLAN,其區域設定為「DMZ (非軍事區)」。

    安全優勢:DMZ 區域和 Hotspot 類似,預設無法存取內部網路。但它有一個關鍵差異:內部網路(如 Internal 或自訂的 Corp 區域)可以「主動發起」連線到 DMZ 區域的設備,但 DMZ 設備無法反向連回內部。這非常適合需要由中控主機去輪詢 IoT 設備狀態的情境。此外,DMZ 區域內的網路彼此也是預設阻擋 (block all) 的,有效防止設備被駭後在區網內橫向移動。

    (三)員工與核心設備:移入「自訂安全區域」

    設計邏輯:這是最重要的一步。絕對不要將員工電腦、VoIP 電話、印表機等核心設備留在預設的「Internal」區域。我們需要建立一個新的、規則更嚴格的自訂區域。

    UniFi 設定

    1. 在防火牆設定中,建立一個新的「自訂區域」,例如命名為「Corporate」。
    2. 將所有員工、核心設備所在的 VLAN,全部從預設的 Internal 區域,改為指派到這個新的「Corporate」區域。

    安全優勢:當你使用自訂區域時,預設的防火牆規則會比 Internal 嚴格許多。區域內的網路之間預設無法互相通訊,你必須手動建立「允許 (Allow)」規則,才能放行必要的流量。這就是「預設拒絕 (Default Deny)」的安全原則,也是零信任的基礎。

    (四)伺服器與管理介面:建立專屬的「伺服器區域」

    設計邏輯:公司的核心資產,如檔案伺服器、資料庫、以及各種設備的管理介面 (如 IPMI),需要最高等級的保護。

    UniFi 設定:同樣地,建立一個名為「Servers」的自訂區域,並將所有伺服器所在的 VLAN 移入此區。

    安全優勢:透過專屬區域,你可以建立極度精細的存取規則。例如:

    • 只允許「Corporate」區域的特定 IP(如 IT 主管的電腦)透過 Port 3389 (RDP) 存取 Windows Server。
    • 只允許「Corporate」區域的會計部門網段,存取「Servers」區域財務伺服器的 Port 445 (SMB)。
    • 全面禁止「IoT」和「Guest」區域對「Servers」區域的任何存取。

    透過這 4 大區域劃分,你的網路就從一個平面通鋪,變成了一個擁有多重安全檢查點的立體堡壘。

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟 案場實景照
    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    完成了區域劃分,接下來的關鍵就是設定防火牆規則,徹底封鎖前面提到的「網關後門」。以下設定建議在「LAN In」規則集底下操作,因為這是處理內部跨 VLAN 流量的地方。

    步驟一:建立「反向阻擋」規則,只允許 DNS/DHCP

    這是鎖死網關最有效、也最優雅的方法。我們的目標是:阻擋所有從自訂區域(如 Corporate)到網關的連線,但只放行網路運作所必需的 DNS 和 DHCP 服務。

    操作方法

    • Action: Drop (丟棄)
    • Source: 選擇你的自訂區域,例如「Corporate」。
    • Destination: 選擇「Gateway」。
    • Port/IP Group: 建立一個包含 Port 53 (DNS) 和 Port 67 (DHCP) 的群組。
    • Advanced: 勾選「Match Opposite on Port/IP Group」。

    這個「反向配對 (Match Opposite)」是關鍵。它的意思是:「當目的為網關時,如果目的埠口『不是』53 或 67,就執行 Drop 動作」。這一條規則,就能有效地用白名單的邏輯,封鎖所有對網關管理介面的未授權存取,安全效能提升超過 90%。

    步驟二:建立 ICMP 允許規則,方便網路排錯

    在一個預設阻擋所有流量的嚴格環境中,如果連 Ping 都不通,網路出問題時會非常難以排查。因此,我們建議在所有規則的最頂端,建立一條允許 Ping (ICMP 協定) 的規則。

    操作方法

    • Action: Accept (接受)
    • Protocol: 選擇 ICMP。
    • Source/Destination: 可以設定為允許從特定管理網段 Ping 所有內部網路。

    由於 UniFi 防火牆規則是「由上而下 (top-down)」依序執行的,把這條放在最上面,可以確保你在不影響其他安全規則的情況下,保有最基本的網路診斷能力。這條規則的執行順序編號應小於 2000,以確保優先執行。

    步驟三:阻擋對外 RFC 1918 私有 IP 請求,防止 VPN 路由外洩

    這是一個進階但重要的安全設定。如果你的 UniFi 網關有設定 VPN Client 連到外部服務,預設情況下,內部網路的流量可能會被錯誤地路由到 VPN 另一端的私有網段 (Private IP),造成資訊外洩。

    我們可以建立一條規則,阻擋內部網路向「外部區域 (External)」發送前往私有 IP 網段的請求。UniFi 內建了一個名為「RFC1918」的 IP 群組,包含了所有私有網段 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)。

    操作方法

    • Action: Drop (丟棄)
    • Source: 你的內部網路區域 (如 Corporate)。
    • Destination: IP/Port Group 選擇「RFC1918」。
    • Advanced: 確保這條規則只作用於流向「External」區域的流量。

    這條規則不會影響你內部 VLAN 之間的正常通訊,因為 inter-VLAN 路由是在網關層級處理的,不屬於流向「External」區域的流量。

    最常見的 3 個 UniFi 防火牆設定錯誤 案場實景照
    最常見的 3 個 UniFi 防火牆設定錯誤

    最常見的 3 個 UniFi 防火牆設定錯誤

    理論和實作之間總有差距。根據我們的經驗,許多管理者在設定 UniFi 防火牆時,會陷入以下 3 個常見的迷思與錯誤。

    錯誤一:過度依賴「隔離網路」選項,以為萬無一失

    再次強調,在網路設定中勾選「隔離網路 (Isolate Network)」或「客戶端隔離 (Client Isolation)」,其作用非常有限。它主要用於防止同一個 Wi-Fi AP 或同一個 VLAN 下的用戶端互相通訊,例如在咖啡廳防止顧客 A 攻擊顧客 B 的筆電。

    它完全無法阻止跨 VLAN 的通訊,也無法阻止設備存取網關的管理介面。把它當作安全防護的唯一手段,無異於只鎖了房門,卻忘了關上窗戶。真正的安全隔離,必須透過我們前面提到的「區域防火牆」規則來實現。

    錯誤二:忽略 mDNS 造成的跨網段安全風險

    mDNS (Multicast DNS) 是一個方便的功能,它允許設備(如 Apple TV、Chromecast、網路印表機)在不同 VLAN 之間被探索和發現。但在不需要它的網路上開啟,就等於打開了一個不必要的廣播通道。

    例如,在 IoT 網路或伺服器網路上開啟 mDNS,不僅沒有任何好處,還可能洩漏設備資訊,增加被攻擊的風險。你應該只在確實有需求的網路上(例如,員工網路需要找到會議室的投影設備)才開啟它,並且透過防火牆規則,嚴格限制哪些設備可以發起和回應 mDNS 查詢。一般來說,只有不到 10% 的企業網路情境真正需要開啟 mDNS。

    錯誤三:所有網路都塞在預設 Internal 區域,貪圖一時方便

    這是最懶惰也最危險的做法。為了節省建立自訂區域和防火牆規則的幾分鐘時間,而將所有網路——無論是員工、訪客、伺服器還是 IoT——全部丟在預設的 Internal 區域。這等於是自廢武功,放棄了 UniFi 強大的區域隔離能力。

    事後補救的成本,往往是事前規劃的 5-10 倍。當資安事件發生,你需要花費大量時間去追查攻擊路徑、清理受感染的設備時,才會後悔當初為什麼沒有做好最基本的網路分段。一個好的網路架構,從一開始就應該採取「預設拒絕」的零信任原則。

    蓋斯克科技工程師與CAPSULE GROUP IT主管在機房討論零信任網路架構導入方案
    工程師與客戶檢視零信任區域防火牆規劃。

    蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?

