为设备分配 VLAN 后，UniFi 会提供多种工具来控制和强制隔离网关、交换机和 AP 之间以及内部的流量。虽然这些工具的目标都是隔离流量，但它们在不同的层级运行，并服务于不同的目的。

网关隔离

基于区域的防火墙 (ZBF)

UniFi 网关和云网关均提供基于区域的防火墙。它们通过 定义不同网络区域（例如 VLAN、WAN 和 VPN）之间的流量规则来执行策略。ZBF 控制 VLAN 在网络中的通信方式，使其成为 VLAN 间控制最灵活的选择，尤其是在 VPN 流量需要隔离的情况下。点击此处了解更多关于基于区域的防火墙的信息。

网络隔离

对于寻求 简易的一键式 解决方案的用户，UniFi 提供 网络隔离 功能，可自动配置必要的防火墙规则来阻止 VLAN 间流量。

导航至 设置 > 网络。
选择所需的网络或 VLAN。
启用 网络隔离。

这是以 最少的设置 实现限制 VLAN 之间流量的常用方法。

交换机隔离：访问控制列表 (ACL)

ACL 提供了另一层隔离，在交换机级别运行。ZBF 在网关处管理 VLAN 之间的流量，而 ACL 则控制 VLAN 内或 VLAN 之间通过交换机的流量。与在网络路由级别应用安全规则的 ZBF 不同，ACL 更轻量级，并直接在交换机级别执行安全策略。

ACL 可用于两种主要类型的隔离：

L3 网络隔离：阻止不同 VLAN 之间的流量，防止未使用网关防火墙的网络间通信。
客户端设备隔离：即使在同一 VLAN 内也限制设备之间的通信，确保设备在同一网络上保持隔离。

通过 ACL 配置 客户端设备隔离：

导航至 设置 > 网络 。
为适当的网络/VLAN启用 **设备隔离 (ACL) **。
选择要应用隔离的网络/VLAN。

ACL 非常适合限制 VLAN 间通信或隔离单个设备，无需依赖网关。点击此处了解更多关于 ACL 的信息。

AP 隔离：客户端隔离

与用于控制 VLAN 间流量的 ZBF 和 ACL 不同，客户端隔离功能会阻止单个接入点内的通信（即使位于同一 VLAN 中），使其成为访客网络和物联网安全的理想选择。此功能是对 ACL 的补充，可确保即使在 VLAN 内，设备之间也能保持隔离。

要启用客户端隔离：

导航至“设置”>“WiFi”。
选择与您的网络关联的 WiFi。
启用 客户端设备隔离。

在此处了解有关客户端隔离的更多信息。

公共访客 WiFi 的最佳案例

这些隔离工具对于保护访客网络、防止未经授权的设备间通信以及保障用户隐私至关重要。有关在公共访客 WiFi 中实施这些技术的分步指南，请参阅我们的访客 WiFi 最佳实践。

额外流量管理工具

除了网络隔离之外，UniFi 还提供应用层控制，例如：

流量限制 以阻止特定的应用程序或服务。
QoS（服务质量） 为关键设备优先分配带宽。
基于策略 的路由根据自定义规则引导流量。

有关这些先进流量管理工具的更多信息，请单击此处。