你的路由器是抵禦駭客試圖訪問你家中所有網際網路連線裝置的第一道防線。可悲的是，許多頂級Wi-Fi路由器很容易被駭客入侵。你應該關心，也要確保你的路由器設定正確。

我們已經討論了你應該在路由器上更改的基本設定，這些設定仍然適用。

重述：

• 如果可能，更改預設管理員密碼和使用者名稱
• 更改SSID（或無線網路的名稱），這樣您的裝置不會總是接受與類似命名網路（例如“linksys”）的連線，因此您不會向駭客提供更多關於路由器型號（例如“linksys”）的線索
• 將無線安全模式設定為WPA2，併為其選擇一個良好的長密碼

希望您已經做了這些安全更改。不過，除了這些基本功能之外，在駭客日益猖獗的時代，你還可以做更多的事情來鎖定你的網路安全。

如果路由器支援，請安裝dd wrt或tomato

除了給你的路由器增加額外的功能外，開源路由器韌體DD-WRT和Tomato可能比你的路由器附帶的普通韌體更安全。DD-WRT和Tomato對許多路由器中發現的漏洞不太敏感，例如WPS（Wi-Fi保護設定）的問題。它們還可以更定期地更新，提供更多的安全選項（如高階日誌記錄或使用DNSCrypt加密DNS），並讓您可以更好地控制硬體。安全專家Brian Krebs說：

大多數股票路由器韌體相當笨重和**裸的，否則包括未記錄的“功能”或限制。

通常，在升級路由器韌體時，我傾向於引導人們遠離**商的韌體，轉向其他開源替代品，如DD-WRT或Tomato。我長期以來一直依賴於DD-WRT，因為它提供了所有的**，口哨和選項，你可能會想要在一個路由器韌體，但它通常保持預設關閉這些功能，除非你把他們開啟。

檢視DD-WRT和Tomato支援的裝置頁面，看看它們是否適合您。番茄的使用者友好，但DD-WRT是擠滿了更多的設定。

定期更新韌體

無論您使用的是庫存韌體還是第三方韌體，都必須保持韌體的最新狀態，因為新的漏洞隨時都會被髮現（比如Linksys bug，它讓遠端使用者無需登入即可訪問管理控制檯，或者是一些流行路由器內建的後門）。

更新韌體的實際步驟可能因路由器而異，但大多數步驟都允許您從路由器控制面板檢查新韌體。在瀏覽器中，輸入路由器的IP地址，登入，然後檢視“高階設定”或“管理”部分。或者，您可以檢視路由器**商的支援網站，檢視是否有新韌體可用。

有些路由器還提供自動更新到最新韌體的功能，但是您可能更喜歡檢查更新提供的內容並手動安裝。

關閉遠端管理

在許多路由器上，這在預設情況下已經關閉，但為了以防萬一，請檢查是否禁用了遠端管理（也稱為遠端管理或從WAN啟用web訪問）。遠端管理允許您從家庭網路外部訪問路由器的控制面板，這樣您就可以瞭解為什麼這會是一個問題。同樣，此設定可能在“高階”或“管理”部分下。

禁用upnp

通用即插即用（universalplug-and-Play）的設計目的是使路由器更容易發現網路裝置。不幸的是，這個協議也充滿了嚴重的安全漏洞，UPnP的錯誤和糟糕的實現影響了數百萬線上連線的裝置。最大的問題是UPnP沒有任何型別的身份驗證（它認為每個裝置和使用者都是可信的）。How To Geek解釋了在路由器上啟用UPnP的一些問題，其中包括惡意應用程式將流量重新路由到本地網路之外的不同IP地址的可能性。

GRC的UPnP測試可以告訴你，如果你的裝置是不安全的，並暴露在公共網際網路上，在這種情況下，你應該斷開他們(註：點選頁面右上角的紅絲帶執行實際測試；您透過該連結登入的頁面只是一個示例。）

要關閉路由器上的UPnP，請進入管理控制檯並查詢UPnP設定（在許多路由器上，這在管理部分下）。同時禁用“允許使用者配置UPnP”選項（如果可用）。請記住，這並不影響您的能力，例如，流影片透過您的網路與UPnP它隻影響您的網路以外的事情。這意味著您可能需要手動設定埠轉發，以便像BitTorrent這樣的東西以最佳方式工作。

其他可能不值得麻煩的設定

你可能也聽說過其他設定，比如開啟MAC過濾或者隱藏你的網路SSID，但是儘管它們很麻煩，它們並沒有增加很多安全性。

ssid隱藏

乍一看，隱藏路由器的SSID聽起來是個好主意，但實際上可能會降低安全性。Wi-Fi安全專家Joshua Wright在Tech Republic上解釋道：

問題：約書亞，請告訴我你對禁用路由器SSID廣播的想法。

約書亞·賴特：這是個壞主意。我知道PCI規範要求您這樣做，我告訴他們，他們需要從規範中刪除這個需求。假設你是**的基地，你不會告訴你的代理人你在哪裡。他們不得不四處走來走去，不斷地向所有人詢問“你是**基地嗎？”。最後，一些狡猾的駭客或壞人會說“我是你的基地，進來和我分享你的祕密。”這基本上就是SSID斗篷發生的情況，你必須詢問你遇到的每個AP，如果他們想要的SSID可用，讓攻擊者在機場，咖啡店，飛機上冒充你的SSID，總之，不要把你的SSID遮掩，但也不要讓SSID像“**揹包”這樣的東西。

隱藏你的路由器SSID可能會阻止你的鄰居嘗試在你的網路上釋放負載，但它不會阻止有能力的駭客，甚至可以作為一個響亮的訊號燈告訴他們，“嘿，我試圖隱藏。”此外，如果你想讓你的鄰居從釋放負載，只要確保你有一個安全的密碼。

mac過濾

類似地，MAC過濾，它限制網路訪問只允許你允許的裝置，聽起來不錯，可以提供額外的保護，防止你的平均免費載入程式，但MAC地址很容易欺騙。堆疊交換使用者sysadmin1138總結如下：

對於那些特別想要你的網路的人來說，加密（尤其是未破壞的加密）將提供更高的安全性。MAC欺騙在大多數介面卡中都是很簡單的，在您破解網路到了可以監視飛行中資料包的程度之後，您可以獲得有效MAC地址列表。SSID在那一點上也很微不足道。由於工具集的自動化性質，MAC過濾和SSID隱藏不再值得再努力了。在我看來。

也就是說，如果你不介意麻煩的話，開啟MAC過濾不會有什麼壞處。只是要知道，這似乎不是很強的安全功能，如果你有新的裝置，或有朋友來拜訪，這是相當麻煩的。

靜態ip地址

最後，還有一個設定可以考慮更改：關閉DHCP，它會自動將網路地址分發給連線到路由器的裝置。相反，您可以為所有裝置分配靜態IP地址。其原理是，如果DHCP被禁用，未知機器將不會獲得地址。

然而，DHCP和靜態ip都有風險和缺點，正如關於Stack Exchage的討論所指出的那樣；靜態IP容易受到欺騙攻擊，而透過DHCP獲取IP的裝置可能受到來自惡意DHCP伺服器的中間人攻擊。對於哪種安全性更好還沒有達成一致意見（儘管微軟社群的一些人說這沒有任何區別）。

如果你已經完全掌握了上面幾節提到的安全設定，那就安靜地休息一下，知道你很可能已經盡了最大努力來保護你的家庭網路。