    紙上談兵不如實際案例。台灣領先的 YouTuber 經紀公司 CAPSULE GROUP,就是一個透過 UniFi 區域防火牆成功實踐零信任架構的絕佳範例。

    CAPSULE 的辦公環境非常多元,包含行政人員、影片製作團隊、以及大量來訪的創作者 (YouTuber)。他們面臨的挑戰是:如何提供高速、穩定的網路給所有人,同時確保公司核心的影片素材、財務資料與訪客網路完全隔離?

    蓋斯克科技的團隊進場後,第一步就是重新進行網路的「身分劃分」,並利用 UniFi 的區域防火牆功能,建立了 4 個主要的隔離區域:

    • Corporate 區:供內部正職員工使用,可以存取公司內部的檔案伺服器 (NAS) 和印表機。此區域內的設備之間可以進行有限度的通訊,以利協同作業。
    • Creator 區 (Hotspot):專為來訪的創作者和合作夥伴設計的獨立 Wi-Fi。此區域被設定為「Hotspot」模式,與公司內部網路完全隔離,僅提供高速的網際網路存取。即使創作者的筆電有病毒,也無法感染到 CAPSULE 的內部網路。
    • Production 區 (DMZ):放置影片剪輯工作站和渲染伺服器。這個區域被設定為 DMZ,它無法主動連線到 Corporate 區,但 Corporate 區的管理者可以連線進來進行維護。這確保了核心的生財工具受到嚴格保護。
    • Management 區:一個極度受限的網路,只用來放置網路設備(如交換器、AP)的管理介面。只有 IT 人員的特定電腦才能存取此區域。

    透過這樣的規劃,CAPSULE GROUP 成功地在一個超過 150 人的辦公空間中,打造了一個既開放又安全的網路環境。創作者可以享受無縫的網路體驗,而公司的核心資產則在多層防護下高枕無憂。這就是零信任架構在真實世界中的價值。

    影響防火牆規劃複雜度的 3 大因素

    導入區域防火牆與零信任架構,並非一體適用。規劃的複雜度與所需時間,主要取決於以下 3 個因素:

    (一)設備種類與數量

    一個只有電腦和手機的單純辦公室,跟一個擁有大量 IoT 感應器、產線機台 (PLC)、IP 攝影機的智慧工廠,其網路分段的複雜度是天壤之別。設備種類越多,需要規劃的 VLAN 和防火牆區域就越多,規則也越精細。通常,設備種類超過 5 種以上時,複雜度就會呈倍數增長。

    (二)跨網段通訊需求

    如果不同部門或區域之間完全不需要通訊,那防火牆設定相對簡單,大多是阻擋規則。但如果業務部門的 CRM 系統需要存取會計部門的資料庫,或者中控室的電腦需要監看所有廠區的攝影機畫面,這就需要建立非常精確的「允許」規則,明確定義來源、目的、埠口,規劃難度至少增加 2-3 倍。

    (三)現有網路架構的包袱

    在一張白紙上規劃新網路,遠比改造一個已經運行多年的混亂網路要容易。如果現有網路沒有 VLAN 規劃,所有設備都在同一個廣播域,IP 位址混亂,要導入零信任就必須先進行大規模的網路重構。這種「邊開飛機邊換引擎」的專案,其難度與風險最高,事後調整的成本往往是事前規劃的 3-5 倍。

    立即開始:你的網路安全值得零信任架構

    UniFi 區域防火牆提供了一個強大且相對容易上手的工具,讓中小企業也能享受到過去只有大型企業才能負擔的網路分段與進階安全防護。然而,工具本身並不能保證安全,關鍵在於背後的規劃與思維。

    從預設的「全部允許」轉變為「預設拒絕」的零信任思維,是提升企業網路安全等級的關鍵一步。這不僅是技術升級,更是安全文化的轉變。

    如果你不確定該從何開始,或擔心錯誤的設定會導致網路中斷,蓋斯克科技的專業團隊可以協助你。我們能為你的企業進行全面的網路健檢,設計符合需求的零信任架構,並協助你導入 UniFi 區域防火牆,打造一個真正安全、高效的網路環境。歡迎與我們聯絡,進行初步諮詢。

    結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。

    推薦閱讀


    企業內網隔離設定或 UniFi 零信任架構需要協助?

    蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

    IT 委外服務 免費預約諮詢

    02-2717-1019 LINE:@zonetech

    更多關於UniFi 區域防火牆設定教學的常見問題FAQ

    Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

    UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

    Q2:為什麼 UniFi 預設的 Internal 區域不安全?

    UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

    Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

    兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

    Q4:設定防火牆時,「反向阻擋」是什麼意思?

    「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

    Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

    這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

    參考資料

    • 員工區域 (Corp_Zone):包含業務部、行銷部、工程部等 VLAN。
    • 訪客區域 (Guest_Zone):包含訪客 Wi-Fi 的 VLAN。
    • 物聯網區域 (IoT_Zone):包含網路攝影機、溫控器、門禁系統的 VLAN。
    • 伺服器區域 (Server_Zone):包含公司內部伺服器的 VLAN。

    分好組之後,你不再是針對單一 IP 或網段寫規則,而是定義「區域」與「區域」之間的關係。例如,你可以建立一條簡單的規則:「阻擋所有從 IoT_ZoneCorp_Zone 的流量」。

    這條規則就自動套用到所有在 IoT 區域內的設備,無論未來你新增多少 IoT 設備或 VLAN,只要把它們歸類到 IoT_Zone,規則就會自動生效。管理方式從一維的清單,變成了二維的網格地圖,策略更清晰,也更容易擴展。

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思? 案場實景照
    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    在深入設定之前,我們必須先建立一個核心觀念:零信任 (Zero Trust)。

    傳統的網路安全模型,就像一座中世紀的城堡。它有厚實的城牆(防火牆)和護城河,用來抵禦外敵。但一旦敵人混進城內,就可以在城裡四處遊走,因為城內的居民彼此是信任的。這就是所謂的「邊界防禦模型」。

    零信任架構則徹底打破了這個思維。它的核心原則是「永不信任,一律驗證 (Never Trust, Always Verify)」。它假設威脅無所不在,無論是來自外部還是內部。在這個模型中,處於網路上的位置,並不代表擁有存取權限。

