你的路由器是抵御黑客试图访问你家中所有互联网连接设备的第一道防线。可悲的是，许多顶级Wi-Fi路由器很容易被黑客入侵。你应该关心，也要确保你的路由器设置正确。

我们已经讨论了你应该在路由器上更改的基本设置，这些设置仍然适用。

重述：

• 如果可能，更改默认管理员密码和用户名
• 更改SSID（或无线网络的名称），这样您的设备不会总是接受与类似命名网络（例如“linksys”）的连接，因此您不会向黑客提供更多关于路由器型号（例如“linksys”）的线索
• 将无线安全模式设置为WPA2，并为其选择一个良好的长密码

希望您已经做了这些安全更改。不过，除了这些基本功能之外，在黑客日益猖獗的时代，你还可以做更多的事情来锁定你的网络安全。

如果路由器支持，请安装dd wrt或tomato

除了给你的路由器增加额外的功能外，开源路由器固件DD-WRT和Tomato可能比你的路由器附带的普通固件更安全。DD-WRT和Tomato对许多路由器中发现的漏洞不太敏感，例如WPS（Wi-Fi保护设置）的问题。它们还可以更定期地更新，提供更多的安全选项（如高级日志记录或使用DNSCrypt加密DNS），并让您可以更好地控制硬件。安全专家Brian Krebs说：

大多数股票路由器固件相当笨重和**裸的，否则包括未记录的“功能”或限制。

通常，在升级路由器固件时，我倾向于引导人们远离**商的固件，转向其他开源替代品，如DD-WRT或Tomato。我长期以来一直依赖于DD-WRT，因为它提供了所有的**，口哨和选项，你可能会想要在一个路由器固件，但它通常保持默认关闭这些功能，除非你把他们打开。

查看DD-WRT和Tomato支持的设备页面，看看它们是否适合您。番茄的用户友好，但DD-WRT是挤满了更多的设置。

定期更新固件

无论您使用的是库存固件还是第三方固件，都必须保持固件的最新状态，因为新的漏洞随时都会被发现（比如Linksys bug，它让远程用户无需登录即可访问管理控制台，或者是一些流行路由器内置的后门）。

更新固件的实际步骤可能因路由器而异，但大多数步骤都允许您从路由器控制面板检查新固件。在浏览器中，输入路由器的IP地址，登录，然后查看“高级设置”或“管理”部分。或者，您可以查看路由器**商的支持网站，查看是否有新固件可用。

有些路由器还提供自动更新到最新固件的功能，但是您可能更喜欢检查更新提供的内容并手动安装。

关闭远程管理

在许多路由器上，这在默认情况下已经关闭，但为了以防万一，请检查是否禁用了远程管理（也称为远程管理或从WAN启用web访问）。远程管理允许您从家庭网络外部访问路由器的控制面板，这样您就可以了解为什么这会是一个问题。同样，此设置可能在“高级”或“管理”部分下。

禁用upnp

通用即插即用（universalplug-and-Play）的设计目的是使路由器更容易发现网络设备。不幸的是，这个协议也充满了严重的安全漏洞，UPnP的错误和糟糕的实现影响了数百万在线连接的设备。最大的问题是UPnP没有任何类型的身份验证（它认为每个设备和用户都是可信的）。How To Geek解释了在路由器上启用UPnP的一些问题，其中包括恶意应用程序将流量重新路由到本地网络之外的不同IP地址的可能性。

GRC的UPnP测试可以告诉你，如果你的设备是不安全的，并暴露在公共互联网上，在这种情况下，你应该断开他们(注：点击页面右上角的红丝带运行实际测试；您通过该链接登录的页面只是一个示例。）

要关闭路由器上的UPnP，请进入管理控制台并查找UPnP设置（在许多路由器上，这在管理部分下）。同时禁用“允许用户配置UPnP”选项（如果可用）。请记住，这并不影响您的能力，例如，流视频通过您的网络与UPnP它只影响您的网络以外的事情。这意味着您可能需要手动设置端口转发，以便像BitTorrent这样的东西以最佳方式工作。

其他可能不值得麻烦的设置

你可能也听说过其他设置，比如打开MAC过滤或者隐藏你的网络SSID，但是尽管它们很麻烦，它们并没有增加很多安全性。

ssid隐藏

乍一看，隐藏路由器的SSID听起来是个好主意，但实际上可能会降低安全性。Wi-Fi安全专家Joshua Wright在Tech Republic上解释道：

问题：约书亚，请告诉我你对禁用路由器SSID广播的想法。

约书亚·赖特：这是个坏主意。我知道PCI规范要求您这样做，我告诉他们，他们需要从规范中删除这个需求。假设你是**的基地，你不会告诉你的代理人你在哪里。他们不得不四处走来走去，不断地向所有人询问“你是**基地吗？”。最后，一些狡猾的黑客或坏人会说“我是你的基地，进来和我分享你的秘密。”这基本上就是SSID斗篷发生的情况，你必须询问你遇到的每个AP，如果他们想要的SSID可用，让攻击者在机场，咖啡店，飞机上冒充你的SSID，总之，不要把你的SSID遮掩，但也不要让SSID像“**背包”这样的东西。

隐藏你的路由器SSID可能会阻止你的邻居尝试在你的网络上释放负载，但它不会阻止有能力的黑客，甚至可以作为一个响亮的信号灯告诉他们，“嘿，我试图隐藏。”此外，如果你想让你的邻居从释放负载，只要确保你有一个安全的密码。

mac过滤

类似地，MAC过滤，它限制网络访问只允许你允许的设备，听起来不错，可以提供额外的保护，防止你的平均免费加载程序，但MAC地址很容易欺骗。堆栈交换用户sysadmin1138总结如下：

对于那些特别想要你的网络的人来说，加密（尤其是未破坏的加密）将提供更高的安全性。MAC欺骗在大多数适配器中都是很简单的，在您破解网络到了可以监视飞行中数据包的程度之后，您可以获得有效MAC地址列表。SSID在那一点上也很微不足道。由于工具集的自动化性质，MAC过滤和SSID隐藏不再值得再努力了。在我看来。

也就是说，如果你不介意麻烦的话，打开MAC过滤不会有什么坏处。只是要知道，这似乎不是很强的安全功能，如果你有新的设备，或有朋友来拜访，这是相当麻烦的。

静态ip地址

最后，还有一个设置可以考虑更改：关闭DHCP，它会自动将网络地址分发给连接到路由器的设备。相反，您可以为所有设备分配静态IP地址。其原理是，如果DHCP被禁用，未知机器将不会获得地址。

然而，DHCP和静态ip都有风险和缺点，正如关于Stack Exchage的讨论所指出的那样；静态IP容易受到欺骗攻击，而通过DHCP获取IP的设备可能受到来自恶意DHCP服务器的中间人攻击。对于哪种安全性更好还没有达成一致意见（尽管微软社区的一些人说这没有任何区别）。

如果你已经完全掌握了上面几节提到的安全设置，那就安静地休息一下，知道你很可能已经尽了最大努力来保护你的家庭网络。