家用路由器安全警报 OpenWrt防火墙这样设置才放心

近期出现一则重大新闻，美国联邦通信委员会忽然宣告禁止进口全部外国制造的新型消费级路由器，原因是所谓的“国家安全”风险。虽说咱们国内的用户不会受到直接的影响，可是这背后所反映出的路由器安全问题却是值得每一个人提高警惕的。无论硬件源自何处，真正的防线实际上是掌握在我们自己手中的。身为一名OpenWrt用户，运用好它强大的防火墙，才是守护家庭网络的首个关键关卡。

防火墙规则怎么配才稳妥

好多刚接触的新手，在拿到OpenWrt之后，因贪图便利，直接将防火墙的默认“拒绝”状态改成了“接受”状态，然而这实际上是颇具危险性的。正确的思考方法是遵照“最小权限原则”，意思就是仅仅开放那些必不可少的端口。在“网络 – 防火墙”的设置里头，wan口的入站数据务必要设置成“拒绝”或者“丢弃”，转发操作最好同样设置成“拒绝”。如此一来能够切实有效地防范源自外部的恶意扫描行为，特别是近期有报告表明新型钓鱼攻击以及路由器漏洞频繁出现，默认规则能够为我们阻挡掉大部分程度比较低级的网络攻击。

端口转发总失败怎么办

不少玩OpenWrt的友人都会在端口转发这儿受阻，比如说想要在公网上访问自家存放文件的NAS，又或者是搭建网页服务。这儿有个普遍存在的“陷阱”：要是你把外网端口（就像443这个样子）转发至内网设备那儿，而路由器自身的Web管理界面同样使用443这个端口，那么两者就会产生冲突，进而致使防火墙“垮掉”。解决的办法是去到“系统-管理”当中，将路由器的访问端口更改成别的数值，例如8080。如此这般转发规则才能够顺利地生效，以此保证你的外网访问不会把路由器自身给“困住”。

入侵检测在哪里开启

置身于越发繁杂的网络环境里，仅仅依靠基础防火墙竟是不足的。OpenWrt的软件仓库当中存有一款名为“banip”（亦被称作“入侵检测”）的神器 ，你能够于“系统 – 软件包”内进行搜索并安装。这个插件会实时去拉取全球威胁IP黑名单 ，自动对那些已被标记成“恶意”的地址予以拦截。鉴于最近的新闻有所提及 ，部分路由器因默认密码以及未认证API存在着被“接管”的风险 ，开启此类主动防御功能 ，能够助你拦截那些妄图运用弱口令暴力破解你路由器的恶意连接。

数字生活之门的路由器，与其操心硬件里有无“后门”，不如主动把控软件防火墙的配置权，对于OpenWrt防火墙，你在实际使用当中，还碰到过哪些令你头疼的“玄学”问题？欢迎在评论区留言分享，大家一块交流排雷！

未经允许不得转载：openwrt技术分享 » 家用路由器安全警报 OpenWrt防火墙这样设置才放心