    這就像一座現代化的辦公大樓,你刷卡進了大門,但要進入不同部門的辦公室、會議室、機房,每一道門都需要再次刷卡驗證身份與權限。即使你已經在「內部」,也只能存取你被授權的最小範圍資源。

    UniFi 的區域防火牆,正是實踐這種「內部隔離」的絕佳工具。透過將不同功能的設備劃分到不同區域,並預設阻擋所有非必要的通訊,我們就能在網路層級建立起一道道「看不見的牆」,大幅提高內部安全性。

    實踐零信任的 4 大區域隔離策略 案場實景照
    實踐零信任的 4 大區域隔離策略

    實踐零信任的 4 大區域隔離策略

    要打造一個零信任網路,第一步就是進行策略性的「分區」。以下是針對四種常見設備類型,我們建議的區域劃分與隔離邏輯。

    (一)訪客 (Guest/BYOD) 隔離區:放入「Hotspot」區域

    設計邏輯:訪客或員工自帶設備 (BYOD) 的網路,其安全性完全未知,必須給予最嚴格的隔離。

    UniFi 設定:將訪客 Wi-Fi 對應的 VLAN,其區域設定為 UniFi 內建的「Hotspot (熱點)」區域。

    安全優勢:Hotspot 區域有 3 個強大的預設安全特性:

    • 完全阻擋對內存取:預設無法存取任何被歸類在 Internal、DMZ 或其他自訂區域的網路。
    • 嚴格限制網關存取:僅開放網路連線所需的最基本服務 (如 DHCP),完全無法存取管理介面。
    • 區域內互不相通:Hotspot 區域內的不同網路(或同網路內的不同使用者)預設也是互相隔離的,防止訪客之間互相攻擊。

    (二)物聯網 (IoT) 設備隔離區:放入「DMZ」區域

    設計邏輯:IoT 設備(如攝影機、感應器、智慧門鎖)通常韌體更新慢、安全性較低,是駭客最愛攻擊的目標之一。它們只需要連上網路和特定的控制器,完全不需要存取公司內部網路。

    UniFi 設定:將所有 IoT 設備所在的 VLAN,其區域設定為「DMZ (非軍事區)」。

    安全優勢:DMZ 區域和 Hotspot 類似,預設無法存取內部網路。但它有一個關鍵差異:內部網路(如 Internal 或自訂的 Corp 區域)可以「主動發起」連線到 DMZ 區域的設備,但 DMZ 設備無法反向連回內部。這非常適合需要由中控主機去輪詢 IoT 設備狀態的情境。此外,DMZ 區域內的網路彼此也是預設阻擋 (block all) 的,有效防止設備被駭後在區網內橫向移動。

    (三)員工與核心設備:移入「自訂安全區域」

    設計邏輯:這是最重要的一步。絕對不要將員工電腦、VoIP 電話、印表機等核心設備留在預設的「Internal」區域。我們需要建立一個新的、規則更嚴格的自訂區域。

    UniFi 設定

    1. 在防火牆設定中,建立一個新的「自訂區域」,例如命名為「Corporate」。
    2. 將所有員工、核心設備所在的 VLAN,全部從預設的 Internal 區域,改為指派到這個新的「Corporate」區域。

    安全優勢:當你使用自訂區域時,預設的防火牆規則會比 Internal 嚴格許多。區域內的網路之間預設無法互相通訊,你必須手動建立「允許 (Allow)」規則,才能放行必要的流量。這就是「預設拒絕 (Default Deny)」的安全原則,也是零信任的基礎。

    (四)伺服器與管理介面:建立專屬的「伺服器區域」

    設計邏輯:公司的核心資產,如檔案伺服器、資料庫、以及各種設備的管理介面 (如 IPMI),需要最高等級的保護。

    UniFi 設定:同樣地,建立一個名為「Servers」的自訂區域,並將所有伺服器所在的 VLAN 移入此區。

    安全優勢:透過專屬區域,你可以建立極度精細的存取規則。例如:

    • 只允許「Corporate」區域的特定 IP(如 IT 主管的電腦)透過 Port 3389 (RDP) 存取 Windows Server。
    • 只允許「Corporate」區域的會計部門網段,存取「Servers」區域財務伺服器的 Port 445 (SMB)。
    • 全面禁止「IoT」和「Guest」區域對「Servers」區域的任何存取。

    透過這 4 大區域劃分,你的網路就從一個平面通鋪,變成了一個擁有多重安全檢查點的立體堡壘。

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟 案場實景照
    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    完成了區域劃分,接下來的關鍵就是設定防火牆規則,徹底封鎖前面提到的「網關後門」。以下設定建議在「LAN In」規則集底下操作,因為這是處理內部跨 VLAN 流量的地方。

    步驟一:建立「反向阻擋」規則,只允許 DNS/DHCP

    這是鎖死網關最有效、也最優雅的方法。我們的目標是:阻擋所有從自訂區域(如 Corporate)到網關的連線,但只放行網路運作所必需的 DNS 和 DHCP 服務。

    操作方法

    • Action: Drop (丟棄)
    • Source: 選擇你的自訂區域,例如「Corporate」。
    • Destination: 選擇「Gateway」。
    • Port/IP Group: 建立一個包含 Port 53 (DNS) 和 Port 67 (DHCP) 的群組。
    • Advanced: 勾選「Match Opposite on Port/IP Group」。

    這個「反向配對 (Match Opposite)」是關鍵。它的意思是:「當目的為網關時,如果目的埠口『不是』53 或 67,就執行 Drop 動作」。這一條規則,就能有效地用白名單的邏輯,封鎖所有對網關管理介面的未授權存取,安全效能提升超過 90%。

    步驟二:建立 ICMP 允許規則,方便網路排錯

    在一個預設阻擋所有流量的嚴格環境中,如果連 Ping 都不通,網路出問題時會非常難以排查。因此,我們建議在所有規則的最頂端,建立一條允許 Ping (ICMP 協定) 的規則。

    操作方法

    • Action: Accept (接受)
    • Protocol: 選擇 ICMP。
    • Source/Destination: 可以設定為允許從特定管理網段 Ping 所有內部網路。

    由於 UniFi 防火牆規則是「由上而下 (top-down)」依序執行的,把這條放在最上面,可以確保你在不影響其他安全規則的情況下,保有最基本的網路診斷能力。這條規則的執行順序編號應小於 2000,以確保優先執行。

    步驟三:阻擋對外 RFC 1918 私有 IP 請求,防止 VPN 路由外洩

    這是一個進階但重要的安全設定。如果你的 UniFi 網關有設定 VPN Client 連到外部服務,預設情況下,內部網路的流量可能會被錯誤地路由到 VPN 另一端的私有網段 (Private IP),造成資訊外洩。

    我們可以建立一條規則,阻擋內部網路向「外部區域 (External)」發送前往私有 IP 網段的請求。UniFi 內建了一個名為「RFC1918」的 IP 群組,包含了所有私有網段 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)。

    操作方法

    • Action: Drop (丟棄)
    • Source: 你的內部網路區域 (如 Corporate)。
    • Destination: IP/Port Group 選擇「RFC1918」。
    • Advanced: 確保這條規則只作用於流向「External」區域的流量。

