對(duì)于路由器來(lái)說(shuō)，這是很多家庭的第一道網(wǎng)絡(luò)門(mén)戶(hù)，因此也就有人在問(wèn)“如何確保路由器配置的安全性和可靠性？”了。

還是之前的常提到的觀點(diǎn)——您又不是攝影家陳老師，那么注重安全性做個(gè)啥啊？在iN看來(lái)很多人所謂的注重網(wǎng)絡(luò)安全和關(guān)注個(gè)人隱私其實(shí)都是病態(tài)的喊口號(hào)，但真正要保護(hù)的內(nèi)容并沒(méi)有太多。

但是既然有人提，咱們就來(lái)簡(jiǎn)單說(shuō)說(shuō)。

首先，要知道的一點(diǎn)是即便是老破小小區(qū)接入寬帶運(yùn)營(yíng)商免費(fèi)贈(zèng)送的路由器也是安全的，而且那種安全度是超乎大家的想象的。這就源于最近十多年來(lái)運(yùn)營(yíng)商的寬帶路由器（寬帶終端）的招標(biāo)活動(dòng)中的規(guī)定了，畢竟從運(yùn)營(yíng)商的角度來(lái)講一個(gè)城市中部署幾百萬(wàn)臺(tái)小路由如果安全性上炸雷運(yùn)營(yíng)商也是承受不住的。在各種招標(biāo)文件中，路由器的安全性都有很明確且詳細(xì)的規(guī)定。

別小看這個(gè)小盒子，安全性強(qiáng)著呢。相反，很多自己做軟路由的玩家，他們的路由器的安全性還就真比不了運(yùn)營(yíng)商免費(fèi)送的小盒子。原因也很簡(jiǎn)單，根據(jù)設(shè)備招標(biāo)的各種規(guī)定，運(yùn)營(yíng)商的寬帶路由器僅僅開(kāi)放了諸如互聯(lián)網(wǎng)連接、互聯(lián)網(wǎng)視頻組播等幾個(gè)小功能，本身也是經(jīng)過(guò)重度測(cè)試的固件，漏洞也就比開(kāi)放式的系統(tǒng)要少很多了。

但這個(gè)規(guī)定基本上只確定了你的路由器不容易被入侵，以及你的路由器并不能成為入侵你的內(nèi)部網(wǎng)絡(luò)的跳板。也就僅此而已了。

你家的網(wǎng)絡(luò)路由器本身的安全性保障基于運(yùn)營(yíng)商的策略，但唯一的一個(gè)問(wèn)題點(diǎn)在于，大部分運(yùn)營(yíng)商路由器往往會(huì)采用TR-609管理。你的用戶(hù)名、密碼，內(nèi)部的配置信息實(shí)際上在運(yùn)營(yíng)商的管理界面中是透明的。所以這里就有一個(gè)重要的雷點(diǎn)了。

這件事之前和大家說(shuō)過(guò)：

找聯(lián)通的一個(gè)師傅幫忙調(diào)試下網(wǎng)絡(luò)，弄完了之后電視看不了了，后來(lái)要個(gè)超管密碼自己調(diào)吧，于是師傅就給我發(fā)了個(gè)他們管理系統(tǒng)的截圖：

在截圖里面

紅箭頭的位置赫然就是我家設(shè)置在聯(lián)通寬帶路由器上的密碼。由于這個(gè)密碼是常用密碼，iN當(dāng)時(shí)就改了幾百個(gè)注冊(cè)賬戶(hù)，把這個(gè)密碼廢棄掉了。

所以理論上來(lái)說(shuō)你家的寬帶路由器如果有開(kāi)著方便運(yùn)營(yíng)商進(jìn)行維護(hù)的tr-069協(xié)議，那么至少你的路由器密碼從理論上是不安全的。

難道我們不應(yīng)該相信運(yùn)營(yíng)商嗎？這里就涉及到了一個(gè)基本概念“零信任”，零信任是一個(gè)最近幾年在安全領(lǐng)域興起的一個(gè)廠(chǎng)商概念，當(dāng)然了，廠(chǎng)商概念永遠(yuǎn)是為了賣(mài)產(chǎn)品的。“零信任”是一種用于保護(hù)組織的安全模型，它的理念是默認(rèn)不信任任何人員或設(shè)備，即使人員或設(shè)備已經(jīng)位于組織的網(wǎng)絡(luò)內(nèi)也是如此。

