今天，互聯(lián)網(wǎng)連接的典型結(jié)構(gòu)是家里有一個路由器，通常是一個位于你家某個地方的小盒子，它充當(dāng)了通往互聯(lián)網(wǎng)世界的網(wǎng)關(guān)。路由器創(chuàng)建了一個本地網(wǎng)絡(luò)，你將你的設(shè)備連接到這個本地網(wǎng)絡(luò)，包括你的電腦、手機、電視、游戲機，以及其他任何需要連接到互聯(lián)網(wǎng)或相互連接的設(shè)備。我們很容易將路由器當(dāng)作一個分界線，一邊是互聯(lián)網(wǎng)而另一邊是你的設(shè)備。但這是一個可怕的誤解，因為在現(xiàn)實中，你的路由器的一邊是整個計算機網(wǎng)絡(luò)世界，另一邊是你的數(shù)字生活。當(dāng)你直接使用互聯(lián)網(wǎng)時，你是在訪問別人的計算機網(wǎng)絡(luò)的共享區(qū)域。當(dāng)你不使用互聯(lián)網(wǎng)時，它卻并沒有消失，有很多腳本和程序被設(shè)計用以訪問數(shù)以百萬計的路由器，試圖找到開放的端口或服務(wù)。隨著物聯(lián)網(wǎng)（IoT）的普及，有時在運行在你家庭網(wǎng)絡(luò)上的服務(wù)比你想象的更多。通過以下三個步驟，你可以審計并保護你的家庭網(wǎng)絡(luò)免受不必要的訪問和攻擊。

1、協(xié)議先行

路由器的部分工作是將互聯(lián)網(wǎng)與你的家庭網(wǎng)絡(luò)分開。但當(dāng)你訪問互聯(lián)網(wǎng)時，你邀請互聯(lián)網(wǎng)的某些部分進入你的家庭。這意味著你創(chuàng)建了一個例外規(guī)則，繞過了阻止互聯(lián)網(wǎng)進入你的本地網(wǎng)絡(luò)的一般規(guī)則。

在許多網(wǎng)站上，通過你的路由器的僅是文本內(nèi)容。例如，當(dāng)你訪問你最喜歡的博客網(wǎng)站，閱讀最新的科技新聞時，你下載了幾頁文字。你閱讀文本，然后繼續(xù)訪問。這是一個簡單的一對一的連接。

然而，HTTPS 協(xié)議是強大的，在互聯(lián)網(wǎng)上運行的應(yīng)用程序也充滿了多樣性。例如，當(dāng)你訪問某個網(wǎng)站時，你不只是在下載文本。你會得到圖形，也許還有腳本或電子書。你還在后臺下載 cookie，這有助于網(wǎng)站管理員了解誰在訪問網(wǎng)站、加強對移動設(shè)備的支持、為更好的可訪問性提供新設(shè)計并了解讀者喜歡的內(nèi)容。當(dāng)你網(wǎng)上沖浪時，你可能不會想到 cookie 或流量分析是與你交互的東西，它是被“藏入”頁面交互的東西，因為 HTTPS 協(xié)議的設(shè)計是廣泛而通用的，在多數(shù)場景被高度信任。當(dāng)你通過 HTTPS（或者說，在一個瀏覽器中）訪問一個網(wǎng)站時，你可能在不知情的情況下默認同意自動下載文件，但你認為這些文件是有用的和無關(guān)緊要的。對于一種旨在減少信任的文件共享模式，你可以嘗試一下 ??Gemini??? 或 ??Gopher?? 協(xié)議。

當(dāng)你加入一個視頻會議時，你也使用了類似的協(xié)議。你不僅要下載頁面上的文字、用于流量監(jiān)控的cookie，還要下載視頻和音頻材料。

有些網(wǎng)站的設(shè)計甚至更進一步，它們被設(shè)計成允許用戶分享其電腦屏幕，有時甚至是對他們電腦的控制。這樣設(shè)計的初衷是有助于遠程技術(shù)人員修復(fù)電腦上的問題，但在現(xiàn)實中，用戶可能被欺騙訪問這一網(wǎng)站，導(dǎo)致財務(wù)憑證和個人數(shù)據(jù)被盜。

如果一個提供文字文章的網(wǎng)站要求你允許它在你閱讀時調(diào)用網(wǎng)絡(luò)攝像頭，你理應(yīng)高度警惕。當(dāng)一個設(shè)備需要訪問互聯(lián)網(wǎng)時，你也應(yīng)當(dāng)保持同樣的謹慎和警惕。當(dāng)你把一個設(shè)備連接到網(wǎng)絡(luò)時，重要的是要關(guān)注你同意了何種隱性協(xié)議。一個旨在控制你房子里的照明的設(shè)備不應(yīng)該要求互聯(lián)網(wǎng)接入，但事實上許多設(shè)備需要并且沒有明確說明你授予該設(shè)備什么權(quán)限。許多物聯(lián)網(wǎng)設(shè)備都希望接入互聯(lián)網(wǎng)，這樣你就可以在離家時通過互聯(lián)網(wǎng)訪問該設(shè)備。這也是“智慧家庭”的部分吸引力。然而，我們不可能知道所有設(shè)備運行的是什么代碼。在可能的情況下，使用開源和值得信賴的軟件，如 ??Home Assistant?? 來與你的物聯(lián)網(wǎng)設(shè)備對接。

2、創(chuàng)建訪客網(wǎng)絡(luò)