    這條規則不會影響你內部 VLAN 之間的正常通訊,因為 inter-VLAN 路由是在網關層級處理的,不屬於流向「External」區域的流量。

    最常見的 3 個 UniFi 防火牆設定錯誤 案場實景照
    最常見的 3 個 UniFi 防火牆設定錯誤

    最常見的 3 個 UniFi 防火牆設定錯誤

    理論和實作之間總有差距。根據我們的經驗,許多管理者在設定 UniFi 防火牆時,會陷入以下 3 個常見的迷思與錯誤。

    錯誤一:過度依賴「隔離網路」選項,以為萬無一失

    再次強調,在網路設定中勾選「隔離網路 (Isolate Network)」或「客戶端隔離 (Client Isolation)」,其作用非常有限。它主要用於防止同一個 Wi-Fi AP 或同一個 VLAN 下的用戶端互相通訊,例如在咖啡廳防止顧客 A 攻擊顧客 B 的筆電。

    它完全無法阻止跨 VLAN 的通訊,也無法阻止設備存取網關的管理介面。把它當作安全防護的唯一手段,無異於只鎖了房門,卻忘了關上窗戶。真正的安全隔離,必須透過我們前面提到的「區域防火牆」規則來實現。

    錯誤二:忽略 mDNS 造成的跨網段安全風險

    mDNS (Multicast DNS) 是一個方便的功能,它允許設備(如 Apple TV、Chromecast、網路印表機)在不同 VLAN 之間被探索和發現。但在不需要它的網路上開啟,就等於打開了一個不必要的廣播通道。

    例如,在 IoT 網路或伺服器網路上開啟 mDNS,不僅沒有任何好處,還可能洩漏設備資訊,增加被攻擊的風險。你應該只在確實有需求的網路上(例如,員工網路需要找到會議室的投影設備)才開啟它,並且透過防火牆規則,嚴格限制哪些設備可以發起和回應 mDNS 查詢。一般來說,只有不到 10% 的企業網路情境真正需要開啟 mDNS。

    錯誤三:所有網路都塞在預設 Internal 區域,貪圖一時方便

    這是最懶惰也最危險的做法。為了節省建立自訂區域和防火牆規則的幾分鐘時間,而將所有網路——無論是員工、訪客、伺服器還是 IoT——全部丟在預設的 Internal 區域。這等於是自廢武功,放棄了 UniFi 強大的區域隔離能力。

    事後補救的成本,往往是事前規劃的 5-10 倍。當資安事件發生,你需要花費大量時間去追查攻擊路徑、清理受感染的設備時,才會後悔當初為什麼沒有做好最基本的網路分段。一個好的網路架構,從一開始就應該採取「預設拒絕」的零信任原則。

    蓋斯克科技工程師與CAPSULE GROUP IT主管在機房討論零信任網路架構導入方案
    工程師與客戶檢視零信任區域防火牆規劃。

    蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?

    紙上談兵不如實際案例。台灣領先的 YouTuber 經紀公司 CAPSULE GROUP,就是一個透過 UniFi 區域防火牆成功實踐零信任架構的絕佳範例。

    CAPSULE 的辦公環境非常多元,包含行政人員、影片製作團隊、以及大量來訪的創作者 (YouTuber)。他們面臨的挑戰是:如何提供高速、穩定的網路給所有人,同時確保公司核心的影片素材、財務資料與訪客網路完全隔離?

    蓋斯克科技的團隊進場後,第一步就是重新進行網路的「身分劃分」,並利用 UniFi 的區域防火牆功能,建立了 4 個主要的隔離區域:

    • Corporate 區:供內部正職員工使用,可以存取公司內部的檔案伺服器 (NAS) 和印表機。此區域內的設備之間可以進行有限度的通訊,以利協同作業。
    • Creator 區 (Hotspot):專為來訪的創作者和合作夥伴設計的獨立 Wi-Fi。此區域被設定為「Hotspot」模式,與公司內部網路完全隔離,僅提供高速的網際網路存取。即使創作者的筆電有病毒,也無法感染到 CAPSULE 的內部網路。
    • Production 區 (DMZ):放置影片剪輯工作站和渲染伺服器。這個區域被設定為 DMZ,它無法主動連線到 Corporate 區,但 Corporate 區的管理者可以連線進來進行維護。這確保了核心的生財工具受到嚴格保護。
    • Management 區:一個極度受限的網路,只用來放置網路設備(如交換器、AP)的管理介面。只有 IT 人員的特定電腦才能存取此區域。

    透過這樣的規劃,CAPSULE GROUP 成功地在一個超過 150 人的辦公空間中,打造了一個既開放又安全的網路環境。創作者可以享受無縫的網路體驗,而公司的核心資產則在多層防護下高枕無憂。這就是零信任架構在真實世界中的價值。

    影響防火牆規劃複雜度的 3 大因素

    導入區域防火牆與零信任架構,並非一體適用。規劃的複雜度與所需時間,主要取決於以下 3 個因素:

    (一)設備種類與數量

    一個只有電腦和手機的單純辦公室,跟一個擁有大量 IoT 感應器、產線機台 (PLC)、IP 攝影機的智慧工廠,其網路分段的複雜度是天壤之別。設備種類越多,需要規劃的 VLAN 和防火牆區域就越多,規則也越精細。通常,設備種類超過 5 種以上時,複雜度就會呈倍數增長。

    (二)跨網段通訊需求

    如果不同部門或區域之間完全不需要通訊,那防火牆設定相對簡單,大多是阻擋規則。但如果業務部門的 CRM 系統需要存取會計部門的資料庫,或者中控室的電腦需要監看所有廠區的攝影機畫面,這就需要建立非常精確的「允許」規則,明確定義來源、目的、埠口,規劃難度至少增加 2-3 倍。

    (三)現有網路架構的包袱

    在一張白紙上規劃新網路,遠比改造一個已經運行多年的混亂網路要容易。如果現有網路沒有 VLAN 規劃,所有設備都在同一個廣播域,IP 位址混亂,要導入零信任就必須先進行大規模的網路重構。這種「邊開飛機邊換引擎」的專案,其難度與風險最高,事後調整的成本往往是事前規劃的 3-5 倍。

    立即開始:你的網路安全值得零信任架構

    UniFi 區域防火牆提供了一個強大且相對容易上手的工具,讓中小企業也能享受到過去只有大型企業才能負擔的網路分段與進階安全防護。然而,工具本身並不能保證安全,關鍵在於背後的規劃與思維。

    從預設的「全部允許」轉變為「預設拒絕」的零信任思維,是提升企業網路安全等級的關鍵一步。這不僅是技術升級,更是安全文化的轉變。

    如果你不確定該從何開始,或擔心錯誤的設定會導致網路中斷,蓋斯克科技的專業團隊可以協助你。我們能為你的企業進行全面的網路健檢,設計符合需求的零信任架構,並協助你導入 UniFi 區域防火牆,打造一個真正安全、高效的網路環境。歡迎與我們聯絡,進行初步諮詢。

    結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。

    推薦閱讀


    企業內網隔離設定或 UniFi 零信任架構需要協助?

    蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

    IT 委外服務 免費預約諮詢

    02-2717-1019 LINE:@zonetech

    更多關於UniFi 區域防火牆設定教學的常見問題FAQ

    Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

    UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

    Q2:為什麼 UniFi 預設的 Internal 區域不安全?

    UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

    Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

    兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

    Q4:設定防火牆時,「反向阻擋」是什麼意思?

    「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

    Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

    這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

    參考資料

    UniFi 區域防火牆設定教學:實踐零信任網路隔離

    「資安報告顯示,我們一台 IoT 溫控感應器,竟然嘗試連線到財務部門的 NAS!」IT 主管在會議上報告,臉色凝重。多數人都以為防火牆只要擋住外來的駭客就好,卻忽略了最大的威脅,往往來自已經在內部的設備。

    你的網路攝影機,真的只能存取錄影主機嗎?訪客連上的 Wi-Fi,真的和公司核心網路完全隔離了嗎?如果這些問題你無法肯定回答,代表你的內部網路可能正處於「門戶大開」的風險之中。

    這篇文章,就是為了解決這個問題而寫的。我們將深入探討 UniFi 系統中強大但常被誤解的功能:區域防火牆 (Zone-Based Firewall)。它能幫你從根本上改變網路安全思維,從傳統的「邊界防禦」轉向更安全的「零信任 (Zero Trust)」架構。

    本文將涵蓋:

    • 區域防火牆與傳統防火牆的根本差異
    • 零信任架構的核心概念與必要性
    • 針對員工、訪客、IoT、伺服器的 4 大區域隔離策略
    • 鎖死網關(Gateway)存取的關鍵防火牆規則設定
    • 3 個最常見的 UniFi 防火牆設定錯誤與解決方案

    這篇文章特別適合以下讀者:

    • 企業 IT 管理人員:希望強化公司內部網路安全,防止勒索軟體橫向移動。
    • 系統整合商/弱電廠商:需要為客戶規劃更安全的 UniFi 網路架構。
    • 使用 UniFi 的進階使用者:想發揮 UniFi 設備的完整潛力,而不只是讓它能上網。
    為什麼 UniFi 預設防火牆不夠安全?3 個你該知道的風險 案場實景照
    為什麼 UniFi 預設防火牆不夠安全?3 個你該知道的風險

    為什麼 UniFi 預設防火牆不夠安全?3 個你該知道的風險

    UniFi 區域防火牆實踐零信任隔離的關鍵有三件事:(1) 每個 VLAN 視為不信任區域——即使是內部網路,VLAN 間預設拒絕所有流量,僅允許必要服務;(2) 使用 Traffic Rules 而非 Firewall Rules——UniFi 的 Traffic Rules 介面更直觀,設定 VLAN 隔離不需要手動寫 ACL;(3) 記錄拒絕流量——啟用 Firewall Log,定期審視被拒絕的連線嘗試,提早發現異常。零信任架構可阻擋單一中毒裝置橫向感染的 80% 攻擊路徑。

    Ubiquiti UniFi 為了讓使用者能「隨插即用」,預設的防火牆策略採用了極為寬鬆的「全部允許 (Allow All)」原則。這雖然方便了初次設定,卻也埋下了 3 個嚴重的安全隱患。

    (一)預設的「Internal」區域:一個沒有隔間的大通鋪

    當你在 UniFi Controller 中建立一個新的網路(VLAN),如果沒有特別指定,它會自動被歸類到一個名為「Internal (內部)」的預設區域。在這個區域裡,所有網路之間預設是互相信任、可以自由通訊的。

    這就像把員工電腦、伺服器、IP 電話、甚至是訪客臨時使用的網路,全部都放在一個沒有任何隔間的大通鋪裡。一旦其中一台電腦中毒,病毒就能輕易地在內部網路橫向移動 (Lateral Movement),感染其他所有設備。根據 Varonis 的 2023 年資安報告,高達 75% 的企業存在數千個過度寬鬆的內部權限,成為駭客橫向移動的溫床。

    (二)網關(Gateway)門戶大開:管理後台的致命破口

    一個更常被忽略的致命傷,是所有 Internal 區域內的設備,預設都擁有對 UniFi 網關(例如 UDM-Pro 或 USG)的完整存取權限。這不僅僅是能 Ping 到網關而已,而是可以直接存取網關的管理服務埠口,例如:

    • SSH (Port 22)
    • Web 管理介面 (Port 80/443)
    • UniFi Controller 通訊埠 (Port 8080)

    這代表任何一台在內部網路的設備,無論是員工筆電還是 IoT 攝影機,都能直接嘗試登入你的網路核心設備。這給了駭客或惡意程式一個絕佳的攻擊機會。

    (三)「隔離網路」選項的誤解:只防君子,不防駭客

    很多人會說:「我已經在網路設定裡勾選了『隔離網路 (Isolate Network)』,這樣應該安全了吧?」

    答案是:不夠安全。這個選項的確能阻止「同一個網路內」的設備互相通訊,但它有兩個主要限制:

    • 無法阻止跨網段存取:它只在單一 VLAN 內生效。如果你的員工網路 (VLAN 10) 和伺服器網路 (VLAN 20) 都在 Internal 區域,即便兩邊都勾了隔離,它們之間依然可以互相存取。
    • 無法阻止存取網關:最關鍵的是,勾選「隔離網路」完全不會阻止該網路內的設備存取網關的管理介面。你的安全破口依然存在。

    要解決這些問題,我們必須拋棄傳統的設定思維,擁抱「區域防火牆」的設計邏輯。

    傳統 Rule-Based vs. UniFi 區域防火牆:從清單到地圖的思維轉 案場實景照
    傳統 Rule-Based vs. UniFi 區域防火牆:

    傳統 Rule-Based vs. UniFi 區域防火牆:從清單到地圖的思維轉變

    要理解 UniFi 區域防火牆的強大之處,得先了解它跟傳統防火牆的根本差異。這不只是介面不同,而是管理邏輯的全面升級。

    (一)傳統 Rule-Based 防火牆:冗長的存取控制清單 (ACL)

    傳統防火牆的管理方式,就像一份極度冗長的「存取控制清單 (Access Control List, ACL)」。管理員需要針對每一條連線,明確定義來源 IP、目的 IP、通訊埠和允許/拒絕的動作。

    想像一下,公司有 5 個部門 VLAN 和 3 個伺服器 VLAN。如果我們要禁止所有部門存取「財務伺服器」,但在允許「人資部門」存取「HR 伺服器」,你需要寫下數十條規則。當網路規模擴大到 20 個 VLAN 時,規則數量可能暴增到數百條,變得極難維護和除錯,只要一條規則寫錯,就可能產生安全漏洞。

    (二)UniFi 區域防火牆:直觀的網格矩陣管理

    UniFi 的區域防火牆則引入了一個「區域 (Zone)」的抽象層。你可以把它想像成是給網路分組,貼上標籤。例如:

    • 員工區域 (Corp_Zone):包含業務部、行銷部、工程部等 VLAN。
    • 訪客區域 (Guest_Zone):包含訪客 Wi-Fi 的 VLAN。
    • 物聯網區域 (IoT_Zone):包含網路攝影機、溫控器、門禁系統的 VLAN。
    • 伺服器區域 (Server_Zone):包含公司內部伺服器的 VLAN。

    分好組之後,你不再是針對單一 IP 或網段寫規則,而是定義「區域」與「區域」之間的關係。例如,你可以建立一條簡單的規則:「阻擋所有從 IoT_ZoneCorp_Zone 的流量」。

    這條規則就自動套用到所有在 IoT 區域內的設備,無論未來你新增多少 IoT 設備或 VLAN,只要把它們歸類到 IoT_Zone,規則就會自動生效。管理方式從一維的清單,變成了二維的網格地圖,策略更清晰,也更容易擴展。

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思? 案場實景照
    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    零信任是什麼?為什麼「內部網路=可信任」是危險的迷思?

