UniFi 提供一系列功能來實現網路/VLAN 和客戶端設備隔離。瞭解這些功能的工作原理和實現方式可以顯著提高網路的安全。
閘道器功能
網路隔離
網路隔離是將一個網路/VLAN 與所有其他網路/VLAN 完全隔離的最簡單方法。啟用後,會自動創建防火牆規則。
實現方式:
- 跳轉到 Settings 設置 > Networks 網路
- 選擇所需的網路
- 啟用 Isolate Network 隔離網路
流量和防火牆規則
當需要更多的靈活性和控制時,流量和防火牆規則可提供隔離解決方案。它們不是將一個網路/VLAN 與所有其他網路/VLAN 完全隔離,而是允許您:
- 阻止特定網路/VLAN 與其他網路/VLAN 的通信。
- 阻止特定網路/VLAN 上的某些設備與網路/VLAN(或這些網路/VLAN 上的特定設備)通信。
- 將隔離限制在特定 端口 或 協議 上。
如需瞭解更多資訊,請閱讀關於流量和防火牆規則的文章。
交換機功能
設備隔離 (ACL)
設備隔離可限制 同一網路或 VLAN 內 設備之間的通信,適用於結合使用 UniFi 閘道器和 UniFi 交換機,或者將 UniFi 三層交換機設置為路由器的網路。有關交換機 ACL 和支援的交換機型號的更多資訊,請單擊此處。
實現方式:
- 跳轉到 Settings 設置 > Networks 網路
- 啟用 Device Isolation 設備隔離 (ACL)
- 選擇要應用隔離的網路/VLAN
從 UniFi Network 8.2 版本開始,可以在 Settings 設置 > Security 安全 > ACL Rules ACL 規則中找到更靈活的配置選項。
L3 網路隔離 (ACL)
三層網路隔離與網路隔離功能 相同,但允許自定義特定網路或 VLAN。三層網路隔離利用 UniFi 交換機上的 ACL,適用於結合使用 UniFi 閘道器和 UniFi 交換機,或者將 UniFi 三層交換機設置為路由器的網路。有關交換機 ACL 和受支援的交換機型號的更多資訊,請單擊此處。
實現方式:
- 跳轉到 Settings 設置 > Networks 網路
- 啟用 L3 Network Isolation L3 網路隔離 (ACL)
從 UniFi Network 8.2 版本開始,可以在 Settings 設置 > Security 安全 > ACL Rules ACL 規則中找到更靈活的配置選項。
端口隔離
啟用此設置後,端口隔離將阻止指定交換機和交換機上其他端口之間的流量。
實現方式:
- 跳轉到 Ports 端口並選擇相關交換機上的端口
- 啟用 Port Isolation 端口隔離
AP 功能
熱點門戶
除了提供用於訪客身份驗證的專用熱點外,熱點門戶還提供 AP 級別的網路隔離。默認情況下,連接到熱點門戶的訪客將與除其分配到的網路之外的所有其他網路隔離。這可以通過啟用預授權許可來修改。有關更多資訊,請閱讀我們的熱點門戶文章。
此功能對於僅使用 UniFi 接入點 的 UniFi 部署特別有用。
實現方式:
- 跳轉至 Settings 設置 > WiFi ,然後選擇 WiFi 配置文件
- 啟用 Hotspot Portal 熱點門戶
客戶端設備隔離
客戶端設備隔離是 WiFi 配置中的一項設置,可防止同一 AP 上的無線客戶端相互通信。該設置通常與交換機 ACL 結合使用,以確保完全的客戶端隔離。
實現方式:
- 跳轉至 Settings 設置 > WiFi ,然後選擇 WiFi 配置文件
- 啟用 Client Device Isolation 客戶端設備隔離
注意:這可能會抑制 AirPlay、Chromecast、Sonos 設備、螢幕鏡像和無線打印機的功能。
如何實現公共訪客網路的完全隔離
- 跳轉到 Settings 設置 > Networks 網路
- 選擇或創建一個 網路。
- 啟用 網路隔離 可將此網路/VLAN 與所有其他網路/VLAN 隔離。如果您想要更多自定義功能,請使用流量和防火牆規則。
- 跳轉到 Settings 設置 > WiFi ,並選擇或創建 WiFi。
- 將步驟(2)中的網路分配給 WiFi。 6.(可選)如果您希望 WiFi 客戶端通過專用熱點進行身份驗證,請啟用熱點門戶。有關更多資訊,請閱讀我們的熱點門戶文章。
- 啟用 客戶端設備隔離 以防止連接到同一 AP 的客戶端之間的通信。
- 啟用 設備隔離(ACL) 以在交換機級別完成客戶端隔離。