你家路由器就是第一道防线
很多人觉得网络边界防护是企业才要操心的事,其实不然。你家的Wi-Fi、智能摄像头、电视盒子,全都是潜在入口。黑客不会直接攻破你的电脑,他们更喜欢从路由器下手,再慢慢往里摸。所以,别小看那个放在电视柜角落的路由器,它就是你数字生活的守门人。
打开浏览器,输入192.168.1.1,登录路由器后台,改掉默认密码,这一步能挡住八成基础攻击。很多设备出厂密码都是admin/admin,扫到就能进,进去之后还能偷看你的上网记录,甚至劫持流量。
防火墙不是摆设,得动起来
家用路由器自带的防火墙功能,多数默认只开了一半。比如SPI(状态包检测)可能没启用,或者DMZ主机误开了。建议关掉远程管理,禁用UPnP——这个功能虽然方便打游戏,但也让恶意程序自动开洞,等于自己拆墙。
如果你用的是支持刷机的设备,比如装了OpenWrt,可以加一条规则手动过滤可疑IP段:
iptables -A INPUT -s 1.1.1.1/8 -j DROP<br>iptables -A INPUT -s 9.9.9.9/8 -j DROP这只是示例,实际要根据威胁情报更新封禁列表。也可以装个轻量IDS插件,比如Suricata跑在旁路模式,发现异常连接立刻告警。
别让内网变成“裸奔区”
很多人外网防得严,内网却一团糟。手机连上家里Wi-Fi,顺手一扫,发现NAS、摄像头、NAS全在192.168.1.x网段,而且互相通。这就等于客厅装了防盗门,卧室窗户却大开着。
解决办法是划VLAN,把IoT设备单独隔离。比如小米摄像头归到VLAN 10,电脑手机在VLAN 20,彼此不通。就算摄像头被黑,也跳不到你的文件服务器上。中高端路由器或软路由基本都支持,设置不难,花半小时就能搞定。
公网暴露面越少越好
有人喜欢把自己的NAS挂公网,方便在外访问。但直接把端口映射出去,等于在墙上写“此地有银三百两”。正确的做法是用内网穿透工具,比如Tailscale或ZeroTier,建个虚拟局域网,通过认证才能进,既安全又不用暴露IP。
如果你非要用端口转发,至少加上地理IP过滤,只允许国内访问。国外IP尝试连接SSH,直接丢进黑洞路由。这类规则在爱快、MikroTik这些系统上几下就能配好。
网络边界防护不是一劳永逸的事。就像你换锁芯不会只换一次,定期检查设备固件有没有更新,关闭不用的服务,查看登录日志有没有陌生IP,这些习惯比任何高级工具都管用。