    在深入設定之前,我們必須先建立一個核心觀念:零信任 (Zero Trust)。

    傳統的網路安全模型,就像一座中世紀的城堡。它有厚實的城牆(防火牆)和護城河,用來抵禦外敵。但一旦敵人混進城內,就可以在城裡四處遊走,因為城內的居民彼此是信任的。這就是所謂的「邊界防禦模型」。

    零信任架構則徹底打破了這個思維。它的核心原則是「永不信任,一律驗證 (Never Trust, Always Verify)」。它假設威脅無所不在,無論是來自外部還是內部。在這個模型中,處於網路上的位置,並不代表擁有存取權限。

    這就像一座現代化的辦公大樓,你刷卡進了大門,但要進入不同部門的辦公室、會議室、機房,每一道門都需要再次刷卡驗證身份與權限。即使你已經在「內部」,也只能存取你被授權的最小範圍資源。

    UniFi 的區域防火牆,正是實踐這種「內部隔離」的絕佳工具。透過將不同功能的設備劃分到不同區域,並預設阻擋所有非必要的通訊,我們就能在網路層級建立起一道道「看不見的牆」,大幅提高內部安全性。

    實踐零信任的 4 大區域隔離策略 案場實景照
    實踐零信任的 4 大區域隔離策略

    實踐零信任的 4 大區域隔離策略

    要打造一個零信任網路,第一步就是進行策略性的「分區」。以下是針對四種常見設備類型,我們建議的區域劃分與隔離邏輯。

    (一)訪客 (Guest/BYOD) 隔離區:放入「Hotspot」區域

    設計邏輯:訪客或員工自帶設備 (BYOD) 的網路,其安全性完全未知,必須給予最嚴格的隔離。

    UniFi 設定:將訪客 Wi-Fi 對應的 VLAN,其區域設定為 UniFi 內建的「Hotspot (熱點)」區域。

    安全優勢:Hotspot 區域有 3 個強大的預設安全特性:

    • 完全阻擋對內存取:預設無法存取任何被歸類在 Internal、DMZ 或其他自訂區域的網路。
    • 嚴格限制網關存取:僅開放網路連線所需的最基本服務 (如 DHCP),完全無法存取管理介面。
    • 區域內互不相通:Hotspot 區域內的不同網路(或同網路內的不同使用者)預設也是互相隔離的,防止訪客之間互相攻擊。

    (二)物聯網 (IoT) 設備隔離區:放入「DMZ」區域

    設計邏輯:IoT 設備(如攝影機、感應器、智慧門鎖)通常韌體更新慢、安全性較低,是駭客最愛攻擊的目標之一。它們只需要連上網路和特定的控制器,完全不需要存取公司內部網路。

    UniFi 設定:將所有 IoT 設備所在的 VLAN,其區域設定為「DMZ (非軍事區)」。

    安全優勢:DMZ 區域和 Hotspot 類似,預設無法存取內部網路。但它有一個關鍵差異:內部網路(如 Internal 或自訂的 Corp 區域)可以「主動發起」連線到 DMZ 區域的設備,但 DMZ 設備無法反向連回內部。這非常適合需要由中控主機去輪詢 IoT 設備狀態的情境。此外,DMZ 區域內的網路彼此也是預設阻擋 (block all) 的,有效防止設備被駭後在區網內橫向移動。

    (三)員工與核心設備:移入「自訂安全區域」

    設計邏輯:這是最重要的一步。絕對不要將員工電腦、VoIP 電話、印表機等核心設備留在預設的「Internal」區域。我們需要建立一個新的、規則更嚴格的自訂區域。

    UniFi 設定

    1. 在防火牆設定中,建立一個新的「自訂區域」,例如命名為「Corporate」。
    2. 將所有員工、核心設備所在的 VLAN,全部從預設的 Internal 區域,改為指派到這個新的「Corporate」區域。

    安全優勢:當你使用自訂區域時,預設的防火牆規則會比 Internal 嚴格許多。區域內的網路之間預設無法互相通訊,你必須手動建立「允許 (Allow)」規則,才能放行必要的流量。這就是「預設拒絕 (Default Deny)」的安全原則,也是零信任的基礎。

    (四)伺服器與管理介面:建立專屬的「伺服器區域」

    設計邏輯:公司的核心資產,如檔案伺服器、資料庫、以及各種設備的管理介面 (如 IPMI),需要最高等級的保護。

    UniFi 設定:同樣地,建立一個名為「Servers」的自訂區域,並將所有伺服器所在的 VLAN 移入此區。

    安全優勢:透過專屬區域,你可以建立極度精細的存取規則。例如:

    • 只允許「Corporate」區域的特定 IP(如 IT 主管的電腦)透過 Port 3389 (RDP) 存取 Windows Server。
    • 只允許「Corporate」區域的會計部門網段,存取「Servers」區域財務伺服器的 Port 445 (SMB)。
    • 全面禁止「IoT」和「Guest」區域對「Servers」區域的任何存取。

    透過這 4 大區域劃分,你的網路就從一個平面通鋪,變成了一個擁有多重安全檢查點的立體堡壘。

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟 案場實景照
    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    防火牆設定實戰:鎖死網關存取的 3 個關鍵步驟

    完成了區域劃分,接下來的關鍵就是設定防火牆規則,徹底封鎖前面提到的「網關後門」。以下設定建議在「LAN In」規則集底下操作,因為這是處理內部跨 VLAN 流量的地方。

    步驟一:建立「反向阻擋」規則,只允許 DNS/DHCP

    這是鎖死網關最有效、也最優雅的方法。我們的目標是:阻擋所有從自訂區域(如 Corporate)到網關的連線,但只放行網路運作所必需的 DNS 和 DHCP 服務。

    操作方法

    • Action: Drop (丟棄)
    • Source: 選擇你的自訂區域,例如「Corporate」。
    • Destination: 選擇「Gateway」。
    • Port/IP Group: 建立一個包含 Port 53 (DNS) 和 Port 67 (DHCP) 的群組。
    • Advanced: 勾選「Match Opposite on Port/IP Group」。

    這個「反向配對 (Match Opposite)」是關鍵。它的意思是:「當目的為網關時,如果目的埠口『不是』53 或 67,就執行 Drop 動作」。這一條規則,就能有效地用白名單的邏輯,封鎖所有對網關管理介面的未授權存取,安全效能提升超過 90%。

    步驟二:建立 ICMP 允許規則,方便網路排錯

    在一個預設阻擋所有流量的嚴格環境中,如果連 Ping 都不通,網路出問題時會非常難以排查。因此,我們建議在所有規則的最頂端,建立一條允許 Ping (ICMP 協定) 的規則。

