沈建苗

確保路由器安全

在普通的家庭網(wǎng)絡(luò)上，路由器是最直接連接到互聯(lián)網(wǎng)的設(shè)備。如果配置正確，路由器是唯一可以從互聯(lián)網(wǎng)訪問的設(shè)備。其他所有設(shè)備連接到你的路由器，路由器就有可能泄露這些設(shè)備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現(xiàn)在很多普通路由器也有“遠(yuǎn)程管理”功能，讓用戶可以通過互聯(lián)網(wǎng)登錄到路由器，并配置其設(shè)置。絕大多數(shù)人根本不用這項(xiàng)功能，所以你應(yīng)該確保該功能已禁用。如果你啟用了這項(xiàng)功能，密碼又很薄弱，攻擊者就有可能遠(yuǎn)程登錄到你的路由器。你可以在路由器的Web界面找到這個(gè)選項(xiàng)關(guān)閉，要是你需要遠(yuǎn)程管理就得確保更改默認(rèn)密碼，可能的話還要定期更改（圖1）。

許多消費(fèi)級(jí)路由器存在一個(gè)嚴(yán)重的安全漏洞。UPnP是一種不安全的協(xié)議，讓本地網(wǎng)絡(luò)上的設(shè)備可以通過創(chuàng)建防火墻規(guī)則轉(zhuǎn)發(fā)路由器上的端口。不過UPnP存在一個(gè)常見的安全問題，路由器會(huì)接收來(lái)自互聯(lián)網(wǎng)的UPnP請(qǐng)求，讓互聯(lián)網(wǎng)上的人都能在你的路由器上創(chuàng)建防火墻規(guī)則（圖2）。

訪問ShieldsUP網(wǎng)站，運(yùn)行UPnP缺陷測(cè)試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個(gè)UPnP安全漏洞。要是你的路由器存在安全隱患，應(yīng)從廠商網(wǎng)站下載最新版本的固件加以更新，以解決這個(gè)問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購(gòu)買沒有這個(gè)問題的新路由器。更新固件或禁用UPnP后，記得重新運(yùn)行上述測(cè)試，確保路由器確實(shí)安全（圖3）。

確保其他設(shè)備無(wú)法訪問

相比路由器，確保打印機(jī)、攝像頭及其他設(shè)備無(wú)法通過互聯(lián)網(wǎng)來(lái)訪問會(huì)容易一些。假設(shè)這些設(shè)備都連接了路由器，完全可以控制它們是否可以從路由器來(lái)訪問。這些設(shè)備應(yīng)該與互聯(lián)網(wǎng)隔離，只能從本地網(wǎng)絡(luò)來(lái)訪問才比較安全。

一般路由器中的端口轉(zhuǎn)發(fā)和DMZ功能會(huì)涉及到這些問題。解決辦法也很直接，設(shè)置只轉(zhuǎn)發(fā)真正需要轉(zhuǎn)發(fā)的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會(huì)收到所有的入站流量包括外接設(shè)備，就好像外接設(shè)備直接連接到互聯(lián)網(wǎng)一樣。換句話說，DMZ里面的設(shè)備也喪失了在路由器后面被保護(hù)起來(lái)的安全性（圖4）。

如果確實(shí)想讓自己的設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問，比如利用攝像頭來(lái)監(jiān)視自家的情況，就應(yīng)該確保設(shè)備已安裝設(shè)置好。轉(zhuǎn)發(fā)路由器端口讓設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問后，就要確保它們?cè)O(shè)置好了不容易猜中的強(qiáng)密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設(shè)備連接到本地網(wǎng)絡(luò)，我們可以通過登錄到VPN，遠(yuǎn)程連接到本地網(wǎng)絡(luò)而不是設(shè)備直接連接到互聯(lián)網(wǎng)。確保一臺(tái)VPN服務(wù)器的安全性比保護(hù)幾個(gè)各自內(nèi)置Web服務(wù)器軟件的設(shè)備的安全性來(lái)得容易。