許多現(xiàn)代路由器可以為你的家庭創(chuàng)建第二個網(wǎng)絡(luò)（通常在配置面板中稱為 “訪客網(wǎng)絡(luò)”）。你可能覺得你不需要訪客網(wǎng)絡(luò)，但實際上，訪客網(wǎng)絡(luò)是十分有意義的。它旨在為訪問你房子的人提供互聯(lián)網(wǎng)訪問，而你不需要告訴他們你的私人網(wǎng)絡(luò)密碼。例如在我家的門廳里，我有一個牌子標(biāo)明了訪客網(wǎng)絡(luò)的名稱和密碼。任何來訪的人都可以加入該網(wǎng)絡(luò)以訪問互聯(lián)網(wǎng)。

另一方面可以用于物聯(lián)網(wǎng)、邊緣設(shè)備和家庭實驗室的應(yīng)用。當(dāng)我去年購買 “可編程” 的圣誕燈時，我驚訝地發(fā)現(xiàn)，為了連接這些燈，它們必須連接到互聯(lián)網(wǎng)。當(dāng)然，這些來自無名工廠的 50 美元的燈沒有附帶源代碼，也沒有任何方法可以與嵌入在適配器中的固件進行交互或檢查，所以我對我同意將它們連接到我的本地網(wǎng)絡(luò)有一定的顧慮。它們已經(jīng)被永久地歸入了我的訪客網(wǎng)絡(luò)。

每個路由器供應(yīng)商都是不同的，所以沒有關(guān)于如何在你的路由器上創(chuàng)建一個 “沙盒” 訪客網(wǎng)絡(luò)的通用指令。一般來說，你通過一個網(wǎng)絡(luò)瀏覽器訪問你的家庭路由器。你的路由器的地址有時印在路由器的底部，它以 192.168 或 10 開頭。

訪問路由器地址，用你配置互聯(lián)網(wǎng)服務(wù)時使用的憑證登錄。這通常是簡單的 “admin” 和一個數(shù)字密碼（有時，這個密碼也印在路由器上）。如果你不知道登錄方式，請致電給你的互聯(lián)網(wǎng)供應(yīng)商或者制造商咨詢。

在圖形界面中，找到 “訪客網(wǎng)絡(luò)” 的面板。這個選項在我的路由器的高級配置中，但它可能在你的路由器的其他地方，它甚至可能不叫 “訪客網(wǎng)絡(luò)”（或者它甚至可能不是一個選項）。具體情況因廠商而異。

創(chuàng)建訪客網(wǎng)絡(luò)

這可能需要耐心的尋找。如果你發(fā)現(xiàn)你的設(shè)備有這個選擇，那么你可以為訪客建立一個訪客網(wǎng)絡(luò)，包括在不受信任的燈泡上運行的應(yīng)用程序。

3、配置防火墻

你的路由器可能已經(jīng)存在一個默認運行的防火墻。防火墻將不需要的流量擋在你的網(wǎng)絡(luò)之外，通常是將傳入的數(shù)據(jù)包限制在 HTTP 和 HTTPS（瀏覽器流量）以及其他一些常用的協(xié)議上，并拒絕不是你發(fā)起的請求。你可以通過登錄你的路由器并尋找 “防火墻” 或 “安全” 設(shè)置來檢查防火墻是否正在運行。

然而，許多設(shè)備可以運行它們自己的防火墻。網(wǎng)絡(luò)之所以被稱為網(wǎng)絡(luò)是因為在網(wǎng)絡(luò)上的設(shè)備互相能進行連接。在設(shè)備之間設(shè)置防火墻，就像在你的房子里鎖上一扇門。客人可以在大廳里游蕩，但如果沒有合適的鑰匙，他們就不會被邀請進入你的私人辦公室。

在 Linux 上，你可以使用 ??firewalld??? 接口和 ??firewall-cmd?? 命令來配置你的防火墻。在其他操作系統(tǒng)上，防火墻有時在一個標(biāo)有 “安全” 或 “共享” 的控制面板中（有時兩者都有）。 大多數(shù)默認的防火墻設(shè)置只允許出站流量（即你通過打開瀏覽器并導(dǎo)航到一個網(wǎng)站而啟動的流量）和響應(yīng)你的請求的入站流量（即響應(yīng)你的導(dǎo)航的網(wǎng)絡(luò)數(shù)據(jù)）。不是由你發(fā)起的傳入流量會被阻止。

你可以根據(jù)需要配置相關(guān)規(guī)則以允許特定的流量，例如 ??SSH 連接???、??VNC 連接???，或 ??游戲服務(wù)器?? 主機。

監(jiān)控你的網(wǎng)絡(luò)

這些技巧有助于建立起你對周圍發(fā)生的事情的認識。下一步是 ??監(jiān)控你的網(wǎng)絡(luò)???。你可以從簡單的開始，例如在你的訪客網(wǎng)絡(luò)的測試服務(wù)器上運行 ??Fail2ban???。看一下日志，如果你的路由器提供日志的話。你不必對 TCP/IP 和數(shù)據(jù)包以及其他進階知識了如指掌，就可以看到互聯(lián)網(wǎng)是一個繁忙而嘈雜的地方，當(dāng)你在家里安裝一個新設(shè)備時，無論是物聯(lián)網(wǎng)、移動設(shè)備、臺式機或筆記本電腦、游戲機，甚至是 ??樹莓派??，而親身體會到這一點對你采取預(yù)防措施有很大啟發(fā)。