UniFi 防火牆安全設定指南:用最精簡預算,打造企業級資安設備
「新裝的 UniFi 設備跑得又快又順,設定簡單,開箱即用,真是太方便了!」當你的 IT 團隊完成新網路建置,沉浸在順暢體驗的同時,一個潛在的資安風暴可能正在悄悄醞釀。你可能不知道,為了追求這種「方便」,UniFi 的預設防火牆規則幾乎是門戶大開,讓訪客網路的裝置可能輕易存取到你最核心的伺服器。
這種「預設全通」(Allow All)的哲學,雖然簡化了初次設定,卻也為勒索軟體和內部威脅的橫向移動鋪平了道路。一旦任何一台電腦失守,攻擊者就能在你的內網中暢行無阻。
本文將為你揭露 UniFi 防火牆中 5 個最危險的預設值,並提供一套從零到一的企業級安全強化指南。我們將從「零信任」(Zero Trust)的角度出發,教你如何透過區域防火牆(Zone-Based Firewall)、反向阻擋規則、MAC 位址綁定等實戰技巧,將你的網路從一個過度信任的環境,改造成一個最小權限、預設阻擋的安全堡壘。
這篇文章特別適合以下三類讀者:
- 中小企業的 IT 主管或網管人員:希望強化現有 UniFi 網路,卻不知從何下手的你。
- 系統整合(SI)廠商的工程師:需要為客戶導入兼具效能與安全的 UniFi 解決方案的你。
- 正在評估或導入 UniFi 設備的資安顧問:希望深入了解 UniFi 底層安全架構與設定細節的你。

UniFi 防火牆的 5 大危險預設值:為何「開箱即用」等於門戶大開?
UniFi 防火牆安全設定的關鍵有三件事:(1) 啟用 IDS/IPS 入侵偵測——即時分析流量特徵,阻擋已知勒索病毒與 C2 通訊,建議選 Balanced 模式避免影響速度;(2) 設定嚴格的 WAN 輸入規則——預設拒絕所有從外部主動發起的連線,僅開放必要的服務埠;(3) VLAN 間流量管控——訪客 VLAN 不應能存取內部伺服器與 NAS。FortiGate 60F 適合 50 人以下,預算約 NT$15,000–25,000(含 1 年授權)。
UniFi 為了讓使用者能快速完成設定並讓設備上網,採取了極為寬鬆的預設規則。這些規則雖然方便,但在企業環境中卻等同於將內部網路的安全防護降到最低。以下是 5 個最需要立即修正的危險預設項目:
(一)內部網路預設互通:VLAN 隔離形同虛設
當你在 UniFi Controller 中建立新的網路(VLAN)時,它們預設會被分配到「內部區域(Internal Zone)」。這個區域的預設規則是允許所有內部網路之間互相通訊(Internal can talk to internal)。
這代表什麼?你精心規劃的「行政部 VLAN」、「研發部 VLAN」和「訪客 VLAN」之間,預設是完全沒有隔離的。訪客筆電上的病毒,理論上可以直接掃描並攻擊到你研發部門的伺服器。這種設定讓 VLAN 的主要安全功能——網路隔離——完全失效。
(二)網關管理介面完全開放:內網直通心臟地帶
更危險的是,內部區域對 UniFi 網關(Gateway)本身具有「允許所有流量(Allow all)」的設定。這會導致網關的 SSH(Port 22)、網頁管理介面(Port 443、8443)以及其他管理埠(Port 80、8080),對內部網路中的所有裝置完全敞開。
任何一個內網的員工或訪客,只要知道網關 IP,就可以直接嘗試登入你的網路核心設備。如果你的設備密碼不夠複雜或使用預設密碼,整個網路就可能在幾分鐘內被完全接管。
(三)「隔離網路」選項的致命盲點:只能防君子,防不了駭客
許多網管人員會勾選建立網路時的「隔離網路(Isolate Network)」選項,並認為這樣就安全了。這是一個嚴重的誤解。
這個功能僅能將該網路與「其他內部網路」隔離,但**完全無法阻擋該網路內的裝置存取網關(UniFi 設備本身)的管理介面**。換句話說,即便在隔離的訪客網路上,有心人士依然可以直接連線到你網關的 Port 22 或 Port 443,這為暴力破解攻擊提供了絕佳的機會。
(四)VPN 預設對內網全面開放:遠端連線變成最大破口
當你為了方便遠端辦公而設定 VPN 服務時,UniFi 預設會在 VPN 網路與內部網路之間,建立一條**雙向的「允許所有流量(Allow all)」規則**。這表示,一旦 VPN 使用者的電腦中毒,病毒就能暢行無阻地橫向感染到公司內部的所有伺服器和電腦,反之亦然。