    操作方法

    • Action: Accept (接受)
    • Protocol: 選擇 ICMP。
    • Source/Destination: 可以設定為允許從特定管理網段 Ping 所有內部網路。

    由於 UniFi 防火牆規則是「由上而下 (top-down)」依序執行的,把這條放在最上面,可以確保你在不影響其他安全規則的情況下,保有最基本的網路診斷能力。這條規則的執行順序編號應小於 2000,以確保優先執行。

    步驟三:阻擋對外 RFC 1918 私有 IP 請求,防止 VPN 路由外洩

    這是一個進階但重要的安全設定。如果你的 UniFi 網關有設定 VPN Client 連到外部服務,預設情況下,內部網路的流量可能會被錯誤地路由到 VPN 另一端的私有網段 (Private IP),造成資訊外洩。

    我們可以建立一條規則,阻擋內部網路向「外部區域 (External)」發送前往私有 IP 網段的請求。UniFi 內建了一個名為「RFC1918」的 IP 群組,包含了所有私有網段 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)。

    操作方法

    • Action: Drop (丟棄)
    • Source: 你的內部網路區域 (如 Corporate)。
    • Destination: IP/Port Group 選擇「RFC1918」。
    • Advanced: 確保這條規則只作用於流向「External」區域的流量。

    這條規則不會影響你內部 VLAN 之間的正常通訊,因為 inter-VLAN 路由是在網關層級處理的,不屬於流向「External」區域的流量。

    最常見的 3 個 UniFi 防火牆設定錯誤 案場實景照
    最常見的 3 個 UniFi 防火牆設定錯誤

    最常見的 3 個 UniFi 防火牆設定錯誤

    理論和實作之間總有差距。根據我們的經驗,許多管理者在設定 UniFi 防火牆時,會陷入以下 3 個常見的迷思與錯誤。

    錯誤一:過度依賴「隔離網路」選項,以為萬無一失

    再次強調,在網路設定中勾選「隔離網路 (Isolate Network)」或「客戶端隔離 (Client Isolation)」,其作用非常有限。它主要用於防止同一個 Wi-Fi AP 或同一個 VLAN 下的用戶端互相通訊,例如在咖啡廳防止顧客 A 攻擊顧客 B 的筆電。

    它完全無法阻止跨 VLAN 的通訊,也無法阻止設備存取網關的管理介面。把它當作安全防護的唯一手段,無異於只鎖了房門,卻忘了關上窗戶。真正的安全隔離,必須透過我們前面提到的「區域防火牆」規則來實現。

    錯誤二:忽略 mDNS 造成的跨網段安全風險

    mDNS (Multicast DNS) 是一個方便的功能,它允許設備(如 Apple TV、Chromecast、網路印表機)在不同 VLAN 之間被探索和發現。但在不需要它的網路上開啟,就等於打開了一個不必要的廣播通道。

    例如,在 IoT 網路或伺服器網路上開啟 mDNS,不僅沒有任何好處,還可能洩漏設備資訊,增加被攻擊的風險。你應該只在確實有需求的網路上(例如,員工網路需要找到會議室的投影設備)才開啟它,並且透過防火牆規則,嚴格限制哪些設備可以發起和回應 mDNS 查詢。一般來說,只有不到 10% 的企業網路情境真正需要開啟 mDNS。

    錯誤三:所有網路都塞在預設 Internal 區域,貪圖一時方便

    這是最懶惰也最危險的做法。為了節省建立自訂區域和防火牆規則的幾分鐘時間,而將所有網路——無論是員工、訪客、伺服器還是 IoT——全部丟在預設的 Internal 區域。這等於是自廢武功,放棄了 UniFi 強大的區域隔離能力。

    事後補救的成本,往往是事前規劃的 5-10 倍。當資安事件發生,你需要花費大量時間去追查攻擊路徑、清理受感染的設備時,才會後悔當初為什麼沒有做好最基本的網路分段。一個好的網路架構,從一開始就應該採取「預設拒絕」的零信任原則。

    蓋斯克科技工程師與CAPSULE GROUP IT主管在機房討論零信任網路架構導入方案
    工程師與客戶檢視零信任區域防火牆規劃。

    蓋斯克科技如何協助 CAPSULE GROUP 導入零信任架構?

    紙上談兵不如實際案例。台灣領先的 YouTuber 經紀公司 CAPSULE GROUP,就是一個透過 UniFi 區域防火牆成功實踐零信任架構的絕佳範例。

    CAPSULE 的辦公環境非常多元,包含行政人員、影片製作團隊、以及大量來訪的創作者 (YouTuber)。他們面臨的挑戰是:如何提供高速、穩定的網路給所有人,同時確保公司核心的影片素材、財務資料與訪客網路完全隔離?

    蓋斯克科技的團隊進場後,第一步就是重新進行網路的「身分劃分」,並利用 UniFi 的區域防火牆功能,建立了 4 個主要的隔離區域:

    • Corporate 區:供內部正職員工使用,可以存取公司內部的檔案伺服器 (NAS) 和印表機。此區域內的設備之間可以進行有限度的通訊,以利協同作業。
    • Creator 區 (Hotspot):專為來訪的創作者和合作夥伴設計的獨立 Wi-Fi。此區域被設定為「Hotspot」模式,與公司內部網路完全隔離,僅提供高速的網際網路存取。即使創作者的筆電有病毒,也無法感染到 CAPSULE 的內部網路。
    • Production 區 (DMZ):放置影片剪輯工作站和渲染伺服器。這個區域被設定為 DMZ,它無法主動連線到 Corporate 區,但 Corporate 區的管理者可以連線進來進行維護。這確保了核心的生財工具受到嚴格保護。
    • Management 區:一個極度受限的網路,只用來放置網路設備(如交換器、AP)的管理介面。只有 IT 人員的特定電腦才能存取此區域。

    透過這樣的規劃,CAPSULE GROUP 成功地在一個超過 150 人的辦公空間中,打造了一個既開放又安全的網路環境。創作者可以享受無縫的網路體驗,而公司的核心資產則在多層防護下高枕無憂。這就是零信任架構在真實世界中的價值。

    影響防火牆規劃複雜度的 3 大因素

    導入區域防火牆與零信任架構,並非一體適用。規劃的複雜度與所需時間,主要取決於以下 3 個因素:

    (一)設備種類與數量

    一個只有電腦和手機的單純辦公室,跟一個擁有大量 IoT 感應器、產線機台 (PLC)、IP 攝影機的智慧工廠,其網路分段的複雜度是天壤之別。設備種類越多,需要規劃的 VLAN 和防火牆區域就越多,規則也越精細。通常,設備種類超過 5 種以上時,複雜度就會呈倍數增長。

    (二)跨網段通訊需求

    如果不同部門或區域之間完全不需要通訊,那防火牆設定相對簡單,大多是阻擋規則。但如果業務部門的 CRM 系統需要存取會計部門的資料庫,或者中控室的電腦需要監看所有廠區的攝影機畫面,這就需要建立非常精確的「允許」規則,明確定義來源、目的、埠口,規劃難度至少增加 2-3 倍。

