這樣設定路由：99.9%的黑客都攻不破

路由安全，是個大話題。

路由器的後臺設定項太過專業，蹭網路卡風靡一時，傳說中的黑客似乎厲害的沒影……看起來家裡這臺路由器根本就沒得救了。只要有位稍懂的黑客盯上，分分鐘被攻破。

宅客君之前曾從多個角度探討這個話題，包括技術分析、測試、協議規範溯源等等。但這些東西里邊，都沒有談過路由本身多年發展的安全機制。我們忽略了最重要的東西：其實通過路由本身的安全防護，已經可以做到一個非常高的安全水平。

下邊宅客君將告訴大家，如何利用這些熟悉而又陌生的路由安全設定，來打造一臺 99.9% 的黑客都攻不破的安全路由器。

MAC 白名單機制

在眾多防護機制中，MAC 地址白名單絕對是一等一的標配功能。上至千元頂配，下探幾十元小 mini，這個功能一定妥妥的在著。不過別因此小看它，這可是關乎路由防蹭網的殺器。

大家應該都有聽過“蹭網路卡”、“Wi-Fi 萬能鑰匙”這兩種東西。第一種專治 Wi-Fi 密碼，最強的 WPA2 加密有可能幾分鐘能破掉（弱密碼、強字典的特別場景）；即使是一個強密碼破不掉，說不定哪天你一位訪客手機上有個類似“萬能鑰匙”的 App，手一滑，這個無線密碼還是被公諸於眾了。

以上是表示，大家的無線密碼並不可靠。而 MAC 白名單機制卻可以保障不被蹭網，每臺想上網的裝置，必須曾經被你加入過白名單，新的陌生裝置只能在內網流浪。

MAC 白名單功能位於左側選單“高階設定”內，如果你家裡裝置較多，設定白名單得下苦功夫了。其實還有更方便的做法，大家應該記得今年兩款安全做的不錯的智慧路由 360、魔豆，它們可以在新使用者接入時讓你確認是否允許上網，這其實就是利用 MAC 白名單的機制。另外小米路由的白名單功能也還方便，只是沒有前邊兩款好使。

AP 隔離

前邊說過，即使做了 MAC 白名單，新的陌生裝置還是在內網亂逛，這可不行，有危險。要是這個陌生裝置技藝高超，一個“混雜模式”監聽走起，內網資訊就全被它收過去了。

AP 隔離是個好東西。有它在，連入區域網的裝置間都是隔離的，資料不互通。這時的陌生裝置技藝再高超也沒法來監聽你上網的資料了。

不過它也有缺點，比如導致區域網軟體基本沒法使用。包括 QQ 的區域網速傳、飛鴿傳書等一大票功能都要廢掉，目前還不確定區域網遊戲對戰、檔案共享（SMB）這些功能是否能用，但目測可能性不大。

AP 隔離算是稍微高階的功能，百元以上的傳統路由基本支援。但需要提醒，智慧路由由於歷史不長，有些廠商可能也還未做到這一功能。宅客君稍後將檢查一批路由，並公佈結果於此。

庖丁小道

在講完無線的外網、內網安全後，其實還有些旁門小道可以聊聊。

埠。普通路由上一般可能會開放 80（遠端訪問）、23（SSH）以及某些隨機埠（廠商測試用），不過按照安全準則，還是儘量不開設埠。前不久某T大廠由於在穩定版韌體中未關閉測試埠，結果成了安全界大笑話。

防 DDOS。這個模組很重要，如果路由被 DDOS，整個網速會下降的很厲害。防 DDOS，就是保證路由遭受時使用者不受影響。

802. X。它是一個企業級的功能，每臺裝置需要輸入賬號密碼才能去連線，伺服器驗證登陸資訊並返回是否可以接入網路、何等許可權等。802.X 可以一定程度上充當 MAC 白名單的作用。

如文章開頭所說，路由安全是個大話題。以上大部分是保證無線網路的安全，關於有線網路，因為在家裡，我們預設它是安全狀態的，有問題直接拔線就行。另一部分龐大複雜的 VLAN 機制就不講了。

知乎曾有一貼“蹭網之後，能做些什麼？”引發了廣泛討論，而依照我們以上設定：開啟白名單驗證，入侵者就沒法通過網路上網；後臺防 DDOS 後，暴力破解後臺密碼不行了；開啟 AP 隔離後，所有嗅探都被廢掉。看到沒，安全等級是不是一下子提高了N倍，至少一般入侵者可不行。怎麼著也得手中肉雞多多、0day 多多。

不過想做到安全，也意味著要付出代價。現在我們的“內網”算是名存實亡了，每次新裝置接入也得費點心去確認。這臺路由，你得費心了。

附上述知乎貼內給出的小白安全建議，知易行難，僅作科普：

1、路由器連線密碼要複雜一點，比如 testak47521test 要比 ak47521 好很多

2、趕緊把路由器管理後臺的帳號和密碼改掉。90% 的懶人還在 admin admin

3、不要告訴不可信人員你的 Wi-Fi 密碼。

4、移動裝置不要越獄不要 ROOT，ROOT/越獄後的裝置等於公交車隨便上

5、常登陸路由器管理後臺，看看有沒有連線不認識的裝置連入了 Wi-Fi，有的話斷開並封掉 Mac 地址。封完以後馬上修改 Wi-Fi 密碼和路由器後臺帳號密碼。

6、繫結 IP MAC 地址

7、More