普通用戶(hù)可以從中借鑒到的則是——不要去相信任何人和任何設(shè)備。畢竟安全事件的發(fā)生往往來(lái)自于你過(guò)于相信你本不應(yīng)該相信的人或事。大多信息數(shù)安全受害者往往都會(huì)有那么一個(gè)固定模板——當(dāng)初不相信某某某就好了……，例如：

陳老師：當(dāng)初不相信修筆記本的就好了……

NSA：當(dāng)初不相信員工就好了……

某遼寧夫婦：當(dāng)初不相信某度網(wǎng)盤(pán)就好了……

某連鎖店：當(dāng)初不相信試衣服的顧客就好了……

這個(gè)道理大家在談?wù)摗鞍踩钡臅r(shí)候首先要明白一下——沒(méi)什么是可信的。

因此，在iN的經(jīng)驗(yàn)中往往是拿到了寬帶運(yùn)營(yíng)商的設(shè)備后第一時(shí)間聯(lián)系你的安裝師傅要到超管密碼，登錄到路由器的第一件事就是關(guān)閉掉tr-069的相關(guān)功能：

關(guān)掉之后，運(yùn)營(yíng)商將不能對(duì)你的光貓路由器進(jìn)行任何管理相關(guān)的操作，也會(huì)通過(guò)TR-069向你的路由器下發(fā)任何配置信息。在寬帶運(yùn)營(yíng)的界面上會(huì)看到你的網(wǎng)絡(luò)賬戶(hù)tr-069失敗，但不會(huì)影響你的任何上網(wǎng)功能。

其次要做的事情就是檢查一下你的寬帶路由器有沒(méi)有開(kāi)啟遠(yuǎn)端管理功能，也就是通過(guò)WAN口利用用戶(hù)名密碼登錄到路由器上的設(shè)置。不過(guò)這個(gè)選項(xiàng)在默認(rèn)的情況下大多是關(guān)閉的，iN手頭早就沒(méi)有寬帶光貓了，所以……大家自行找一下吧。

按照iN的設(shè)定來(lái)說(shuō)實(shí)際上是禁用所有外網(wǎng)接入的。例如：

這就是家里的路由器的第一個(gè)設(shè)置項(xiàng)目了，第三行所表述的內(nèi)容是路由器接收到局域網(wǎng)之外的（!LAN）連接都直接拋棄。

這就是一個(gè)最簡(jiǎn)單的防火墻規(guī)則，可以禁止掉所有從外界發(fā)起的連接。會(huì)不會(huì)對(duì)局域網(wǎng)內(nèi)上網(wǎng)有影響呢？絲毫不會(huì)，根據(jù)網(wǎng)絡(luò)的規(guī)則所有的網(wǎng)絡(luò)連接首先是需要從局域網(wǎng)內(nèi)部發(fā)起，然后才可以被外部所響應(yīng)。如果不是從局域網(wǎng)內(nèi)部發(fā)起的網(wǎng)絡(luò)連接，也就都可以視為不合法的連接。

拋棄（Drop）則是不做任何反應(yīng)既不告訴對(duì)方收到信息也不告訴對(duì)方拒絕了信息，例如一個(gè)ping包過(guò)來(lái)，路由器不做任何響應(yīng)就和ping一個(gè)空地址一樣了，這樣的效果大家可以自己去品一下。

一般的情況下做到這一點(diǎn)，路由器就可以算做100%的安全了。原因就是對(duì)外路由器就是一個(gè)“黑洞設(shè)備”，是完全不可察覺(jué)的。但偉大的革命導(dǎo)師列寧曾經(jīng)說(shuō)過(guò)“堡壘往往最先從內(nèi)部攻破”，這句話(huà)對(duì)于網(wǎng)絡(luò)安全一樣的重要。如果沒(méi)有一個(gè)很好的網(wǎng)絡(luò)使用習(xí)慣，你的路由器設(shè)置得再堅(jiān)固也不能代表你的網(wǎng)絡(luò)是安全的。這一點(diǎn)從很多人的使用習(xí)慣來(lái)看家庭網(wǎng)絡(luò)其實(shí)特別的不安全。

第一個(gè)重要的危害就是很多人在下載來(lái)路不明的軟件：

這是前陣子iN的同學(xué)在筆記本上安裝帝國(guó)時(shí)代，被系統(tǒng)內(nèi)置的殺毒軟件發(fā)現(xiàn)木馬病毒的屏幕照片。

盜版軟件本身就是一個(gè)黑產(chǎn)，并不會(huì)有多少“好心人”免費(fèi)無(wú)償?shù)钠平廛浖o大家用，目前大部分盜版軟件中都夾帶“私貨”。而且很多的盜版軟件在安裝的時(shí)候往往有那么個(gè)要求要求用戶(hù)關(guān)閉殺毒軟件。這其實(shí)就是此地?zé)o銀三百兩的意思了。按照官方數(shù)據(jù)統(tǒng)計(jì)，我國(guó)的個(gè)人電腦病毒感染率達(dá)到了86.72%，有一半以上的電腦在帶有病毒和木馬等惡意軟件的狀態(tài)下運(yùn)行。這其實(shí)就是我們所面臨的現(xiàn)狀。

