上周帮朋友的小广告公司修网络,发现他们用的还是出厂默认密码的家用路由器,WAN口直接暴露在公网,后台还能被外网访问。问他们要不要改,老板摆摆手:‘就几台电脑,能出啥事?’结果第二天,公司官网被挂了黑页——不是黑客多厉害,是边界根本没设防。
别把企业网当家庭WiFi用
很多中小企业图省事,买个百来块的家用路由器,接上宽带就开工。但家用设备默认不开启状态检测、没有策略路由、日志功能残缺,更关键的是:它压根没设计承载企业级流量和安全策略的能力。一旦有员工连了远程办公、开了NAS或部署了小程序后台,这台路由器就成了裸奔的城门。
三个动作,立刻加固边界
1. 关掉WAN口远程管理
登录路由器后台(通常是 192.168.1.1 或 tplogin.cn),找到【系统工具】→【远程管理】,把‘启用远程Web管理’打叉。家里人用手机App管路由器没关系,但绝不能让外网IP直接敲开你的管理页面。
2. 开启SPI防火墙+关闭UPnP
在【安全设置】里确认‘状态包检测(SPI)’已启用;同时把‘UPnP自动端口映射’关掉。很多勒索软件就是靠UPnP偷偷打开内网端口,再反向连接进来。
3. 改掉默认IP段,加个访客隔离
别再用 192.168.1.x 这种满大街都是的网段,改成比如 172.20.88.x;在无线设置里开启‘AP隔离’,让员工手机、客户WiFi、打印机彼此看不见——哪怕一个设备中招,也烧不到财务电脑。
进阶建议(适合用华三、TP-Link商用路由的用户)
如果公司已有带Web界面的商用路由(比如TL-ER6520G、MSR2600),可以加一条基础ACL规则,只放行必要的出口流量:
rule 5 deny ip source 172.20.88.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 10 permit ip source 172.20.88.0 0.0.0.255 any这条规则的意思是:禁止内网访问所有192.168.x.x私有网段(防横向扫描),但允许访问外网。不用记命令,大部分界面里点‘添加访问控制’,选‘源地址段+目的地址段+拒绝/允许’就能配好。
边界安全不是买个高级防火墙才叫投入,而是从你拔掉路由器背面那根默认网线开始——换掉admin/admin,关掉不需要的开关,让每条进出的数据都经过一次‘查身份证’的过程。小公司抗不住一次勒索,但扛得住一次认真配置。