杜絕本地設備被遠程訪問

沈建苗

確保路由器安全

在普通的家庭網絡上，路由器是最直接連接到互聯網的設備。如果配置正確，路由器是唯一可以從互聯網訪問的設備。其他所有設備連接到你的路由器，路由器就有可能泄露這些設備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現在很多普通路由器也有“遠程管理”功能，讓用戶可以通過互聯網登錄到路由器，并配置其設置。絕大多數人根本不用這項功能，所以你應該確保該功能已禁用。如果你啟用了這項功能，密碼又很薄弱，攻擊者就有可能遠程登錄到你的路由器。你可以在路由器的Web界面找到這個選項關閉，要是你需要遠程管理就得確保更改默認密碼，可能的話還要定期更改（圖1）。

許多消費級路由器存在一個嚴重的安全漏洞。UPnP是一種不安全的協議，讓本地網絡上的設備可以通過創建防火墻規則轉發路由器上的端口。不過UPnP存在一個常見的安全問題，路由器會接收來自互聯網的UPnP請求，讓互聯網上的人都能在你的路由器上創建防火墻規則（圖2）。

訪問ShieldsUP網站，運行UPnP缺陷測試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個UPnP安全漏洞。要是你的路由器存在安全隱患，應從廠商網站下載最新版本的固件加以更新，以解決這個問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購買沒有這個問題的新路由器。更新固件或禁用UPnP后，記得重新運行上述測試，確保路由器確實安全（圖3）。

確保其他設備無法訪問

相比路由器，確保打印機、攝像頭及其他設備無法通過互聯網來訪問會容易一些。假設這些設備都連接了路由器，完全可以控制它們是否可以從路由器來訪問。這些設備應該與互聯網隔離，只能從本地網絡來訪問才比較安全。

一般路由器中的端口轉發和DMZ功能會涉及到這些問題。解決辦法也很直接，設置只轉發真正需要轉發的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會收到所有的入站流量包括外接設備，就好像外接設備直接連接到互聯網一樣。換句話說，DMZ里面的設備也喪失了在路由器后面被保護起來的安全性（圖4）。

如果確實想讓自己的設備可以從互聯網來訪問，比如利用攝像頭來監視自家的情況，就應該確保設備已安裝設置好。轉發路由器端口讓設備可以從互聯網來訪問后，就要確保它們設置好了不容易猜中的強密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設備連接到本地網絡，我們可以通過登錄到VPN，遠程連接到本地網絡而不是設備直接連接到互聯網。確保一臺VPN服務器的安全性比保護幾個各自內置Web服務器軟件的設備的安全性來得容易。

如果只需要從一個地方遠程連接到設備，可以在路由器上創建防火墻規則，確保它們只能從一個IP地址來遠程訪問。要是你想在網上共享打印機之類的設備，可以試著設置云打印之類的服務而不是直接暴露這些設備（圖5）。

鎖定無線網絡

現在流媒體共享如此發達，無線網絡上的任何設備都可以訪問、使用和配置這些新的聯網設備。不過只有本地無線網絡確實安全才行，如果無線網絡不安全，誰都可以連接并劫持你的設備，進一步瀏覽在網絡上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應當使用WPA2加密和相當強的長密碼，同時包括數字、符號以及字母。

我們還可以試著通過其他許多辦法來確保家庭網絡安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏無線網絡，不過這些也都是建立在WPA2加密和強密碼的基礎上的（圖6）。

確保路由器安全

在普通的家庭網絡上，路由器是最直接連接到互聯網的設備。如果配置正確，路由器是唯一可以從互聯網訪問的設備。其他所有設備連接到你的路由器，路由器就有可能泄露這些設備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現在很多普通路由器也有“遠程管理”功能，讓用戶可以通過互聯網登錄到路由器，并配置其設置。絕大多數人根本不用這項功能，所以你應該確保該功能已禁用。如果你啟用了這項功能，密碼又很薄弱，攻擊者就有可能遠程登錄到你的路由器。你可以在路由器的Web界面找到這個選項關閉，要是你需要遠程管理就得確保更改默認密碼，可能的話還要定期更改（圖1）。

許多消費級路由器存在一個嚴重的安全漏洞。UPnP是一種不安全的協議，讓本地網絡上的設備可以通過創建防火墻規則轉發路由器上的端口。不過UPnP存在一個常見的安全問題，路由器會接收來自互聯網的UPnP請求，讓互聯網上的人都能在你的路由器上創建防火墻規則（圖2）。

訪問ShieldsUP網站，運行UPnP缺陷測試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個UPnP安全漏洞。要是你的路由器存在安全隱患，應從廠商網站下載最新版本的固件加以更新，以解決這個問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購買沒有這個問題的新路由器。更新固件或禁用UPnP后，記得重新運行上述測試，確保路由器確實安全（圖3）。

確保其他設備無法訪問

相比路由器，確保打印機、攝像頭及其他設備無法通過互聯網來訪問會容易一些。假設這些設備都連接了路由器，完全可以控制它們是否可以從路由器來訪問。這些設備應該與互聯網隔離，只能從本地網絡來訪問才比較安全。

一般路由器中的端口轉發和DMZ功能會涉及到這些問題。解決辦法也很直接，設置只轉發真正需要轉發的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會收到所有的入站流量包括外接設備，就好像外接設備直接連接到互聯網一樣。換句話說，DMZ里面的設備也喪失了在路由器后面被保護起來的安全性（圖4）。