一個安全的 VPN 設計,應該只開放必要的服務和最小的存取權限,而不是直接將整個內網暴露給遠端連線者。
(五)外部 VPN Client 可被內網存取:內網流量外洩風險
如果你的 UniFi 系統設定為 VPN 用戶端(VPN Client),用來連接到總部或其他分支機構,該 VPN 連線會被歸類在「外部區域(External Zone)」。預設情況下,內部網路被允許存取所有的外部區域。
這會導致一個潛在的路由問題:內部裝置可以毫無阻礙地存取 VPN 另一端的私人 IP 網段(例如 192.168.x.x)。如果沒有特別建立阻擋規則(例如阻擋 RFC1918 私人 IP 範圍),敏感的內部流量可能會被錯誤地路由到外部 VPN 網路上,造成資訊外洩。
安全態勢大對決:UniFi 預設「全部允許」vs. 零信任「預設阻擋」
要理解如何修正上述問題,我們必須先了解兩種截然不同的防火牆設計哲學:
(一)預設允許(Default Allow):方便至上,安全其次
這就是 UniFi 的預設策略。它的邏輯是:「預設情況下,允許所有流量通過,除非你明確建立一條規則去阻擋它。」
這種做法就像一棟辦公大樓,預設所有辦公室的門都是敞開的,任何人都可以自由進出,只有當你覺得某間辦公室特別重要時,才會去手動把它鎖上。這種方式雖然方便,但只要你忘記鎖任何一扇門,就會留下安全漏洞。
(二)預設阻擋(Default Block):零信任,安全優先
這是企業級防火牆和零信任(Zero Trust)架構的核心精神。它的邏輯是:「預設情況下,阻擋所有流量,除非你明確建立一條規則去允許它。」
同樣以辦公大樓比喻,這就像所有辦公室的門預設都是上鎖的。你需要為每個員工、每項任務,精準地發放「只允許進入特定房間」的鑰匙。雖然初期設定比較繁瑣,但它從根本上杜絕了未經授權的存取,安全性遠高於前者。
我們的目標,就是將你的 UniFi 防火牆從「預設允許」的思維,徹底轉換為「預設阻擋」的零信任架構。

UniFi 安全強化 4 步驟:從零打造零信任網路架構
接下來,我們將一步步帶你完成設定。這個過程的核心是利用「區域防火牆(Zone-Based Firewall)」來精準控制流量。
步驟一:更改預設安全態勢,建立自訂區域
首先,我們要改變遊戲規則。與其依賴危險的「內部區域」,不如建立一個我們能完全掌控的新區域。
- 更改預設行為:進入防火牆設定,將預設的安全態勢從「允許所有(Allow All)」更改為「阻擋所有(Block All)」。這確保未來建立的任何新網路,預設都是被隔離的。
- 建立自訂區域:建立一個新的防火牆區域,例如命名為「公司區域(Corporate Zone)」。這個新區域預設是嚴格的,不會有任何隱藏的允許規則。
- 遷移現有網路:將你現有的電腦網路、VoIP 網路、伺服器網路等,全部從預設的「內部區域」遷移到新建的「公司區域」。
重要提醒:絕對不要將「UniFi 網路設備(UniFi Devices)」所在的管理 VLAN 移入這個受限的自訂區域,它們必須留在原處,才能與 Controller 正常通訊。
步驟二:鎖死網關存取——用「反向阻擋規則」一勞永逸
現在,我們要解決網關管理介面暴露的問題。我們需要一條規則,能夠「阻擋所有前往網關的連線,但『除了』必要的 DNS 和 DHCP 服務」。這可以透過一條巧妙的「反向阻擋規則(Inverted Block Rule)」來實現。
首先,你需要建立一個包含 Port 53 (DNS) 和 Port 67 (DHCP) 的連接埠群組(Port Group)。
接著,建立一條新的防火牆規則,條件如下:
- 動作 (Action): 阻擋 (Block)
- 來源 (Source): 公司區域 (Corporate Zone)
- 目的地 (Destination): 網關 (Gateway)
- 連接埠群組 (Port Group): 選擇剛剛建立的 DNS/DHCP 群組
- 匹配選項 (Match Options): ✅ 勾選「反向匹配 (Match Opposite / Invert)」
