今天，互聯(lián)網(wǎng)連接的典型結(jié)構(gòu)是家里有一個(gè)路由器，通常是一個(gè)位于你家某個(gè)地方的小盒子，它充當(dāng)了通往互聯(lián)網(wǎng)世界的網(wǎng)關(guān)。路由器創(chuàng)建了一個(gè)本地網(wǎng)絡(luò)，你將你的設(shè)備連接到這個(gè)本地網(wǎng)絡(luò)，包括你的電腦、手機(jī)、電視、游戲機(jī)，以及其他任何需要連接到互聯(lián)網(wǎng)或相互連接的設(shè)備。我們很容易將路由器當(dāng)作一個(gè)分界線，一邊是互聯(lián)網(wǎng)而另一邊是你的設(shè)備。但這是一個(gè)可怕的誤解，因?yàn)樵诂F(xiàn)實(shí)中，你的路由器的一邊是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)世界，另一邊是你的數(shù)字生活。當(dāng)你直接使用互聯(lián)網(wǎng)時(shí)，你是在訪問別人的計(jì)算機(jī)網(wǎng)絡(luò)的共享區(qū)域。當(dāng)你不使用互聯(lián)網(wǎng)時(shí)，它卻并沒有消失，有很多腳本和程序被設(shè)計(jì)用以訪問數(shù)以百萬計(jì)的路由器，試圖找到開放的端口或服務(wù)。隨著物聯(lián)網(wǎng)（IoT）的普及，有時(shí)在運(yùn)行在你家庭網(wǎng)絡(luò)上的服務(wù)比你想象的更多。通過以下三個(gè)步驟，你可以審計(jì)并保護(hù)你的家庭網(wǎng)絡(luò)免受不必要的訪問和攻擊。

1、協(xié)議先行

路由器的部分工作是將互聯(lián)網(wǎng)與你的家庭網(wǎng)絡(luò)分開。但當(dāng)你訪問互聯(lián)網(wǎng)時(shí)，你邀請互聯(lián)網(wǎng)的某些部分進(jìn)入你的家庭。這意味著你創(chuàng)建了一個(gè)例外規(guī)則，繞過了阻止互聯(lián)網(wǎng)進(jìn)入你的本地網(wǎng)絡(luò)的一般規(guī)則。

在許多網(wǎng)站上，通過你的路由器的僅是文本內(nèi)容。例如，當(dāng)你訪問你最喜歡的博客網(wǎng)站，閱讀最新的科技新聞時(shí)，你下載了幾頁文字。你閱讀文本，然后繼續(xù)訪問。這是一個(gè)簡單的一對一的連接。

然而，HTTPS 協(xié)議是強(qiáng)大的，在互聯(lián)網(wǎng)上運(yùn)行的應(yīng)用程序也充滿了多樣性。例如，當(dāng)你訪問某個(gè)網(wǎng)站時(shí)，你不只是在下載文本。你會得到圖形，也許還有腳本或電子書。你還在后臺下載 cookie，這有助于網(wǎng)站管理員了解誰在訪問網(wǎng)站、加強(qiáng)對移動設(shè)備的支持、為更好的可訪問性提供新設(shè)計(jì)并了解讀者喜歡的內(nèi)容。當(dāng)你網(wǎng)上沖浪時(shí)，你可能不會想到 cookie 或流量分析是與你交互的東西，它是被“藏入”頁面交互的東西，因?yàn)?HTTPS 協(xié)議的設(shè)計(jì)是廣泛而通用的，在多數(shù)場景被高度信任。當(dāng)你通過 HTTPS（或者說，在一個(gè)瀏覽器中）訪問一個(gè)網(wǎng)站時(shí)，你可能在不知情的情況下默認(rèn)同意自動下載文件，但你認(rèn)為這些文件是有用的和無關(guān)緊要的。對于一種旨在減少信任的文件共享模式，你可以嘗試一下 ??Gemini??? 或 ??Gopher?? 協(xié)議。

當(dāng)你加入一個(gè)視頻會議時(shí)，你也使用了類似的協(xié)議。你不僅要下載頁面上的文字、用于流量監(jiān)控的cookie，還要下載視頻和音頻材料。

有些網(wǎng)站的設(shè)計(jì)甚至更進(jìn)一步，它們被設(shè)計(jì)成允許用戶分享其電腦屏幕，有時(shí)甚至是對他們電腦的控制。這樣設(shè)計(jì)的初衷是有助于遠(yuǎn)程技術(shù)人員修復(fù)電腦上的問題，但在現(xiàn)實(shí)中，用戶可能被欺騙訪問這一網(wǎng)站，導(dǎo)致財(cái)務(wù)憑證和個(gè)人數(shù)據(jù)被盜。

