二三十台电脑的小型企业内网，如何低成本保证内网通信安全（避免主机被黑后 ARP 窃取其它主机通信数据等）（除 VPN 外没有直接暴露公网的服务）一定要上硬件防火墙吗？

员工网络安全培训。
所有的防护都是在没内鬼的情况下。
一般情况是（有内鬼）：
1 、某员工带了个有病毒的 u 盘，插入公司电脑拷贝东西，然后还拿去给同事电脑粘贴。
2 、某员工主动下载了某邮件里面的文件，还把同事叫来说我下载这文件怎么打不开，我发你，你那边打开试试，是不是我电脑软件版本太低。

SMB 协议无办法，你能保证 SMB 服务器不被病毒感染。
但是你不能防止员工电脑被病毒感染，然后通过 SMB 协议加密/篡改/下载你服务器上数据文件。
多备份能破解加密病毒问题。
网络审计能及时发现员工机器向外部发送公司机密文件。

全部拨号上网..

tailscale 或者自建的 headscale 方案
https://github.com/juanfont/headscale
不需要防火墙，也有足够的安全性