家里装了宽带,路由器一插电就开始上网,很多人觉得这样就万事大吉。其实,路由器自带的防火墙默认设置未必足够安全。尤其现在智能家居越来越多,摄像头、智能音箱、空调都连着网络,一旦被外部攻击,隐私可能就被泄露了。
什么是网络通信防火墙
防火墙就像家门口的门禁系统,决定哪些网络请求能进来,哪些要拦在外面。比如你正在用手机远程查看家里的摄像头,这个连接请求需要通过防火墙放行;而某个陌生IP试图扫描你家路由器的管理页面,防火墙就应该把它挡住。
大多数家用路由器内置了基础防火墙功能,但出厂设置通常偏向“通”,为了兼容各种设备,开放了不少端口。这对普通用户来说方便,但也增加了风险。
常见需要关闭的危险端口
路由器管理界面默认开启80或8080端口,允许通过浏览器访问设置页面。如果这个端口对公网开放,黑客就能尝试暴力破解密码。建议在路由器设置中关闭“远程管理”功能,或者限制只能局域网内访问。
另一个高危端口是23(Telnet)和22(SSH),这些调试接口一旦暴露,容易被利用获取设备控制权。除非你在做技术调试,否则应保持关闭状态。
设置入站规则保护自己
登录路由器后台,在“防火墙”或“安全设置”里找到“入站过滤”或“访问控制”选项。可以添加一条规则:拒绝所有来自外网的连接请求,除非明确允许。
例如,你想让家人在外通过远程桌面看家中电脑,可以单独开放3389端口,并绑定到该电脑的内网IP。其他所有端口一律屏蔽,减少被攻击面。
# 示例:iptables 规则(适用于支持自定义脚本的路由器)
<iptables -P INPUT DROP>
<iptables -A INPUT -i lo -j ACCEPT>
<iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT>
<iptables -A INPUT -p tcp --dport 3389 -j ACCEPT>
<iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT></iptables>上面这段规则的意思是:默认拒绝所有进入的连接,但允许本地回环、已建立的连接、访问3389端口,以及来自家庭局域网的设备。
启用日志记录,发现问题及时处理
很多路由器支持开启防火墙日志。打开后,可以在系统日志里看到哪些IP尝试连接你的网络,有没有频繁的失败登录记录。某天发现一个国外IP连续几千次扫描你的端口,这就是明显的攻击迹象,可以考虑更换公网IP或加强防护。
有些运营商分配的是动态IP,重启光猫就会换地址,这本身也是一种被动防御方式。但如果你办理了固定IP专线,那就更得重视防火墙配置。
别以为家里没多少数据就不需要防护。现在的勒索病毒会自动扫描弱密码设备,一旦入侵就加密文件索要赎金。一个没设防的NAS存储,可能存着全家几年的照片视频,丢了就真没了。