這條規則的運作原理是:當流量目的地是網關時,防火牆會檢查其連接埠。因為我們勾選了「反向匹配」,所以**只有當連接埠「不是」53 或 67 時,才會觸發「阻擋」動作**。這能完美地切斷內網對 UniFi 管理介面(如 SSH、Web UI)的任何存取,同時又確保設備能正常獲取 IP 和解析網域。
步驟三:建立精細的「允許」規則——落實最小權限
在「預設阻擋」的態勢下,現在「公司區域」內的設備是無法互相通訊的。例如,行政部的電腦無法 Ping 到財務部的印表機。這正是我們想要的起點。
接下來,你必須根據實際業務需求,建立特定的「允許(Allow)」規則。例如:
- 允許「IT 管理員」的特定 IP 位址,可以存取所有網路的伺服器。
- 允許「行政部 VLAN」,可以存取「印表機 VLAN」的特定 IP 和連接埠。
- 允許「研發部 VLAN」,可以存取位於「伺服器 VLAN」的 Git Server。
每一條規則都應該遵循「最小權限原則」,只開放必要的來源、目的地和服務。這才是零信任架構中「位置不代表存取權限」的核心概念。
步驟四:阻擋外部 VPN 路由私有 IP——防止流量外洩
最後,為了防止內部流量被錯誤路由到外部 VPN,我們需要建立一條出口規則。這條規則的目的是,如果流量的目的地是外部網路(External Zone),但目標 IP 卻是內部私有 IP 位址(例如 192.168.x.x、10.x.x.x),就將其阻擋。
你可以建立一個包含 RFC 1918 所有私有 IP 範圍的 IP 群組,然後建立規則:
- 動作 (Action): 阻擋 (Block)
- 來源 (Source): 公司區域 (Corporate Zone)
- 目的地 (Destination): 選擇包含 RFC 1918 位址的 IP 群組
這可以有效確保跨 VLAN 的內部流量,不會因為路由錯誤而跑到外部的 VPN 網路上。

強化實體安全:交換器 Port 安全設定(MAC 綁定與閒置停用)
防火牆規則處理了網路流量,但實體層面的安全同樣重要。UniFi 交換器提供了兩大功能來強化連接埠(Port)的安全。
(一)停用閒置連接埠 (Disabling Idle Ports)
如果你的交換器位於會議室、走廊或任何半公開空間,最簡單也最有效的防護措施,就是將所有未使用的連接埠徹底關閉。這可以防止任何人隨意插入自己的筆電或惡意設備來獲取網路存取權。
你可以在 UniFi 的「連接埠管理員 (Port Manager)」中,輕鬆地將閒置埠的狀態設定為「停用 (Disabled)」。有趣的是,UniFi 允許你在停用網路傳輸的同時,**選擇是否要繼續透過該埠輸出 PoE 供電**,這為某些特殊應用提供了彈性。
(二)MAC 位址綁定 (Allowed MAC Addresses)
對於暴露在外的關鍵設備,例如戶外監視攝影機或門禁系統,你可能擔心設備被惡意拔除,並被替換成駭客的電腦。這時,MAC 位址綁定就派上用場了。
透過「允許的 MAC 位址 (Allowed MAC addresses)」功能,你可以將某個交換器連接埠與特定設備的網卡 MAC 位址鎖定。設定後,只有該 MAC 位址的設備才能透過此埠連網。一旦有人拔掉攝影機並接上自己的筆電,由於 MAC 位址不符,該筆電將無法取得連線。這項功能通常僅支援於 Pro 系列或更高階的交換器,是高安全需求場景的必備設定。
UniFi 安全等級檢核表:從預設到強化的具體差異
| 安全項目 | UniFi 預設設定(低安全) | 零信任強化設定(高安全) |
|---|---|---|
| 跨 VLAN 通訊 | 全部允許 | 預設全部阻擋,僅依需求開放特定連線 |
| 網關管理介面存取 | 從內網完全開放 (Port 22, 443 等) | 完全阻擋,僅允許 DNS (53) 與 DHCP (67) |
| 「隔離網路」功能 | 僅隔離 VLAN 互訪,無法阻擋網關存取 | 不依賴此功能,改用區域防火牆全面管控 |
| VPN 存取權限 | VPN 用戶可存取所有內部網路 | 僅開放必要的伺服器與服務給 VPN 用戶 |
| 閒置交換器埠 | 啟用 (Enabled) | 停用 (Disabled) |
| 高風險設備埠 | 無任何限制 | 綁定特定 MAC 位址 |

蓋斯克如何協助 CAPSULE GROUP 導入零信任 UniFi 網路架構?