    (三)現有網路架構的包袱

    在一張白紙上規劃新網路,遠比改造一個已經運行多年的混亂網路要容易。如果現有網路沒有 VLAN 規劃,所有設備都在同一個廣播域,IP 位址混亂,要導入零信任就必須先進行大規模的網路重構。這種「邊開飛機邊換引擎」的專案,其難度與風險最高,事後調整的成本往往是事前規劃的 3-5 倍。

    立即開始:你的網路安全值得零信任架構

    UniFi 區域防火牆提供了一個強大且相對容易上手的工具,讓中小企業也能享受到過去只有大型企業才能負擔的網路分段與進階安全防護。然而,工具本身並不能保證安全,關鍵在於背後的規劃與思維。

    從預設的「全部允許」轉變為「預設拒絕」的零信任思維,是提升企業網路安全等級的關鍵一步。這不僅是技術升級,更是安全文化的轉變。

    如果你不確定該從何開始,或擔心錯誤的設定會導致網路中斷,蓋斯克科技的專業團隊可以協助你。我們能為你的企業進行全面的網路健檢,設計符合需求的零信任架構,並協助你導入 UniFi 區域防火牆,打造一個真正安全、高效的網路環境。歡迎與我們聯絡,進行初步諮詢。

    結論:透過自訂區域、反向阻擋與精細規則,UniFi 區域防火牆是實現零信任、杜絕橫向移動的關鍵第一步。

    推薦閱讀


    企業內網隔離設定或 UniFi 零信任架構需要協助?

    蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。

    IT 委外服務 免費預約諮詢

    02-2717-1019 LINE:@zonetech

    更多關於UniFi 區域防火牆設定教學的常見問題FAQ

    Q1:什麼是 UniFi 區域防火牆?跟傳統防火牆有何不同?

    UniFi 區域防火牆 (Zone-Based Firewall) 是一種更現代化的網路安全管理方式。傳統防火牆依賴冗長的規則清單 (ACL),針對單一 IP 或網段進行設定,當網路規模變大時,規則會變得極難維護。nn區域防火牆則是先將功能或信任等級相似的網路(VLAN)群組化為一個「區域 (Zone)」,例如「員工區」、「訪客區」、「IoT 區」。之後,管理者只需設定「區域」與「區域」之間的存取關係,例如「禁止 IoT 區存取員工區」。這種方式更直觀、更具擴展性,能大幅簡化管理複雜度,並從宏觀角度落實安全策略。

    Q2:為什麼 UniFi 預設的 Internal 區域不安全?

    UniFi 為了方便使用者快速設定,預設將所有新建網路都歸類在「Internal (內部)」區域,並採用「全部允許 (Allow All)」的寬鬆策略。這會帶來兩大風險:nn1. **內部橫向移動**:所有在 Internal 區域的網路預設可以互相通訊。一旦其中一台設備中毒,病毒就能輕易地在內部網路擴散,感染其他電腦或伺服器。n2. **網關門戶大開**:Internal 區域內的任何設備,預設都可以直接存取 UniFi 網關的管理介面,如 SSH (Port 22) 和網頁後台 (Port 443),這給了駭客攻擊網路核心設備的機會。因此,實踐零信任的第一步,就是將設備移出 Internal 區,改用規則更嚴格的自訂區域。

    Q3:IoT 設備應該放在哪個區域?DMZ 還是 Hotspot?

    兩者都是安全的選擇,但適用情境略有不同。Hotspot 區域的隔離性最強,它預設阻擋所有對內部的連線,且區域內的設備也互相隔離,適合完全獨立運作的設備,例如訪客 Wi-Fi。nnDMZ (非軍事區) 區域同樣阻擋對內存取,但允許內部網路「主動」發起連線到 DMZ 內的設備。這非常適合需要由中控主機(位於內部網路)去輪詢或管理 IoT 設備(位於 DMZ)的情境,例如 NVR 主機需要存取 IP 攝影機。如果你的 IoT 設備不需要被內部網路存取,放在 Hotspot 區會更安全;如果需要,則 DMZ 是更合適的選擇。

    Q4:設定防火牆時,「反向阻擋」是什麼意思?

    「反向阻擋 (Inverted Block)」或稱「反向配對 (Match Opposite)」是 UniFi 防火牆中一個非常強大的功能。它讓你可以用「白名單」的邏輯來建立「阻擋」規則,大幅簡化設定。nn舉例來說,若要鎖死網關,傳統做法是建立數十條規則來一一阻擋 Port 22, 80, 443 等管理埠口。使用反向阻擋,你只需建立一條「Drop (丟棄)」規則,然後在埠口設定中選擇必要的服務(如 Port 53 DNS、Port 67 DHCP),並勾選「Match Opposite」。這條規則的意思就變成:「凡是目的埠口『不是』53 或 67 的連線,一律丟棄」。用一條規則就達成了保護網關的目標,非常高效。

    Q5:我已經隔離了網路,為什麼還是能連到 UniFi 的管理後台?

    這是一個非常常見的誤解。在 UniFi 網路設定中勾選「隔離網路 (Isolate Network)」或在 Wi-Fi 設定中啟用「客戶端隔離 (Client Isolation)」,其主要作用是防止「同一個 VLAN 或同一個 AP 下」的設備互相通訊。它並不能阻止該網路內的設備去存取 UniFi 網關 (Gateway) 本身。nn要徹底阻擋對管理後台的存取,你必須使用「區域防火牆」規則。正確的做法是將該網路從預設的 Internal 區域移出,放到一個自訂的嚴格區域,然後建立一條防火牆規則,明確地「Drop (丟棄)」所有從該區域到網關的連線,只例外允許 DNS、DHCP 等必要服務通過。

    參考資料

    蓋斯克科技

    企業級網路規劃
    電話:02-27171019
    商家:https://g.page/zonetech-tw
    地址:10491臺北市中山區建國北路二段125號4樓

    分享至Facebook

    精選文章

    Aruba 倉儲 Wi-Fi 設計怎麼做?AirMatch / ClientMatch 自動化路線 vs Cisco 手動規劃完整對照(2026)

    依據 HPE Aruba 官方 Warehouse Design Guide、AOS-10 與 AirMatch / ClientMatch 文件整理:Aruba AP 選型(AP-655 / AP-518 / AP-577)、內建 vs 外接 connectorized 判斷、AP 掛點高度物理學、Aruba 自動化路線 vs Cisco 手動規劃完整對照表、AOS-10 規模臨界點(500 AP / 5000 client)。整合蓋斯克科技 200+ 企業實戰部署經驗。

    物流中心 WiFi 規劃:24/7 不中斷的高可靠性架構設計指南

    揀貨高峰期,掃描槍頻繁斷線?AGV 走到貨架深處就失聯?本篇完整解析物流中心 WiFi 規劃,從 4 層高可靠性備援架構、工業級 AP 與商用 AP 的選型差異,到冷凍庫(-20°C)等極端環境的特殊需求。蓋斯克科技憑藉 200+ 企業 WiFi 建置案例,助您打造 24/7 不中斷、AGV 漫遊順暢、盤點效率提升 40% 的高效無線網路。