如果確實想讓自己的設備可以從互聯網來訪問，比如利用攝像頭來監視自家的情況，就應該確保設備已安裝設置好。轉發路由器端口讓設備可以從互聯網來訪問后，就要確保它們設置好了不容易猜中的強密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設備連接到本地網絡，我們可以通過登錄到VPN，遠程連接到本地網絡而不是設備直接連接到互聯網。確保一臺VPN服務器的安全性比保護幾個各自內置Web服務器軟件的設備的安全性來得容易。

如果只需要從一個地方遠程連接到設備，可以在路由器上創建防火墻規則，確保它們只能從一個IP地址來遠程訪問。要是你想在網上共享打印機之類的設備，可以試著設置云打印之類的服務而不是直接暴露這些設備（圖5）。

鎖定無線網絡

現在流媒體共享如此發達，無線網絡上的任何設備都可以訪問、使用和配置這些新的聯網設備。不過只有本地無線網絡確實安全才行，如果無線網絡不安全，誰都可以連接并劫持你的設備，進一步瀏覽在網絡上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應當使用WPA2加密和相當強的長密碼，同時包括數字、符號以及字母。

我們還可以試著通過其他許多辦法來確保家庭網絡安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏無線網絡，不過這些也都是建立在WPA2加密和強密碼的基礎上的（圖6）。

確保路由器安全

在普通的家庭網絡上，路由器是最直接連接到互聯網的設備。如果配置正確，路由器是唯一可以從互聯網訪問的設備。其他所有設備連接到你的路由器，路由器就有可能泄露這些設備，所以一定要確保路由器本身很安全。

不僅是智能路由器，現在很多普通路由器也有“遠程管理”功能，讓用戶可以通過互聯網登錄到路由器，并配置其設置。絕大多數人根本不用這項功能，所以你應該確保該功能已禁用。如果你啟用了這項功能，密碼又很薄弱，攻擊者就有可能遠程登錄到你的路由器。你可以在路由器的Web界面找到這個選項關閉，要是你需要遠程管理就得確保更改默認密碼，可能的話還要定期更改（圖1）。

許多消費級路由器存在一個嚴重的安全漏洞。UPnP是一種不安全的協議，讓本地網絡上的設備可以通過創建防火墻規則轉發路由器上的端口。不過UPnP存在一個常見的安全問題，路由器會接收來自互聯網的UPnP請求，讓互聯網上的人都能在你的路由器上創建防火墻規則（圖2）。

訪問ShieldsUP網站，運行UPnP缺陷測試（https：//www.grc.com/x/ne.dll？bh0bkyd2），檢查你的路由器是否存在這個UPnP安全漏洞。要是你的路由器存在安全隱患，應從廠商網站下載最新版本的固件加以更新，以解決這個問題。倘若這一招不管用，可以試著禁用路由器界面中的UPnP，或者購買沒有這個問題的新路由器。更新固件或禁用UPnP后，記得重新運行上述測試，確保路由器確實安全（圖3）。

確保其他設備無法訪問

相比路由器，確保打印機、攝像頭及其他設備無法通過互聯網來訪問會容易一些。假設這些設備都連接了路由器，完全可以控制它們是否可以從路由器來訪問。這些設備應該與互聯網隔離，只能從本地網絡來訪問才比較安全。

一般路由器中的端口轉發和DMZ功能會涉及到這些問題。解決辦法也很直接，設置只轉發真正需要轉發的端口，并且避免使用DMZ功能。DMZ功能并非所有路由器都有，如果有的話路由器會收到所有的入站流量包括外接設備，就好像外接設備直接連接到互聯網一樣。換句話說，DMZ里面的設備也喪失了在路由器后面被保護起來的安全性（圖4）。

如果確實想讓自己的設備可以從互聯網來訪問，比如利用攝像頭來監視自家的情況，就應該確保設備已安裝設置好。轉發路由器端口讓設備可以從互聯網來訪問后，就要確保它們設置好了不容易猜中的強密碼并定期更換，這是最基本并且也是最有效的方法。

如果想更安全一些，可以建立VPN。設備連接到本地網絡，我們可以通過登錄到VPN，遠程連接到本地網絡而不是設備直接連接到互聯網。確保一臺VPN服務器的安全性比保護幾個各自內置Web服務器軟件的設備的安全性來得容易。

如果只需要從一個地方遠程連接到設備，可以在路由器上創建防火墻規則，確保它們只能從一個IP地址來遠程訪問。要是你想在網上共享打印機之類的設備，可以試著設置云打印之類的服務而不是直接暴露這些設備（圖5）。

鎖定無線網絡

現在流媒體共享如此發達，無線網絡上的任何設備都可以訪問、使用和配置這些新的聯網設備。不過只有本地無線網絡確實安全才行，如果無線網絡不安全，誰都可以連接并劫持你的設備，進一步瀏覽在網絡上共享的任何文件也不是難事。這雖然是老生常談但十分重要，應當使用WPA2加密和相當強的長密碼，同時包括數字、符號以及字母。

我們還可以試著通過其他許多辦法來確保家庭網絡安全，比如使用WEP加密、啟用MAC地址過濾以及隱藏無線網絡，不過這些也都是建立在WPA2加密和強密碼的基礎上的（圖6）。