如果只需要從一個(gè)地方遠(yuǎn)程連接到設(shè)備，可以在路由器上創(chuàng)建防火墻規(guī)則，確保它們只能從一個(gè)IP地址來(lái)遠(yuǎn)程訪問。要是你想在網(wǎng)上共享打印機(jī)之類的設(shè)備，可以試著設(shè)置云打印之類的服務(wù)而不是直接暴露這些設(shè)備（圖5）。

鎖定無(wú)線網(wǎng)絡(luò)

現(xiàn)在流媒體共享如此發(fā)達(dá)，無(wú)線網(wǎng)絡(luò)上的任何設(shè)備都可以訪問、使用和配置這些新的聯(lián)網(wǎng)設(shè)備。不過只有本地?zé)o線網(wǎng)絡(luò)確實(shí)安全才行，如果無(wú)線網(wǎng)絡(luò)不安全，誰(shuí)都可以連接并劫持你的設(shè)備，進(jìn)一步瀏覽在網(wǎng)絡(luò)上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應(yīng)當(dāng)使用WPA2加密和相當(dāng)強(qiáng)的長(zhǎng)密碼，同時(shí)包括數(shù)字、符號(hào)以及字母。

我們還可以試著通過其他許多辦法來(lái)確保家庭網(wǎng)絡(luò)安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏?zé)o線網(wǎng)絡(luò)，不過這些也都是建立在WPA2加密和強(qiáng)密碼的基礎(chǔ)上的（圖6）。

確保路由器安全

在普通的家庭網(wǎng)絡(luò)上，路由器是最直接連接到互聯(lián)網(wǎng)的設(shè)備。如果配置正確，路由器是唯一可以從互聯(lián)網(wǎng)訪問的設(shè)備。其他所有設(shè)備連接到你的路由器，路由器就有可能泄露這些設(shè)備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現(xiàn)在很多普通路由器也有“遠(yuǎn)程管理”功能，讓用戶可以通過互聯(lián)網(wǎng)登錄到路由器，并配置其設(shè)置。絕大多數(shù)人根本不用這項(xiàng)功能，所以你應(yīng)該確保該功能已禁用。如果你啟用了這項(xiàng)功能，密碼又很薄弱，攻擊者就有可能遠(yuǎn)程登錄到你的路由器。你可以在路由器的Web界面找到這個(gè)選項(xiàng)關(guān)閉，要是你需要遠(yuǎn)程管理就得確保更改默認(rèn)密碼，可能的話還要定期更改（圖1）。

許多消費(fèi)級(jí)路由器存在一個(gè)嚴(yán)重的安全漏洞。UPnP是一種不安全的協(xié)議，讓本地網(wǎng)絡(luò)上的設(shè)備可以通過創(chuàng)建防火墻規(guī)則轉(zhuǎn)發(fā)路由器上的端口。不過UPnP存在一個(gè)常見的安全問題，路由器會(huì)接收來(lái)自互聯(lián)網(wǎng)的UPnP請(qǐng)求，讓互聯(lián)網(wǎng)上的人都能在你的路由器上創(chuàng)建防火墻規(guī)則（圖2）。

訪問ShieldsUP網(wǎng)站，運(yùn)行UPnP缺陷測(cè)試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個(gè)UPnP安全漏洞。要是你的路由器存在安全隱患，應(yīng)從廠商網(wǎng)站下載最新版本的固件加以更新，以解決這個(gè)問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購(gòu)買沒有這個(gè)問題的新路由器。更新固件或禁用UPnP后，記得重新運(yùn)行上述測(cè)試，確保路由器確實(shí)安全（圖3）。

確保其他設(shè)備無(wú)法訪問

相比路由器，確保打印機(jī)、攝像頭及其他設(shè)備無(wú)法通過互聯(lián)網(wǎng)來(lái)訪問會(huì)容易一些。假設(shè)這些設(shè)備都連接了路由器，完全可以控制它們是否可以從路由器來(lái)訪問。這些設(shè)備應(yīng)該與互聯(lián)網(wǎng)隔離，只能從本地網(wǎng)絡(luò)來(lái)訪問才比較安全。

