刚用工具扫完家里的路由器,弹出一堆红色警告:弱密码、远程管理开启、UPnP 漏洞、固件过旧……别慌,这不是要重装系统,而是该动手调一调了。
先看懂报告里最常出现的几类问题
比如 Nmap 或 Acunetix 扫出来:
• 'Telnet 服务开放(端口23)'
• 'Web 管理界面使用默认密码 admin/admin'
• 'WAN 口允许远程管理'
• 'UPnP 功能启用且未限制设备范围'
这些不是吓唬人的,是真实可能被蹭网、改DNS、甚至当跳板攻击邻居设备的入口。
一条一条来修,不靠玄学靠设置
1. 关掉 Telnet 和 FTP 这类明文协议
登录路由器后台(通常是 192.168.1.1 或 192.168.0.1),找到「系统工具」→「远程管理」或「服务管理」,把 Telnet、FTP 的开关直接关掉。只留 SSH(如果支持)且改用密钥登录更稳妥。
2. 密码必须换,而且不能是‘123456’或‘admin123’
在「系统设置」→「管理员密码」里,设一个至少 10 位、含大小写字母+数字+符号的组合,比如 WlR9#k2$mQx@。顺手把 Wi-Fi 密码也一起更新——别再用路由器背面贴的那串了。
3. WAN 口远程管理?立刻禁用
这个选项通常藏在「高级设置」→「远程管理」或「WAN 口设置」里。只要勾选了‘允许来自 WAN 口的 Web 访问’,外网就能直接敲你 IP 登后台。把它打叉,只保留 LAN 口可访问。
4. UPnP 不是不能开,但得管住它
游戏或投屏需要 UPnP?可以留着,但进「高级设置」→「UPnP」,把‘允许外部设备自动添加端口映射’关掉,或者限制只允许局域网内设备(如 192.168.1.0/24)发起请求。有些型号还支持按设备 MAC 白名单控制。
固件更新不是走过场
扫出来‘CVE-2023-12345:Web 管理页面 XSS 漏洞’?大概率是你用的还是出厂固件。去官网搜你路由器型号(比如 TP-Link TL-WR842N V5),下最新稳定版固件。升级前记得备份当前配置,升级中别断电、别关网页,等它自己重启完成再操作。
升级完再扫一遍,多数高危项会直接消失。实在找不到官网固件?像华硕老机型可考虑梅林固件,小米路由器部分型号支持 OpenWrt,但刷机有风险,新手建议优先走官方通道。
顺手加一层防护
做完上面几步,再进「安全设置」→「防火墙」,打开「SPI 防火墙」和「DoS 防御」;「IP 与 MAC 绑定」里把常用设备(手机、电脑、NAS)都手动绑定一次,防止 ARP 欺骗;DNS 改成 223.5.5.5(阿里)或 119.29.29.29(腾讯),比运营商默认 DNS 更干净少劫持。
修完不用等第二天,现在就拿手机连 Wi-Fi 重新测一遍——之前报的端口没开了,登录页输错三次就锁,后台地址在外网 ping 不通,这就对了。