UniFi 閘道器包含強大的防火牆功能，可最大限度地提高網路架構的安全性。

對於大多數用戶，我們建議創建 簡單流量規則。通過直觀的界面，可簡化常見用例（例如隔離 VLAN 、應用程式和域名過濾，甚至帶寬限制）的規則創建。要了解更多資訊，請參閱我們關於流量規則的文章。

要了解如何實施網路/VLAN 和客戶端隔離，請點擊此處。

預配置規則

UniFi 預先配置了某些規則，以優化本地網路流量，同時阻止某些潛在危險的互聯網流量。此外，UniFi 還會為您添加的每個虛擬網路配置類似的規則。

規則索引

防火牆規則按規則索引的順序執行。較低的數字（列表頂部）表示該規則在其他規則之前處理。創建新規則時，可以選擇在預定義規則之前或之後應用。注意此索引很重要，因為不正確的順序可能導致規則“不起作用”。

規則類型

規則根據其適用的網路類型進行分組。使用的網路類型如下：

• Internet：包含適用於 Internet 互聯網網路的 IPv4 防火牆規則。
• LAN：包含適用於 LAN 局域網網路的 IPv4 防火牆規則。
• Guest：包含適用於 Guest 訪客網路的 IPv4 防火牆規則。
• Internet v6：包含適用於 Internet 互聯網網路的 IPv6 防火牆規則。
• LAN v6：包含適用於 LAN 局域網網路的 IPv6 防火牆規則。
• Guest v6：包含適用於訪客網路的 IPv6 防火牆規則。

規則方向性

除了網路類型之外，防火牆規則還適用於方向。使用的方向如下：

• Local：適用於以 UDM/USG 閘道器本身為目的地的流量。
• In：適用於進入接口（入口）、目的地為其他網路的流量。
• Out：適用於離開接口（出口）、目的地為該網路的流量。

例如，在 LAN In 下配置的防火牆規則將適用於從 LAN（企業）網路發往其他網路的流量。在 LAN Local 下配置的防火牆規則將適用於從 LAN（企業）網路發往 UDM/USG 本身的流量。

規則狀態

除了方向或網路類型之外，防火牆規則還可以匹配狀態：

• New 新建：傳入數據包來自 新 連接。
• Established 已建立：傳入數據包與已 存在的 連接相關聯。
• Related 相關：傳入的數據包是 新的，但與一個已經 存在的 連接相關聯。
• Invalid 無效：傳入的數據包與任何其他狀態都不匹配。

例如，預定義的 Internet Local 和 Internet In 防火牆規則可確保來自 Internet 的外部連接無法訪問 UDM/USG 及其後面的 LAN 網路。但是，UDM/USG 和 LAN 網路設備可以主動訪問 Internet 的目的網路，並且允許返回流量。預定義的 Internet Local 和Internet In 防火牆規則包括：

Rule Index: 3001
Enabled: Yes
Description: allow established/related sessions (see states above)
Action: Accept
Protocol: All
Type: Internet In and Internet Local

Rule Index: 3002
Enabled: Yes
Description: drop invalid state (see states above)
Action: Drop
Protocol: All
Type: Internet In and Internet Local

IPsec 規則

防火牆規則還可以與使用 IPsec 加密的流量相匹配。這在過濾通過 IPsec Site-to-Site VPN 傳輸的流量時非常有用。

• 不匹配 - 匹配所有流量而不是特定的 IPsec 或非 IPsec 流量（默認）。
• IPsec - 匹配通過 IPsec 加密的流量，例如通過 Site-to-Site VPN 傳輸的流量。
• 非 IPsec - 專門匹配未加密的流量。

使用 IPsec 匹配防火牆規則的一個案例是配置基於策略的 IPsec Site-to-Site VPN。UniFi 閘道器將匹配從遠程網路發往本地網路的加密流量。