CAPSULE GROUP 是台灣頂尖的日籍 YouTuber 經紀公司與數位行銷集團,旗下擁有多位知名創作者。對他們而言,保護創作者的創意資產、客戶的行銷數據以及公司內部營運資料,是網路基礎建設的最高指導原則。
在導入 UniFi 網路初期,CAPSULE GROUP 也面臨著預設值過於寬鬆的挑戰。蓋斯克科技的團隊介入後,為其超過 100 人的辦公室重新規劃了網路架構,將原本扁平化的網路,依照部門職能切割成 5 個獨立的 VLAN,包括「行政管理」、「內容創作」、「訪客專用」、「伺服器」與「網路設備管理」。
我們採用了本文提到的「預設阻擋」零信任模型,利用 UniFi 的區域防火牆,建立了嚴格的存取規則。例如,內容創作部門的員工可以高速存取影音伺服器,但無法接觸到行政管理的財務系統;訪客網路則被完全隔離,並且無法存取任何公司內部資源,連網關的管理介面也完全碰不到。事後補強的成本,往往是初期規劃的 3-5 倍,透過前期的精細規劃,我們為 CAPSULE GROUP 打造了一個既高效又安全的網路環境,讓他們能專注於核心業務,無後顧之憂。
立即開始:你的 UniFi 網路值得企業級的安全防護
UniFi 提供了強大的硬體和靈活的軟體,但真正的安全並非來自設備本身,而是來自正確的設定與持續的維護。從今天起,別再滿足於「開箱即用」的便利,動手將你的網路從一個充滿隱形風險的環境,升級為一個符合零信任標準的安全堡壘。
如果你對於防火牆規則的設定感到複雜,或希望由專業團隊為你的企業網路進行一次完整的安全健檢與架構優化,歡迎與蓋斯克科技的專家顧問聊聊。我們能協助你評估現況、找出漏洞,並導入最適合你業務需求的 UniFi 安全解決方案。
結論:UniFi 防火牆安全設定三大核心
要將 UniFi 防火牆從預設的寬鬆狀態提升至企業級安全,關鍵在於掌握三大核心原則:首先,拋棄「預設允許」思維,轉向「預設阻擋」的零信任架構;其次,善用區域防火牆(Zone-Based Firewall)取代預設的內部區域,以精準控制跨 VLAN 流量與網關存取;最後,務必強化實體層安全,停用閒置連接埠並對關鍵設備進行 MAC 綁定。
推薦閱讀
參考資料
- Ubiquiti Help Center. (n.d.). UniFi – Gateway – Firewall. UI.
- Wikipedia. (2023). Zero trust security model.
- IETF. (1996). RFC 1918: Address Allocation for Private Internets.
企業防火牆設定不完整,或擔心資安防護有漏洞?
