1.文章有提到可以設置VLAN來跑DNS, DHCP, Proxy，
(1) 假設我有3個實體LAN孔，還需要設VLAN嗎?
我個人是覺得不需要，除非您想沒事找事做，建議您了解一下VLAN的用途跟原理

(2) 防火牆自己本身的IP位置，跟LAN孔是要設不同網段嗎? 假設設不同網段是不是會比較安全，但是若設了不同網段，通常是怎麼做才能由我的PC端連回防火牆去做一些設定呢，是走VPN嗎?
防火牆應該會有內、外IP位址(我猜您用NAT模式)，內部IP跟LAN同網段比較單純，以您的情況，安全是建立在那台防火牆及您的設定是否安全，不同網段我個人覺得以您的狀況並不會增加安全性

2.內網設備要連外的話，是不是要建Nginx，透過反向代理伺服器連外較好，但假設Nginx是建在VLAN1上，那不同網段的VLAN2(無線電視盒、AP) 要如何才能使用到這個服務?
內網設備要連外，網路閘道器設向防火牆(假設DNS及防火牆對外都正常)，由防火牆對外做NAT就可以了，不用搞那麼複雜，增加自己的麻煩

3.另外，想請教PC跟無線AP是不是要隔開用不同網段比較安全，目前較新的WIFI 6設備刷機的資源少，本身韌體較差，我能請教一下，因為AP已經躲在防火牆後面，這樣還會容易因韌體的問題被攻破嗎?若我有隔開的話，就算被攻破，是不是也不會影響到PC對嗎?
理論上是，但要看您隔離及設定的情況，您的無線AP能防家裡附近(能收到訊號)有惡意的攻擊嗎?

4.手機的部分，假設防火牆有裝WireGuard，手機是不是不論在家、在外都用VPN連比較安全。
理論上用VPN會比較安全，但要問您的應用需求，有必要嗎?

備註:
對網路資安有興趣，建議您去中、大企業任職或實習，才會看到許多資安的議題跟要學習的方向及目標，對於後續的學習才會真正有幫助。

VLAN比較偏向做區分，包含權力區分或地區區分，以及IP擴充，
多一分保障就多一分安全，但是假如預設上還是全部開的話是沒甚麼差異，
你可以研究一下防火牆的DMZ，要注意不是小烏龜的DMZ，這差很多

至於韌體問題，基本上就是看漏洞到甚麼程度，
躲在防火牆後面就是多一道防護在前方，
當然也有一台發生漏洞被攻入，連帶影響到區網內其他設備的問題，
其次無線AP被連入後，就變成內網，其實說安全也安全，說不安全也不安全，
即使隱藏SSID也沒用，還是有辦法被搜尋到

其實我不確定現在市面上在推廣VPN對於安全的部分是到甚麼階段，
只是對我來說，市面上的所謂VPN防護，就是多一個隱藏真實IP的手段，
但是一但你是手機逛到甚麼網站或著載了甚麼APP導致中毒，再多的VPN也沒用，
而這也是最多人手機中毒的原因，這部分我也希望有其他前輩或著業者(?)來糾正一下我的想法

Hi,

可建議你去看 Homelab 主題的reddit, youtube 資源。