一般路由器中的端口轉(zhuǎn)發(fā)和DMZ功能會(huì)涉及到這些問題。解決辦法也很直接，設(shè)置只轉(zhuǎn)發(fā)真正需要轉(zhuǎn)發(fā)的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會(huì)收到所有的入站流量包括外接設(shè)備，就好像外接設(shè)備直接連接到互聯(lián)網(wǎng)一樣。換句話說，DMZ里面的設(shè)備也喪失了在路由器后面被保護(hù)起來(lái)的安全性（圖4）。

如果確實(shí)想讓自己的設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問，比如利用攝像頭來(lái)監(jiān)視自家的情況，就應(yīng)該確保設(shè)備已安裝設(shè)置好。轉(zhuǎn)發(fā)路由器端口讓設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問后，就要確保它們?cè)O(shè)置好了不容易猜中的強(qiáng)密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設(shè)備連接到本地網(wǎng)絡(luò)，我們可以通過登錄到VPN，遠(yuǎn)程連接到本地網(wǎng)絡(luò)而不是設(shè)備直接連接到互聯(lián)網(wǎng)。確保一臺(tái)VPN服務(wù)器的安全性比保護(hù)幾個(gè)各自內(nèi)置Web服務(wù)器軟件的設(shè)備的安全性來(lái)得容易。

如果只需要從一個(gè)地方遠(yuǎn)程連接到設(shè)備，可以在路由器上創(chuàng)建防火墻規(guī)則，確保它們只能從一個(gè)IP地址來(lái)遠(yuǎn)程訪問。要是你想在網(wǎng)上共享打印機(jī)之類的設(shè)備，可以試著設(shè)置云打印之類的服務(wù)而不是直接暴露這些設(shè)備（圖5）。

鎖定無(wú)線網(wǎng)絡(luò)

現(xiàn)在流媒體共享如此發(fā)達(dá)，無(wú)線網(wǎng)絡(luò)上的任何設(shè)備都可以訪問、使用和配置這些新的聯(lián)網(wǎng)設(shè)備。不過只有本地?zé)o線網(wǎng)絡(luò)確實(shí)安全才行，如果無(wú)線網(wǎng)絡(luò)不安全，誰(shuí)都可以連接并劫持你的設(shè)備，進(jìn)一步瀏覽在網(wǎng)絡(luò)上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應(yīng)當(dāng)使用WPA2加密和相當(dāng)強(qiáng)的長(zhǎng)密碼，同時(shí)包括數(shù)字、符號(hào)以及字母。

我們還可以試著通過其他許多辦法來(lái)確保家庭網(wǎng)絡(luò)安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏?zé)o線網(wǎng)絡(luò)，不過這些也都是建立在WPA2加密和強(qiáng)密碼的基礎(chǔ)上的（圖6）。

確保路由器安全

在普通的家庭網(wǎng)絡(luò)上，路由器是最直接連接到互聯(lián)網(wǎng)的設(shè)備。如果配置正確，路由器是唯一可以從互聯(lián)網(wǎng)訪問的設(shè)備。其他所有設(shè)備連接到你的路由器，路由器就有可能泄露這些設(shè)備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現(xiàn)在很多普通路由器也有“遠(yuǎn)程管理”功能，讓用戶可以通過互聯(lián)網(wǎng)登錄到路由器，并配置其設(shè)置。絕大多數(shù)人根本不用這項(xiàng)功能，所以你應(yīng)該確保該功能已禁用。如果你啟用了這項(xiàng)功能，密碼又很薄弱，攻擊者就有可能遠(yuǎn)程登錄到你的路由器。你可以在路由器的Web界面找到這個(gè)選項(xiàng)關(guān)閉，要是你需要遠(yuǎn)程管理就得確保更改默認(rèn)密碼，可能的話還要定期更改（圖1）。

許多消費(fèi)級(jí)路由器存在一個(gè)嚴(yán)重的安全漏洞。UPnP是一種不安全的協(xié)議，讓本地網(wǎng)絡(luò)上的設(shè)備可以通過創(chuàng)建防火墻規(guī)則轉(zhuǎn)發(fā)路由器上的端口。不過UPnP存在一個(gè)常見的安全問題，路由器會(huì)接收來(lái)自互聯(lián)網(wǎng)的UPnP請(qǐng)求，讓互聯(lián)網(wǎng)上的人都能在你的路由器上創(chuàng)建防火墻規(guī)則（圖2）。

