UniFi 网关内置强大防火墙引擎，最大程度提升您网络架构的安全性。

对于大多数用户，我们推荐创建 简单规则。这些规则通过直观界面，简化了常用场景（如 VLAN 隔离、应用和域名过滤，或带宽限制等）的规则创建。如需了解详情，请参见我们的流量与防火墙规则相关文章。

如需了解如何有效进行 网络/VLAN 及客户端隔离，请点击此处。

预设规则

UniFi 会预先配置某些规则以优化本地网络流量，同时阻止部分潜在危险的互联网流量。每次新增网络时，UniFi 也会为其配置类似的规则。

规则顺序

防火墙规则会按照 规则索引 依次执行。数值越小（列表顶部）的规则 优先 处理。新增规则时可选择将其放在预设规则之前或之后。请务必注意规则顺序，否则不当的排列可能导致部分规则“无效”。

规则类型

规则按其适用的网络类型分组，包括：

• Internet：适用于互联网网络的 IPv4 防火墙规则
• LAN：适用于局域网（企业网）的 IPv4 防火墙规则
• Guest：适用于访客网络的 IPv4 防火墙规则
• Internet v6：适用于互联网网络的 IPv6 防火墙规则
• LAN v6：适用于局域网（企业网）的 IPv6 防火墙规则
• Guest v6：适用于访客网络的 IPv6 防火墙规则

规则方向

除了网络类型，防火墙规则还需指定“方向”。主要方向有：

• Local：适用于发往 UDM/USG 本机的流量
• In：适用于流入接口（入口，ingress），目的为其他网络的流量
• Out：适用于流出接口（出口，egress），目的为当前网络的流量

例如，在 LAN In 创建的防火墙规则适用于来自 LAN（企业网）的流量，目的为其他网络；LAN Local 下的规则适用于来自 LAN 的流量，目的为 UDM/USG 本机。

规则状态

除方向和网络类型外，防火墙规则还可按连接状态进行匹配，包括：

• New：对应新建立连接的入站数据包
• Established：属于已存在连接的数据包
• Related：与已存在连接相关的新数据包
• Invalid：不属于上述任何状态的数据包

举例来说，预设的 Internet Local 和 Internet In 防火墙规则可确保来自互联网的连接无法访问 UDM/USG 及其后的局域网；而 UDM/USG 和 LAN 网络可访问互联网，且返回流量允许通过。这些预设规则包括：

Rule Index: 3001
Enabled: Yes
Description: allow established/related sessions (see states above)
Action: Accept
Protocol: All
Type: Internet In and Internet Local

Rule Index: 3002
Enabled: Yes
Description: drop invalid state (see states above)
Action: Drop
Protocol: All
Type: Internet In and Internet Local

IPsec 规则

防火墙规则也可以匹配经过 IPsec 加密的流量。这在需要过滤经 IPsec 站点到站点 VPN 传递的流量时非常有用。

• Do not match —— 匹配所有流量，不区分 IPsec 或非 IPsec（默认）。
• IPsec —— 匹配经 IPsec 加密的流量，如站点到站点 VPN。
• Non-IPsec —— 只匹配未加密的流量。

例如，在配置基于策略的 IPsec 站点到站点 VPN 时，需要使用 IPsec 匹配的防火墙规则，UniFi 网关会对来自远端至本地网络的加密流量进行匹配。