UniFi Network 9.0.92 搶先體驗：基於區域的防火牆的實際應用

Ubiquiti 發布了 UniFi Network 9.0.92 的搶先體驗更新，其中包括 基於區域的防火牆 (ZBF)，簡化管理員網路安全管理。

Ubiquiti 推出了 UniFi Network 9.0.92 Early Access 更新，引入了 基於區域的防火牆 (ZBF)。 這項重大升級為管理員提供了一個簡化但功能強大的工具集來管理網路安全。本次更新涉及網關和雲端網關，我們透過以下方式部署在 Cloud Gateway Ultra 上： 夢想機器 Pro Max.

這項創新的重點是將 VLAN、WAN 和 VPN 等介面分組到邏輯區域中，從而實現更直觀的策略創建、更好的分段和更高的安全性。

主要特點和優點

簡化的策略管理

在複雜網路中可能變得笨拙的按介面配置的時代已經一去不復返了。新的 區域矩陣 提供區域之間流量的清晰視覺化表示，使管理員能夠快速評估和修改安全策略。這種直觀的方法使策略管理更易於訪問，即使對於經驗不足的網路管理員也是如此。

增強的網路分段

UniFi 的 ZBF 引入了預定義區域，包括內部、外部、DMZ、VPN 和熱點，每個區域都根據常見的安全需求量身定制。這些區域確保對流量進行精細控制，允許管理員將特定規則應用於不同的網路元素。這種設計有助於隔離物聯網設備、保護敏感資料伺服器或管理訪客流量，而不會危及內部網路。

靈活的自訂策略

雖然預定義規則簡化了設置，但自訂策略功能允許管理員根據獨特的組織要求自訂安全設定。無論是阻止特定協定、為可信任設備建立例外，還是對流量類型進行優先排序，自訂策略的靈活性確保 ZBF 能夠適應最複雜的網路環境。

可見性與控制

ZBF 包含內建規則來保護關鍵流量，例如到網關的 DHCP 和 DNS 流量，確保基本服務不會意外中斷。透過 syslog 增強的日誌記錄功能可提供對流量模式和潛在威脅的詳細洞察。此外，管理員可以輕鬆地對規則進行重新排序，以反映不斷變化的優先順序或要求，從而改善監督和適應性。

(ZBF)的實際應用

ZBF 框架旨在降低複雜性，同時增強安全性，使其成為各種規模組織的寶貴補充。

保護物聯網網絡

物聯網設備的內建安全性通常有限，因此容易受到攻擊。借助 ZBF，管理員可以將所有 IoT 設備放置在專用區域並建立策略：

• 阻止物聯網設備存取敏感的內部網路。
• 允許 IoT 設備僅與特定的外部服務或資源進行通訊。

隔離訪客流量

訪客使用者可以被限制在僅允許網路存取的專用區域，從而防止他們與內部設備或敏感資料互動。

平衡內部和外部流量

預先定義的「內部到外部」策略提供了一種平衡的方法，為內部用戶提供安全的互聯網訪問，同時保持針對潛在威脅的強大保護措施。

高級訂製

組織可以根據特殊需求建立其他區域，例如隔離開發人員環境、測試實驗室或遠端 VPN 用戶，確保對區域間通訊進行細粒度控制。

部署注意事項

雖然 ZBF 簡化了防火牆管理，但仔細規劃對於避免意外後果至關重要。管理員應該：

• 了解區域行為：如果管理不當，在區域之間移動網路或封鎖到網關的流量（對於 DHCP 和 DNS 等服務至關重要）可能會中斷操作。
• 審計流量：在實施 ZBF 之前，請檢查目前的流量模式，以確保保留必要的通訊路徑。
• 測試規則：對新規則的逐步測試有助於防止大範圍的中斷，特別是在信任等級混合的較大環境中。
• 利用日誌記錄：使用日誌記錄功能來監控變更的影響並確定需要改進的區域。

ZBF 型號 例

UniFi 的區域防火牆 (ZBF) 是簡化和增強網路安全性的重要一步。從傳統的每個介面配置轉向基於區域的方法使管理員能夠專注於有意的安全結果，而不是費力於複雜的設定。其直覺的設計和強大的客製化選項使其成為小型和企業部署的理想選擇。

