改掉默认设置,别让黑客轻松进门
很多人装完路由器,连WiFi名字改了就以为万事大吉。其实出厂默认的管理员账号和密码,比如 admin/admin,几乎是公开的钥匙。只要有点经验的人,连上你的局域网扫一下就能登录后台。建议第一时间进入管理页面,把默认的登录名和密码换成自己独有的组合,别用生日、123456这种弱口令。
开启WPA3加密,给无线信号加锁
如果你的路由器支持WPA3,一定要打开。相比老式的WEP或WPA2,WPA3在防暴力破解和中间人攻击上强不少。哪怕别人拿到部分握手包,也很难还原出密码。在无线设置里找到安全选项,优先选WPA3-Personal。如果设备兼容性有问题,至少也要用WPA2-PSK AES加密。
关闭远程管理与UPnP功能
远程管理听起来方便,实际等于把路由器的控制权暴露在公网。除非你真需要在外网配置家里网络,否则建议在管理界面中关闭“允许远程访问”选项。同样,UPnP(即插即用)虽然能让游戏、视频通话更顺畅,但也可能被恶意程序利用自动开洞,建议手动关闭,需要端口映射时再自行添加。
定期更新固件,修补安全漏洞
厂商会发布固件更新来修复已知漏洞。比如某品牌去年爆出的命令注入漏洞,就是通过旧版本管理页面触发的。登录路由器后台,检查系统工具或维护选项里的固件升级功能,保持当前版本最新。有些支持自动下载更新,可以开启这个选项。
启用防火墙并配置基础规则
大多数家用路由器都自带基础防火墙,但默认可能只启用了NAT过滤。可以在安全设置中开启“SPI防火墙”(状态包检测),它能识别异常流量,比如SYN洪水或Ping of Death。如果有高级选项,可以添加一条拒绝来自广域网的ICMP请求,避免你的公网IP被轻易探测到。
示例:屏蔽外部ping请求(以常见品牌为例)
防火墙模式:启用SPI
ICMP过滤:拒绝来自WAN的Echo Request
DoS防护:启用(可选)划分访客网络,隔离不信任设备
朋友来家连WiFi,直接给主密码太冒险。万一他手机带了木马,整个内网都可能被扫描。现在路由器基本都支持“访客网络”功能,单独设个密码,限速限时间,关键的是它和主网络隔离,无法访问NAS、打印机等设备。IoT设备如摄像头、智能灯泡,也可以扔进访客网或单独VLAN。
禁用不必要的服务
像Telnet、FTP管理这类老旧协议,传输过程不加密,一旦被监听,账号密码就裸奔了。如果没特殊需求,在远程管理或服务设置里把它们关掉。同样,蓝牙、WPS这些便捷功能,如果不是天天用,干脆关了省心。