你家的智能设备真的安全吗?
上周邻居老李发现家里的摄像头半夜自己转动,还传出陌生人的对话声。查来查去,问题出在路由器没做隔离,家里的打印机、冰箱、门铃全在一个网段里跑,黑客从一个弱密码的旧设备入手,控制了整个网络。
什么是路由隔离?
简单说,路由隔离就是把网络切成几块,设备之间不能随便串门。比如公司财务部的电脑和前台的访客Wi-Fi,虽然用同一个路由器,但彼此看不见。这种“划地盘”的做法,靠的是VLAN(虚拟局域网)或子网划分技术。
家庭用户可能觉得没必要,但想想你家有多少联网设备:手机、电视、扫地机器人、儿童手表……其中任何一个被攻破,都可能成为跳板。去年某品牌摄像头漏洞曝光后,大量用户家中画面被直播到网上,根源就是没有隔离。
企业网络更需要硬隔离
某小型电商公司曾遭遇勒索病毒,半天内所有订单系统瘫痪。事后发现,病毒是从一台连着公共Wi-Fi的销售笔记本传入,迅速感染了同网段的数据库服务器。如果生产网、办公网、测试网做了路由隔离,损失能控制在局部。
企业级路由器支持策略路由和ACL(访问控制列表),可以精确控制哪些IP能通信。例如只允许财务系统的主机访问银行接口服务器,其他一律拦截。
动手配置示例
以常见企业路由器为例,创建两个子网:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
description Office_Network
interface vlan 20
ip address 192.168.20.1 255.255.255.0
description Guest_WiFi
ip route 0.0.0.0 0.0.0.0 192.168.10.1
access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip any any这样访客Wi-Fi(VLAN20)的设备就无法访问办公网(VLAN10)资源。
家用路由器也能玩隔离
现在不少中高端家用路由器支持“设备分组”或“访客网络”功能。把IoT设备单独分到一个组,关闭它们访问局域网其他设备的权限。哪怕智能灯泡被黑,也进不了你的NAS偷照片。
设置路径一般在管理后台的“高级设置”-“网络隔离”里,有些叫“AP隔离”或“客户端隔离”。开启后,同一网络下的设备只能上网,不能互相传输文件。
别让路由器成突破口
很多用户十年不换路由器,固件老旧,漏洞一堆。某品牌2016款路由器至今仍有远程执行漏洞未修复,攻击者可直接获取管理员权限。定期更新固件,改掉默认密码,是隔离的前提。
更进一步的做法是部署双路由器:主路由负责上网,副路由专管智能家居,两台之间通过静态路由控制流量。虽然麻烦点,但安全性提升明显。
云时代的新挑战
现在很多服务上云,企业分支和总部之间靠IPSec隧道连接。这时候路由隔离要延伸到云端,在VPC(虚拟私有云)里设置安全组规则,限制跨区域访问。比如只允许华东区的API服务器调用华南区的数据库,且必须走加密通道。
云服务商提供的路由表和网络ACL工具,本质也是路由隔离的延伸。配置时要遵循最小权限原则,别图省事开个“允许全部”。