如何保障家庭网络安全：实用技巧与设置

　　拥有域名和证书并不意味着任何人都可以从互联网尝试登录——通常情况下，您应该将路由器设置为仅接受本地网络对管理面板的连接。

　　如果您在网络中拥有 NAS 设备或其他任何带有基于网络的管理界面的服务器，您也应使用 https 连接到它。一些制造商，比如华硕，已经考虑到了这一点并使其变得简单。例如，威联通在此处提供了说明。

　　保持您的路由器和设备处于最新状态

　　几乎和不使用“password”作为密码一样重要的是，要让路由器和连接的设备保持最新状态。新的安全漏洞不断被发现，如果不更新，您的设备就会面临被攻击的风险。

　　最好让尽可能多的设备具备自动系统更新功能，但对于那些没有此功能的设备，设置一个提醒或定期的日程活动来检查更新是个不错的主意，比如每月一次。

　　防火墙——在路由器中以及每台计算机中

　　在计算机网络领域，防火墙是一种程序，它控制着设备与外界的所有网络流量，并根据预设规则允许或阻止流量。Windows、Mac OS 以及大多数 Unix 和 Linux 变体都内置了防火墙。在 Windows 系统中，它包含在 Windows 安全的“防火墙和网络保护”选项下。

　　这里没有太多设置，但在底部您会找到指向其他功能的快捷方式列表。防火墙上的“允许应用程序”是一个工具，用于为单个程序添加例外或更改现有规则。选择“高级设置”以打开完整的防火墙控制，这些控制位于类似设备管理器的旧式界面中。

　　在最新版的 Windows 系统中，防火墙默认处于开启状态，您通常无需进行任何设置，但并非所有路由器都是如此。您可以通过登录路由器的管理面板查找防火墙或防火墙设置。如果找不到，请在网上搜索相关信息。然后激活防火墙。

　　如果您使用 Pi-hole(见下文)，这里有一个小贴士：阻止除 Pi-hole 之外的所有地址的 53 端口(DNS)流量。这将防止设备使用其他不安全的 DNS 服务器。虽然加密 DNS 可以绕过这一限制，但阻止加密 DNS 则要复杂得多。

　　如果您想将对广告追踪的抵制提升到一个新的层次，不妨看看 Pi-hole，这是一个具备过滤功能的 DNS 服务器，您可以在树莓派(Raspberry Pi)上运行它(这也是其名称的由来)。在您的网络中部署 Pi-hole 并在路由器上设置好智能选项，您就能确保网络中的所有设备，包括电视和智能家居设备，都能免受追踪。

　　Pi-hole 使用导入的过滤列表，当设备尝试查找域名时，通过不返回 IP 地址来阻止连接。如果某个网站运行不正常，可能是因为它使用的某个域名在您的过滤列表中。此时您可以将该域名添加到白名单中，使其不受过滤列表的影响。

　　如果您的路由器有访客网络，请使用访客网络。

　　许多路由器都具备一个很实用的功能，叫做访客网络。这是一个独立的无线网络，有自己的密码，您可以将其提供给临时访客，让他们能够上网。访客网络无法访问本地网络，因此连接到访客网络的人无法尝试连接到您的其他设备或其他访客。

　　检查您的路由器设置，看其是否支持访客网络，如果没有开启，请将其打开。与常规 Wi-Fi 网络一样，您应该选择一个安全的密码，以便只有您真正希望连接的访客才能连接。

　　为联网设备单独设置一个网络

　　在幕后，访客网络使用一种称为 VLAN 的技术来创建独立的虚拟网络，在一些高级路由器上，您可以自行设置更多此类网络，甚至可以创建属于 VLAN 的独立 Wi-Fi 网络。VLAN 上的设备具有不同的 IP 地址——例如，如果您的常规网络的地址在 192.168.0.1 到 192.168.0.254 之间，您可以设置一个 VLAN 使用 192.168.100.1 到 192.168.100.254。

　　家庭 VLAN 的一个绝佳用途是作为独立的智能家居网络。诸如视频门铃、灯具和冰箱之类的联网设备几乎无需直接与您的电脑和手机进行通信。

　　这在基本的家用路由器中是没有的，而且相当复杂。如果您在路由器中安装了替代软件，比如 OpenWRT 或 Tomato，您可以搜索相关指南。一个更简单的选择是将智能设备连接到访客网络。但这样做的一个缺点是，例如，想要通过本地网络与您手机上的熨斗应用程序进行通信的设备可能会失败。

　　进一步阅读：为何您在家应始终设置访客 Wi-Fi