以华硕路由器为例说明如何让路由器更安全。
一般设定
1. 无线网络加密设定为 WPA2-AES
在执行QIS(Quick internet setup)初始设定后,会预设使用WPA2-AES作为加密方式,系统本身虽然提供多种加密方式,如无特殊需求请保持在WPA2-AES加密模式。
2. 无线网络密码和管理介面登入密码设为不同值
在初始设定的过程中会请使用者设定无线网络密码及登入密码,这两组请设成不同密码,可避免知道无线网络密码的人登入管理介面。
3. 设定长且复杂密码
设定长度超过8位数且包含英文大小写、数字、特殊符号的密码可以大幅加强设备的安全性。
请记得不要使用容易被破解连续英文或数字,例如 12345678, abcdefgh, qwertyuiop。
4. 经常更新至最新版软件
新版的软件通常会包含新的安全性修正,进入ASUSWRT管理介面或ASUS Router App检查是否有新版软件可以下载。
5. 启用防火墙
防火墙设定页面位于进阶设定内,预设值为启用,如无特殊需求请勿关闭此功能。
6. 启用AiProtection智能网络卫士
若你的路由器有AiProtection智能网络卫士功能,请启用此功能,可以更进一步的保护路由器本身及区域网络内的设备,
7. 关闭远端存取设定(Access from WAN)
远端存取设定可以让你从外部网络连到路由器设定,这个功能预设关闭,如无特殊需求请勿打开此功能。
8. 关闭Telnet 及SSH
Telnet 及 SSH 可以让你直接使用linux 命令来控制路由器,这个功能预设关闭,如无特殊需求请勿打开此功能。
9. 不要使用DMZ
若你的区域网络内有设备需要提供服务给外部网络中的设备 (FTP server, video server, file server),请使用通讯簿转发(port forwarding),如无特殊需求请勿打开此功能。
有部分P2P软件文章会教使用者将电脑IP加入DMZ,此行为会增加电脑被攻击的风险,建议不要使用。
进阶设置
1. 启用https 登入
https可以让你在WPA2-AES 无线加密的情况下再多一层网页传输加密,考量已有WPA2-AES加密及易用性,ASUSWRT预设使用 http连线。
你可以在 进阶设置> 系统管理 > 系统设置 > 本地存取设置 将授权方式改为https。启用https 授权方式后,请记得在浏览器URL最前面手动输入https:// , 最后面加上连接端口,例如 https://router.asus.com:8443,系统预设使用连接端口8443 。
因为路由器的使用自签凭证,所以浏览器会跳出警告讯息(如下图),由于路由器是你自已的,属于可信任的设备,可忽略此警告,按下Advanced(进阶)后进入路由器设定页。
*若你不是连到路由器设定页,而是在连到internet网站时看到此警告讯息请提高警觉,不要随意进入
2. 特定IP才能登入管理接口
在 进阶设置->系统管理->系统设置->仅允许特定 IP 位置 可限定特定IP才能登入管理接口,可以更进一步的增加安全性。
3. 关闭UPnP
有些设备会使用UPnP 以增加设定便利性。
为了保持最大相容性,ASUSWRT预设启用UPnP,你可以到进阶设定->外部网络(WAN) -> 基本设定内把 UPnP关闭。
若关闭UPnP后无发现异常情况,就可以一直把UPnP关闭。
4. 设定无线网络白名单
如果连上路由器的用户端不会经常变动,你可以在 进阶设定-> 无线网络->无线mac地址过滤器内将MAC 存取模式设为允许模式,然后将用户端的MAC 地址加入列表中,这样可以限定只有在列表中的设备才能连上路由器,在无线加密之外再增加一层保护。