首先，您需要将设备分为连接类别：

1. 只需要持续的“云”连接即可正常工作
2. 除了初始配置/更新不需要连接，需要本地连接
3. 需要云连接和本地连接才能工作

如果您有一类真正基于云的设备（即它们不使用任何本地流量，所有流量都必须连接到互联网并返回）创建隔离流量的 SSID 和 VLAN 是确保它可能被重新用于的任何敌对活动都不受备份服务器等高价值目标的影响。如果他们的命令和控制结构（云）存在某种远程妥协，将需要某种始终在线连接的设备放在他们自己的类中会使他们处于边缘地位。

如果您仍然需要对其中一些设备进行本地访问，比如说让您的手机能够访问电视或灯泡上的端口 80（如果智能遥控器是这样工作的），则有状态防火墙规则可以强制只有您的手机，仅允许连接到电视上的该端口。如果您的电视不需要互联网访问并且只需要受保护的本地访问，这将属于另一个需要自己的 SSID 的类别，并且如果您真的希望它能够与互联网交谈但没有其他设备，并且完全独立，它需要自己的 SSID 和 VLAN，如果需要，可以创建许多。

如果您的网络受到瞬态设备（即亲戚平板电脑或笔记本电脑不时掉线）的影响，一项措施也可能会大有帮助，那就是将这些设备放在不同的 VLAN 上，例如您的智能灯泡，除非您故意从整个互联网打开一个端口，即使没有密码也没有害处，因为您（希望）相信您网络上的所有其他设备不会受到恶意控制。

可以通过这种方式配置几个可以加载 OpenWRT 或 DDWRT 的廉价 Wifi/Router 设备。挑战不在于如何完成这一切，而在于如何保持一切顺利进行，而不是举手承认在网络世界末日的幽灵下生活更容易，这样就不必每次都解锁端口您的手机电视应用程序更新，它说您的电视固件现已过期。如果你和大多数人一样，你只需加强你所能做的：在所有支持它的设备上自动或警报更新，禁用 uPNP 之类的智能防火墙规则，然后继续你的生活。

为此，我购买了 Ubiquiti EdgeRouterX 和 UniFi AP AC LITE。

接入点最多支持 4 个 SSID，每个都进入另一个 VLAN。我已经建立了一个“主”无线网络和“访客”（我也用于不受信任的设备）。

路由器允许每个 VLAN 访问互联网，但不允许流量在 VLAN 之间交叉，除了我可以从“主”网络连接到“访客”，但不能反过来。

我认为这种设置非常安全，而且性能也很便宜。我什至不必触摸 CLI。UniFi 控制器必须在 PC 上运行才能设置无线接入点，之后它们可以在没有它的情况下工作。

根据您的偏执程度，您可以获得一个将多个 SSID 映射到不同 VLAN 的 AP。然后使用防火墙或访问列表，您可以控制每个 VLAN 可以访问的内容。您可以花不多的钱购买二手的商业设备来满足您的需求。

在您的情况下，您有以下解决方案：

1. 购买具有良好防火墙的好的路由器，可以支持多个 AP。
2. 隔离网络，这样您就可以在一个网络上安装烟雾报警器，而在另一个网络上安装其他设备（这是我为了好玩而做的，因为我想在途中运行一些蜜罐......以及一些静态 IP 和备份（如果提供商是）向下）
3. 购买 3 台不同且体面的路由器，其中一台作为入口点，另一台作为独立 AP。
4. 如果您使用物联网设备，请购买一些 PI 用电缆在路由器上连接它们，并使用 USB 互联网适配器制作 AP（不要忘记更改默认值）。