家里Wi-Fi刚装好,手机、平板、电视全连上了网,结果没几天就发现有人蹭网,甚至浏览器总跳广告。这种情况很可能是你的路由器没设好防护,让外人钻了空子。其实,大多数家庭网络风险都来自基础防御没做对,只要在路由设置里动几个开关,就能挡住大部分网络入侵。
开启防火墙是第一步
大多数家用路由器出厂自带防火墙功能,但有些型号默认是关闭的。登录路由器管理页面(一般是输入192.168.1.1或192.168.0.1),在“安全设置”或“高级设置”里找到“防火墙”选项,确保它处于开启状态。这个功能就像家门口的防盗门,能自动拦截可疑的数据包和非法访问请求。
改掉默认管理地址和密码
很多人用完路由器从没改过后台密码,还停留在admin/admin这种原始设置上。黑客扫描工具一扫一个准。进路由设置后,第一件事就是修改管理员账户密码,别再用123456或者自己生日。同时,把默认的管理地址从192.168.1.1改成非常见地址,比如192.168.10.1,能有效降低被自动化攻击盯上的概率。
关闭远程管理与UPnP
在“系统工具”或“远程管理”选项中,确认“远程WEB管理”是关闭的。除非你真需要在外网登录家里路由器,否则这功能就是个安全隐患。同样,UPnP(即插即用)虽然方便设备自动开网口,但也容易被恶意程序利用。普通用户建议手动关闭,需要端口映射时再临时开启。
启用WPA3加密,隐藏SSID
无线设置里,安全模式优先选WPA3-PSK。如果设备不支持,至少要用WPA2-PSK(AES)。千万别选WEP,那玩意儿现在几分钟就能破解。还可以勾选“隐藏SSID”,这样别人搜不到你家Wi-Fi名字,得手动输入才能连接,防蹭网效果明显。
设置IP/MAC绑定与访问控制
在“家长控制”或“访问控制”页面,可以把家里常用设备的MAC地址和固定IP绑定。比如手机、笔记本分配固定IP,并只允许这些设备联网。陌生设备即使知道密码也连不上。举个例子,孩子带同学回家,对方连不上Wi-Fi,自然没法偷跑流量或乱搞操作。
定期更新固件
厂商会发布固件补丁修复漏洞。比如某品牌去年爆出远程命令执行漏洞,没更新的用户可能被植入挖矿程序。进入“系统状态”页面查看当前版本,对比官网最新版。有更新就立刻刷,过程别断电。可以设置每月检查一次,像换季换衣服一样养成习惯。
配置简单的ACL规则(可选进阶)
如果你有点技术底子,可以在“ACL访问控制列表”里加几条规则。例如,禁止外部访问内网的RDP(3389端口)或Telnet服务:
拒绝 TCP 目标端口 3389 来源 ANY
拒绝 TCP 目标端口 23 来源 ANY这类规则能防止黑客通过常见服务入口反向渗透进来。
网络入侵防御不是非得买高端设备,关键是在路由设置里把该关的关、该改的改。花半小时调一遍,比事后重装系统、丢数据划算多了。