這樣設(shè)置路由，99.9%的黑客都攻不破

路由安全，是個大話題。

路由器的后臺設(shè)置項太過專業(yè)，蹭網(wǎng)卡風(fēng)靡一時，傳說中的黑客似乎厲害的沒影......看起來家里這臺路由器根本就沒得救了。只要有位稍懂的黑客盯上，分分鐘被攻破。

宅客君（公眾號『Letshome』）之前曾從多個角度探討這個話題，包括技術(shù)分析、測試、協(xié)議規(guī)范溯源等等。但這些東西里邊，都沒有談過路由本身多年發(fā)展的安全機(jī)制。我們忽略了最重要的東西：其實通過路由本身的安全防護(hù)，已經(jīng)可以做到一個非常高的安全水平。

下邊宅客君將告訴大家，如何利用這些熟悉而又陌生的路由安全設(shè)置，來打造一臺99.9%的黑客都攻不破的安全路由器。

MAC白名單機(jī)制

在眾多防護(hù)機(jī)制中，MAC地址白名單絕對是一等一的標(biāo)配功能。上至千元頂配，下探幾十元小mini，這個功能一定妥妥的在著。不過別因此小看它，這可是關(guān)乎路由防蹭網(wǎng)的殺器。

大 家應(yīng)該都有聽過“蹭網(wǎng)卡”、“Wi-Fi萬能鑰匙”這兩種東西。第一種專治Wi-Fi密碼，最強(qiáng)的WPA2加密有可能幾分鐘能破掉（弱密碼、強(qiáng)字典的特別 場景）；即使是一個強(qiáng)密碼破不掉，說不定哪天你一位訪客手機(jī)上有個類似“萬能鑰匙”的App，手一滑，這個無線密碼還是被公諸于眾了。

以上是表示，大家的無線密碼并不可靠。而MAC白名單機(jī)制卻可以保障不被蹭網(wǎng)，每臺想上網(wǎng)的設(shè)備，必須曾經(jīng)被你加入過白名單，新的陌生設(shè)備只能在內(nèi)網(wǎng)流浪。

MAC 白名單功能位于左側(cè)菜單“高級設(shè)置”內(nèi)，如果你家里設(shè)備較多，設(shè)置白名單得下苦功夫了。其實還有更方便的做法，大家應(yīng)該記得今年兩款安全做的不錯的智能路 由360、魔豆，它們可以在新用戶接入時讓你確認(rèn)是否允許上網(wǎng)，這其實就是利用MAC白名單的機(jī)制。另外小米路由的白名單功能也還方便，只是沒有前邊兩款 好使。

AP隔離

前邊說過，即使做了MAC白名單，新的陌生設(shè)備還是在內(nèi)網(wǎng)亂逛，這可不行，有危險。要是這個陌生設(shè)備技藝高超，一個“混雜模式”監(jiān)聽走起，內(nèi)網(wǎng)信息就全被它收過去了。

AP隔離是個好東西。有它在，連入局域網(wǎng)的設(shè)備間都是隔離的，數(shù)據(jù)不互通。這時的陌生設(shè)備技藝再高超也沒法來監(jiān)聽你上網(wǎng)的數(shù)據(jù)了。

不過它也有缺點，比如導(dǎo)致局域網(wǎng)軟件基本沒法使用。包括QQ的局域網(wǎng)速傳、飛鴿傳書等一大票功能都要廢掉，目前還不確定局域網(wǎng)游戲?qū)?zhàn)、文件共享（SMB）這些功能是否能用，但目測可能性不大。

AP隔離算是稍微高級的功能，百元以上的傳統(tǒng)路由基本支持。但需要提醒，智能路由由于歷史不長，有些廠商可能也還未做到這一功能。宅客君稍后將檢查一批路由，并公布結(jié)果于此。

庖丁小道

在講完無線的外網(wǎng)、內(nèi)網(wǎng)安全后，其實還有些旁門小道可以聊聊。

端口。普通路由上一般可能會開放80（遠(yuǎn)程訪問）、23（SSH）以及某些隨機(jī)端口（廠商測試用），不過按照安全準(zhǔn)則，還是盡量不開設(shè)端口。前不久某T大廠由于在穩(wěn)定版固件中未關(guān)閉測試端口，結(jié)果成了安全界大笑話。

防DDOS。這個模塊很重要，如果路由被DDOS，整個網(wǎng)速會下降的很厲害。防DDOS，就是保證路由遭受時用戶不受影響。

802.X。它是一個企業(yè)級的功能，每臺設(shè)備需要輸入賬號密碼才能去連接，服務(wù)器驗證登陸信息并返回是否可以接入網(wǎng)絡(luò)、何等權(quán)限等。802.X可以一定程度上充當(dāng)MAC白名單的作用。

…..

如文章開頭所說，路由安全是個大話題。以上大部分是保證無線網(wǎng)絡(luò)的安全，關(guān)于有線網(wǎng)絡(luò)，因為在家里，我們默認(rèn)它是安全狀態(tài)的，有問題直接拔線就行。另一部分龐大復(fù)雜的VLAN機(jī)制就不講了。

知乎曾有一貼“蹭網(wǎng)之后，能做些什么？”引發(fā)了廣泛討論，而依照我們以上設(shè)置：開啟白名單驗證，入侵者就沒法通過網(wǎng)絡(luò)上網(wǎng)；后臺防DDOS后，暴力破解后臺密碼不行了；開啟AP隔離后，所有嗅探都被廢掉。看到?jīng)]，安全等級是不是一下子提高了N倍，至少一般入侵者可不行。怎么著也得手中肉雞多多、0day多多。

不過想做到安全，也意味著要付出代價。現(xiàn)在我們的“內(nèi)網(wǎng)”算是名存實亡了，每次新設(shè)備接入也得費點心去確認(rèn)。這臺路由，你得費心了。

附上述知乎貼內(nèi)給出的小白安全建議，知易行難，僅作科普：

1、路由器連接密碼要復(fù)雜一點，比如testak47521test要比ak47521好很多

2、趕緊把路由器管理后臺的帳號和密碼改掉。90% 的懶人還在 admin admin

3、不要告訴不可信人員你的 Wi-Fi 密碼。

4、移動設(shè)備不要越獄不要 ROOT，ROOT/越獄后的設(shè)備等于公交車隨便上

5、常登陸路由器管理后臺，看看有沒有連接不認(rèn)識的設(shè)備連入了 Wi-Fi，有的話斷開并封掉 Mac 地址。封完以后馬上修改 Wi-Fi 密碼和路由器后臺帳號密碼。

6、綁定IP MAC地址

7、More

本文部分技術(shù)細(xì)節(jié)來自采訪魔豆產(chǎn)品經(jīng)理黃略。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。