在大部分情況下，Windows所內(nèi)置的殺毒軟件實(shí)際上是可以攔截和識(shí)別大部分病毒或者惡意軟件的。作為用戶(hù)來(lái)說(shuō)，你只要將這個(gè)windows本來(lái)內(nèi)置的功能打開(kāi)就可以了。

不過(guò)很多數(shù)碼博主為了吸引眼球搞出來(lái)一系列的“關(guān)閉Windows這幾項(xiàng)功能”的視頻就廣泛傳播了，其中就包括著Windows的殺毒軟件和更新功能。一些數(shù)碼小白們就會(huì)聽(tīng)從這些博主所公布的加速“偏方”，導(dǎo)致自己的電腦系統(tǒng)在病毒環(huán)境下裸奔。這才是真正不安全的危險(xiǎn)因素。

一般的來(lái)說(shuō)，Windows等操作系統(tǒng)內(nèi)置的防護(hù)功能可以抵擋大多數(shù)的惡意攻擊，同時(shí)，大家的移動(dòng)設(shè)備，例如android手機(jī)如果能做到在應(yīng)用商店里面下載軟件而不通過(guò)來(lái)路不明的渠道獲得APP也可以防范大多數(shù)的惡意軟件，這些都是安全所必然要做的規(guī)范。

但對(duì)于一些新的，不可知的惡意軟件很多人就無(wú)法進(jìn)行有效防范了。例如A想竊取B的情報(bào)，專(zhuān)門(mén)為B寫(xiě)了一個(gè)惡意程序，去收集B的電腦內(nèi)的信息。別笑，這種事是不停發(fā)生的，iN自己也做過(guò)……這種專(zhuān)門(mén)寫(xiě)的惡意程序一般不在各種安全軟件的特征庫(kù)里面，殺毒軟件也就無(wú)法進(jìn)行識(shí)別和防護(hù)了。

這時(shí)候你就需要安裝真正的防火墻了。iN自己現(xiàn)在在用的是H3C的SecPath F1000防火墻。

這其實(shí)是一個(gè)下一代防火墻（NGFW），除了具有傳統(tǒng)防火墻包過(guò)濾和檢測(cè)的功能外，還可以配合堡壘機(jī)沙箱進(jìn)行應(yīng)用層威脅的防護(hù)功能。關(guān)注的就不僅僅是應(yīng)用的網(wǎng)絡(luò)連接特征而是應(yīng)用的行為特征了。

所以說(shuō)，除去了所謂的路由器安全之外，還得看用戶(hù)習(xí)慣和基礎(chǔ)的防護(hù)措施是否都可以達(dá)到相應(yīng)的安全等級(jí)。安全咱們就暫且說(shuō)到這里。

對(duì)于可靠性的問(wèn)題，其實(shí)還是之前給大家講的，專(zhuān)有設(shè)備多做巡檢，專(zhuān)業(yè)的設(shè)備一般的情況下都可以在面板上讀取出運(yùn)行狀態(tài)。要想穩(wěn)定可靠，就需要定期多多巡查一下，將不穩(wěn)定的因素扼殺在搖籃里。

對(duì)于家用設(shè)備來(lái)說(shuō)，通常不會(huì)有巡檢的支持，做到三點(diǎn)：

第一、電源接口要可靠，別出現(xiàn)松動(dòng)的電源線(xiàn)，在長(zhǎng)時(shí)間運(yùn)行的設(shè)備上電源的穩(wěn)定性十分重要。

第二、散熱要做好，很多人將家用的小路由見(jiàn)縫插針的塞在家里的角落里面，這時(shí)候就會(huì)影響到設(shè)備的散熱，導(dǎo)致一定時(shí)間運(yùn)行后有熱穩(wěn)定問(wèn)題。散熱在家用路由器上也是相當(dāng)重要的一個(gè)考量

第三、定期重啟。家用設(shè)備本身并不是設(shè)計(jì)來(lái)高負(fù)荷長(zhǎng)時(shí)間運(yùn)行的，定期重啟下設(shè)備有助于讓家用設(shè)備運(yùn)行的更加流暢。