蓋斯克科技提供免費到府勘查(雙北地區),1,200+ 企業服務經驗,48 小時內提供規劃方案與透明報價。
IT 委外服務 免費預約諮詢02-2717-1019 LINE:@zonetech
更多關於UniFi 防火牆的常見問題FAQ
Q1:UniFi 防火牆跟 FortiGate、Palo Alto 等專業防火牆有什麼不同?
最主要的差異在於「預設安全態勢」與「進階威脅防禦功能」。UniFi 防火牆(內建於 UDM/USG)預設為「全部允許」,偏向路由與基礎防火牆功能,需要手動設定才能達到較高的安全性。而 FortiGate 等次世代防火牆(NGFW)則預設為「全部阻擋」,並整合了應用程式識別、入侵防禦系統(IPS)、防毒、網頁過濾等更深度的威脅防禦模組。nn簡單來說,UniFi 適合需要高效能、高性價比且具備 VLAN 切割與基礎存取控制的企業。若企業面臨法規遵循要求、需要抵禦複雜的網路攻擊或進行精細的應用層管控,則 FortiGate 等專業 NGFW 會是更合適的選擇。
Q2:我只是 20 人的小公司,有必要做這麼複雜的設定嗎?
絕對有必要。網路威脅是不分公司規模的,勒索軟體尤其喜歡攻擊防護相對薄弱的中小企業。即使只有 20 人,公司內部網路也可能區分為員工、訪客、伺服器等不同區域。若不進行隔離,一旦訪客的裝置或某位員工的電腦中毒,病毒就能輕易地在內網橫向擴散,感染所有電腦和檔案伺服器。nn花幾個小時進行正確的防火牆設定,將網路從「預設全通」改為「預設阻擋」,是成本極低、效益極高的安全投資,能將潛在的災難性損失風險降低 90% 以上。
Q3:如果我設定錯誤導致整個網路斷線,該怎麼辦?
這是許多網管人員的擔憂。最佳實踐是在設定前做好規劃與備份。首先,務必在 UniFi Controller 下載最新的系統備份檔。其次,建議不要透過遠端進行重大的防火牆規則變更,最好在機房現場操作,並確保你有一台電腦能透過實體線路直接連接到管理網路,以便在設定出錯時能立即登入並還原。nn如果不幸發生問題,最快的復原方式是透過備份檔還原到變更前的設定。若無法登入,可以考慮將設備重置(Reset),再匯入備份檔。對於沒有經驗的使用者,建議尋求專業 IT 服務商協助,避免因操作失誤造成業務中斷。
Q4:什麼是「反向阻擋規則(Inverted Block Rule)」,為什麼要這樣設定?
「反向阻擋規則」是一種高效率的防火牆設定技巧。它的邏輯是:「阻擋所有流量,『除了』清單上指定的項目」。以鎖定 UniFi 網關為例,我們的目標是阻擋所有對網關管理介面(如 SSH、Web UI)的連線,但必須允許設備獲取 IP(DHCP)和解析網域名稱(DNS)。nn傳統做法需要兩條規則:1. 允許 DHCP/DNS。 2. 阻擋所有流量。但使用反向規則,我們只需建立一條「阻擋」規則,然後將 DHCP/DNS 加入「反向匹配(Match Opposite)」清單。這代表「當流量不是 DHCP 或 DNS 時,就執行阻擋」。用一條規則就達到目的,讓規則列表更簡潔、執行效率更高。
Q5:蓋斯克科技是否提供 UniFi 防火牆健檢或設定服務?
是的,蓋斯克科技提供完整的 UniFi 網路規劃、建置與安全優化服務。我們的服務內容包括:nn1. **網路架構安全健檢:** 評估您現有的 UniFi 網路設定,找出潛在的預設值風險與安全漏洞。n2. **零信任架構導入:** 協助您從頭規劃並實作基於「預設阻擋」原則的區域防火牆與精細化存取規則。n3. **VLAN 規劃與隔離:** 根據您的部門與業務需求,設計最佳的 VLAN 切割方案,徹底隔離不同信任等級的網路區域。n4. **VPN 安全設定:** 建立安全的遠端存取 VPN,並設定最小權限存取原則。nn如果您擔心自行設定的風險,或希望由經驗豐富的團隊為您打造穩固的網路基礎,歡迎與我們聯繫。




