正在阅读：这样设置你的路由：99.9%的黑客都攻不破这样设置你的路由：99.9%的黑客都攻不破

　　【PConline 资讯】路由安全，一直是个大话题。

　　对于很多不想深究路由器功能，对数码产品并不感冒的普通用户来说，路由后台里的一些设置项目的确太过专业（恐怕有些连专家选手也一知半解），蹭网卡风靡一时，传说中的黑客似乎厉害的没影，家里的路由器只好一直“裸奔”，没得救了……

　　我们之前曾从多个角度探讨这个话题，包括技术分析、测试、协议规范溯源等等。但这些东西里边，都没有谈过路由本身多年发展的安全机制。我们忽略了最重要的东西：其实通过路由本身的安全防护，已经可以做到一个非常高的安全水平。

　　下边我们将告诉大家，如何利用这些熟悉而又陌生的路由安全设置，来打造一台99.9%的黑客都攻不破的安全路由器。

　　MAC白名单机制

　　在众多防护机制中，MAC地址白名单绝对是一等一的标配功能。上至千元顶配，下探几十元小作坊，这个功能一定都会有。不过别因此小看它，这可是关乎路由防蹭网的杀器。

　　大家应该都有听过“蹭网卡”、“Wi-Fi万能钥匙”这两种东西。第一种专治Wi-Fi密码，最强的WPA2加密有可能几分钟就被破掉（弱密码、强字典的特别场景）；即使是一个强密码破不掉，说不定哪天你家来客人，正巧他手机装着类似“万能钥匙”的App，手一滑，你的密码还是会被公诸于众。

　　这么说是想告诉大家，无线密码并不可靠。而MAC白名单机制却可以很好的弥补这一点，保障自己的网络不被蹭：每台想上网的设备，必须曾经被你加入过白名单，新的陌生设备只能在内网流浪。

　　MAC白名单功能一般位于路由后台“高级设置”内，如果你家里设备较多，没办法，一个一个填吧。说到这就不得不提今年上市的几款智能路由器，型号我就不说了省得被人说是打广告，它们可以在新用户接入时让你确认是否允许上网，这其实就是利用了MAC白名单机制。

　　之所以路由变“智能”，只是因为厂家通过某些看似“高深”的手段，将已有的不被用户认知或经常被忽略的功能“包装”成好的用户体验而已——没错，智能路由的秘密其实就这么简单。不过，我们到并不认为厂商这么做“投机取巧”，把“高大上”的生锈功能挖出来，做得不再“反人类”，能更好的服务用户，就是好事。

　　至于MAC过滤，即可看作是MAC黑名单，和白名单机制一样，但黑名单实现的效果显然没有白名单那么有“力度”，只是对名单中指定的MAC进行隔离。

　　AP隔离

　　前边说到，即使做了MAC白名单，新的陌生设备还是在内网乱逛，这可不行，有危险。要是这个陌生设备技艺高超，一个“混杂模式”监听走起，内网信息就全被它收过去了。

　　这时还有个好东西可以用——AP隔离。有它在，连入局域网的设备间都是隔离的，数据不互通。如此一来，即便陌生设备技艺再高超也没法再来监听你了。

　　不过AP隔离也有缺点，比如导致局域网软件基本没法使用。包括QQ的局域网速传、飞鸽传书等一大票功能都要废掉，目前还不确定局域网游戏对战、文件共享（SMB）这些功能是否能用，但目测可能性不大。

　　AP隔离算是稍微高级的功能，百元以上的传统路由基本支持。但需要提醒，智能路由由于资历的关系，有些产品可能也还未做到这一功能，在意路由安全的消费者，在选购前一定要看清楚。

　　庖丁小道

　　在讲完无线的外网、内网安全后，其实还有些旁门小道可以聊聊。

　　端口。普通路由上一般可能会开放80（远程访问）、23（SSH）以及某些随机端口（厂商测试用），不过按照安全准则，还是尽量不开设端口。前不久某路由大厂由于在稳定版固件中未关闭测试端口，结果成了安全界大笑话。

　　防DDOS。这个模块很重要，如果路由被DDOS，整个网速会下降的很厉害。防DDOS，就是保证路由遭受时用户不受影响。

　　802.X。它是一个企业级的功能，每台设备需要输入账号密码进行认证才能通过，服务器验证登陆信息并返回是否可以接入网络、何等权限等。一定程度上，802.X可以看作是MAC白名单的一个变种。

　　如文章开头所说，路由安全是个大话题。以上大部分是保证无线网络的安全，关于有线网络，因为在家里，我们默认它是安全状态的，有问题直接拔线就行。另一部分庞大复杂的VLAN机制就不讲了。

　　知乎曾有一贴“蹭网之后，能做些什么？”引发了广泛讨论，而依照我们以上设置：开启白名单验证，入侵者就没法通过网络上网；后台防DDOS后，暴力破解后台密码不行了；开启AP隔离后，所有嗅探都被废掉。看到没，安全等级是不是一下子提高了N倍，至少可以把一般入侵者拒之门外了。怎么着也得手中肉鸡多多、0day多多。

　　不过想做到安全，也意味着要付出代价。现在我们的“内网”算是名存实亡了，每次新设备接入也得费点心去确认。这台路由，你得费心了。

　　附上述知乎贴内给出的小白安全建议，知易行难，仅作科普：

　　1、路由器连接密码要复杂一点，比如testak47521test要比ak47521好很多

　　2、赶紧把路由器管理后台的帐号和密码改掉。90%的懒人还在admin admin

　　3、不要告诉不可信人员你的Wi-Fi密码。

　　4、移动设备不要越狱不要ROOT，ROOT/越狱后的设备等于公交车随便上

　　5、常登陆路由器管理后台，看看有没有连接不认识的设备连入了 Wi-Fi，有的话断开并封掉 Mac 地址。封完以后马上修改Wi-Fi密码和路由器后台帐号密码。

　　6、绑定IP MAC地址

　　7、More