為了說明其實際實現，以下透過一個例子來說明如何建立一個新的 訪客/物聯網專區 在最新的更新中使用 UniFi 的 ZBF。目標是隔離訪客和物聯網設備，確保它們能夠控制對外部資源的訪問，而不會危及內部安全。

EA 版本更新

請依照以下步驟更新至 EA 發佈網路 9.0.92。

1. 1. 造訪 設定 > 控制平面 > 更新 在 UniFi 控制器中。
   2. 點擊 檢查更新或更新 並安裝最新的 EA 版本。
   3. 啟用 早期訪問 如果尚未啟用，請在同一選單中。

接下來，請依照以下步驟啟用基於區域的防火牆 (ZBF)。

1. 造訪 設定 > 防火牆和安全.
2. 啟用 基於區域的防火牆.
3. 使用以下命令配置區域並設定流量策略 區域矩陣.

區域配置範例

首先建立一個新區域。首先，查看預設區域，然後按一下 創建區域 選項。

點擊建立區域將帶您進入配置畫面以設定新區域。對於這個例子，我們將其命名為 訪客/物聯網專區。在將 VLAN 與此新區域關聯之前，請務必確保 VLAN 已建立或已存在。在我們的範例中，我們使用了 虛擬局域網30。建立新區域時，與此 VLAN 或網路相關的任何預先存在的規則可能會暫停或刪除。

設定區域後，點擊左上角的後退按鈕返回主頁。您需要三個防火牆規則來建立一個隔離的訪客/物聯網網絡，該網路僅允許互聯網訪問，同時阻止本地設備通訊。

首先，按一下管理。或者，您可以篩選到「訪客/IoT 區域」行並選擇「內部」列中的第一個選項。這也將在介面上顯示與此區域關聯的任何相關規則。

規則1： 阻止 IoT/訪客訪問內部區域。

規則2： 允許 IoT/訪客透過外部區域存取網路：

規則3：允許 IoT/Guest 透過網關區域與 DHCP 和 DNS 閘道進行通訊。

測試規則

建立規則後，我們就可以繼續進行測試。對於此測試，我們將使用連接到標記有 VLAN 24.04.1 的 VNET 網路的 Ubuntu 伺服器 30 VM。

從命令開始， ip a 顯示 Ubuntu VM 已成功從 VLAN 10.30.50.113 上的 (10.30.0.0/18) 網路獲取 DHCP 租約 (30)。第一個測試驗證與網關的通信，我們成功 ping 主 UDM 網關 ( 192.168.1.1）。

接下來，我們確保我們無法存取內部網路上的任何裝置。嘗試對 (192.168.1.32) 處的網域控制器執行 ping 操作失敗，當我們嘗試對 (192.168.1.202) 處的託管交換器執行 ping 操作時，情況也是如此。作為進一步的測試，我們嘗試透過 SSH 連接到託管交換機，但也失敗了。這證實隔離規則對於訪客/物聯網區域按預期工作。

最後，透過 ping Google 測試虛擬機器是否具有外部可訪問性，驗證訪客/物聯網網路是否可以存取互聯網，同時保持與內部網路的隔離。

Nmap測試

在下一個測試中，我們使用以下命令安裝了 Nmap sudo apt 安裝 nmap 接下來是命令 須藤 nmap -sP 192.168.1.0/24 掃描預設網路範圍。 Nmap 是一種網路掃描工具，可讓您發現網路上的裝置並確定其上開啟的連接埠。此測試透過確認無法從隔離網路存取 192.168.1.0/24 範圍內的任何裝置來檢查訪客/IoT 網路是否與內部網路正確隔離。
它只能看到我們的網關 (192.168.1.1) 和 Honey Pot (192.168.1.2)，無法看到預設網路中存在的其他 28 台裝置。

結論

UniFi 的新型基於區域的防火牆為網路安全和分段提供了直覺且高效的方法。對於各種規模的網路（包括 StorageReview 等實驗室）來說，它都是寶貴的資產，專業人士可以在其中利用其功能。透過簡化隔離區域的創建並實現強大的流量控制和安全 VPN 策略，而無需傳統的複雜性，該工具使管理員能夠設計可擴展的安全環境，以支援進階測試、開發和日常操作。

Ubiquiti公司 （附屬鏈接）

參與 StorageReview

電子報 | YouTube | 播客 iTunes/Spotify | Instagram | Twitter | 的TikTok | RSS訂閱