家里Wi-Fi越来越慢,手机还经常弹出“可疑登录”提示?十有八九是路由器防火墙没开,或者开了却没配好。今天咱们就用最直白的办法,把宽带路由器防火墙从“摆设”变成“门神”。
一、先弄清楚:防火墙到底守住了哪几道门
宽带路由器其实有两道“墙”:
系统级总开关——决定“要不要查身份证”;
访问控制规则——决定“谁能进、谁不能进”。
很多用户只把总开关打开,却忘了写“规则”,结果墙是立起来了,门还大敞着。
二、三分钟把总开关打开(以市面90%的家用路由为例)
手机连自家Wi-Fi,浏览器地址栏输入 192.168.1.1 或 192.168.0.1,回车;
输入管理密码(老设备可能是 admin/admin,新设备在机身标签上);
找到“安全设置”或“防火墙”字样,把“启用防火墙”勾选上;
顺手把“防DoS攻击”“防Ping”也勾上,点“保存”。
就这么简单,总开关已亮绿灯。
三、再花十分钟写“规则”,让墙真正起作用
把防火墙想成小区保安:总开关只是让他站岗,规则才是他手里的访客名单。
禁止陌生设备半夜蹭网
“MAC地址过滤”里,把家里所有手机的MAC地址设为“允许”,其余全部“拒绝”。这样即便隔壁邻居破了密码,也拿不到IP。
给孩子的平板加“宵禁”
在“家长控制”或“时间段规则”里,指定平板MAC地址,晚10点到早7点禁止访问外网,规则一到点自动生效。
堵掉常见木马端口
新建一条“禁止”规则:协议选TCP,外部端口填135-139、445,这些端口对家用宽带毫无用处,却是勒索病毒的最爱。
远程办公也要方便
需要在家访问公司NAS?再做一条“允许”规则:协议TCP,外部端口填公司指定的10022,内网IP填NAS地址,时间段设为工作日8:00-20:00,既安全又不影响下班休息。
四、华为/网件/TP-Link,操作差异一张图看懂
• 华为:登录后点“更多功能→安全→防火墙”,规则列表在“新建安全策略”里一次填完。
• NETGEAR:在“网络安全→防火墙配置”里,先选接口(WAN或LAN),再“新建”规则,注意把精细规则放到列表最上面,否则会被后面的“允许所有”覆盖。
• TP-Link:老界面叫“安全设置→IP地址过滤”,新界面叫“高级→访问控制”,逻辑一样,只是名字换了。
五、老司机常踩的三个坑
只改设置不保存——点完“应用”再重启路由器才算生效;
MAC地址输错一位——最好复制粘贴,手写容易把0看成O;
规则太多相互打架——先写“拒绝”,再写“允许”,自上而下匹配,别把“全部放行”放在第一行。
六、防火墙不是越“高”越好
家用场景下,系统默认的中等强度已足够;调到“高”可能连微信语音都打不开。真有特殊需求,比如工作室跑NAS、摄像头远程监控,再把对应端口单独放行即可。
七、一键自检清单(建议收藏)
路由器固件升级到最新版(堵住已知漏洞)
管理密码改成长于12位的混合密码
防火墙总开关已启用
无线路由器WPA3或WPA2-PSK加密已开启
DHCP地址池缩小到家里设备数量+5个冗余
每季度导出一次配置备份,防止意外复位
照着上面做完,你会发现网速稳了、设备不掉线、后台陌生终端列表也干净了。防火墙不再是说明书里的摆设,而是真正替你熬夜站岗的“隐形保安”。