訪問ShieldsUP網(wǎng)站，運(yùn)行UPnP缺陷測(cè)試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個(gè)UPnP安全漏洞。要是你的路由器存在安全隱患，應(yīng)從廠商網(wǎng)站下載最新版本的固件加以更新，以解決這個(gè)問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購(gòu)買沒有這個(gè)問題的新路由器。更新固件或禁用UPnP后，記得重新運(yùn)行上述測(cè)試，確保路由器確實(shí)安全（圖3）。

確保其他設(shè)備無(wú)法訪問

相比路由器，確保打印機(jī)、攝像頭及其他設(shè)備無(wú)法通過互聯(lián)網(wǎng)來(lái)訪問會(huì)容易一些。假設(shè)這些設(shè)備都連接了路由器，完全可以控制它們是否可以從路由器來(lái)訪問。這些設(shè)備應(yīng)該與互聯(lián)網(wǎng)隔離，只能從本地網(wǎng)絡(luò)來(lái)訪問才比較安全。

一般路由器中的端口轉(zhuǎn)發(fā)和DMZ功能會(huì)涉及到這些問題。解決辦法也很直接，設(shè)置只轉(zhuǎn)發(fā)真正需要轉(zhuǎn)發(fā)的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會(huì)收到所有的入站流量包括外接設(shè)備，就好像外接設(shè)備直接連接到互聯(lián)網(wǎng)一樣。換句話說，DMZ里面的設(shè)備也喪失了在路由器后面被保護(hù)起來(lái)的安全性（圖4）。

如果確實(shí)想讓自己的設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問，比如利用攝像頭來(lái)監(jiān)視自家的情況，就應(yīng)該確保設(shè)備已安裝設(shè)置好。轉(zhuǎn)發(fā)路由器端口讓設(shè)備可以從互聯(lián)網(wǎng)來(lái)訪問后，就要確保它們?cè)O(shè)置好了不容易猜中的強(qiáng)密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設(shè)備連接到本地網(wǎng)絡(luò)，我們可以通過登錄到VPN，遠(yuǎn)程連接到本地網(wǎng)絡(luò)而不是設(shè)備直接連接到互聯(lián)網(wǎng)。確保一臺(tái)VPN服務(wù)器的安全性比保護(hù)幾個(gè)各自內(nèi)置Web服務(wù)器軟件的設(shè)備的安全性來(lái)得容易。

如果只需要從一個(gè)地方遠(yuǎn)程連接到設(shè)備，可以在路由器上創(chuàng)建防火墻規(guī)則，確保它們只能從一個(gè)IP地址來(lái)遠(yuǎn)程訪問。要是你想在網(wǎng)上共享打印機(jī)之類的設(shè)備，可以試著設(shè)置云打印之類的服務(wù)而不是直接暴露這些設(shè)備（圖5）。

鎖定無(wú)線網(wǎng)絡(luò)

現(xiàn)在流媒體共享如此發(fā)達(dá)，無(wú)線網(wǎng)絡(luò)上的任何設(shè)備都可以訪問、使用和配置這些新的聯(lián)網(wǎng)設(shè)備。不過只有本地?zé)o線網(wǎng)絡(luò)確實(shí)安全才行，如果無(wú)線網(wǎng)絡(luò)不安全，誰(shuí)都可以連接并劫持你的設(shè)備，進(jìn)一步瀏覽在網(wǎng)絡(luò)上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應(yīng)當(dāng)使用WPA2加密和相當(dāng)強(qiáng)的長(zhǎng)密碼，同時(shí)包括數(shù)字、符號(hào)以及字母。

我們還可以試著通過其他許多辦法來(lái)確保家庭網(wǎng)絡(luò)安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏?zé)o線網(wǎng)絡(luò)，不過這些也都是建立在WPA2加密和強(qiáng)密碼的基礎(chǔ)上的（圖6）。