如果一個(gè)提供文字文章的網(wǎng)站要求你允許它在你閱讀時(shí)調(diào)用網(wǎng)絡(luò)攝像頭，你理應(yīng)高度警惕。當(dāng)一個(gè)設(shè)備需要訪問互聯(lián)網(wǎng)時(shí)，你也應(yīng)當(dāng)保持同樣的謹(jǐn)慎和警惕。當(dāng)你把一個(gè)設(shè)備連接到網(wǎng)絡(luò)時(shí)，重要的是要關(guān)注你同意了何種隱性協(xié)議。一個(gè)旨在控制你房子里的照明的設(shè)備不應(yīng)該要求互聯(lián)網(wǎng)接入，但事實(shí)上許多設(shè)備需要并且沒有明確說明你授予該設(shè)備什么權(quán)限。許多物聯(lián)網(wǎng)設(shè)備都希望接入互聯(lián)網(wǎng)，這樣你就可以在離家時(shí)通過互聯(lián)網(wǎng)訪問該設(shè)備。這也是“智慧家庭”的部分吸引力。然而，我們不可能知道所有設(shè)備運(yùn)行的是什么代碼。在可能的情況下，使用開源和值得信賴的軟件，如 ??Home Assistant?? 來與你的物聯(lián)網(wǎng)設(shè)備對接。

2、創(chuàng)建訪客網(wǎng)絡(luò)

許多現(xiàn)代路由器可以為你的家庭創(chuàng)建第二個(gè)網(wǎng)絡(luò)（通常在配置面板中稱為 “訪客網(wǎng)絡(luò)”）。你可能覺得你不需要訪客網(wǎng)絡(luò)，但實(shí)際上，訪客網(wǎng)絡(luò)是十分有意義的。它旨在為訪問你房子的人提供互聯(lián)網(wǎng)訪問，而你不需要告訴他們你的私人網(wǎng)絡(luò)密碼。例如在我家的門廳里，我有一個(gè)牌子標(biāo)明了訪客網(wǎng)絡(luò)的名稱和密碼。任何來訪的人都可以加入該網(wǎng)絡(luò)以訪問互聯(lián)網(wǎng)。

另一方面可以用于物聯(lián)網(wǎng)、邊緣設(shè)備和家庭實(shí)驗(yàn)室的應(yīng)用。當(dāng)我去年購買 “可編程” 的圣誕燈時(shí)，我驚訝地發(fā)現(xiàn)，為了連接這些燈，它們必須連接到互聯(lián)網(wǎng)。當(dāng)然，這些來自無名工廠的 50 美元的燈沒有附帶源代碼，也沒有任何方法可以與嵌入在適配器中的固件進(jìn)行交互或檢查，所以我對我同意將它們連接到我的本地網(wǎng)絡(luò)有一定的顧慮。它們已經(jīng)被永久地歸入了我的訪客網(wǎng)絡(luò)。

每個(gè)路由器供應(yīng)商都是不同的，所以沒有關(guān)于如何在你的路由器上創(chuàng)建一個(gè) “沙盒” 訪客網(wǎng)絡(luò)的通用指令。一般來說，你通過一個(gè)網(wǎng)絡(luò)瀏覽器訪問你的家庭路由器。你的路由器的地址有時(shí)印在路由器的底部，它以 192.168 或 10 開頭。

訪問路由器地址，用你配置互聯(lián)網(wǎng)服務(wù)時(shí)使用的憑證登錄。這通常是簡單的 “admin” 和一個(gè)數(shù)字密碼（有時(shí)，這個(gè)密碼也印在路由器上）。如果你不知道登錄方式，請致電給你的互聯(lián)網(wǎng)供應(yīng)商或者制造商咨詢。

在圖形界面中，找到 “訪客網(wǎng)絡(luò)” 的面板。這個(gè)選項(xiàng)在我的路由器的高級配置中，但它可能在你的路由器的其他地方，它甚至可能不叫 “訪客網(wǎng)絡(luò)”（或者它甚至可能不是一個(gè)選項(xiàng)）。具體情況因廠商而異。

創(chuàng)建訪客網(wǎng)絡(luò)

這可能需要耐心的尋找。如果你發(fā)現(xiàn)你的設(shè)備有這個(gè)選擇，那么你可以為訪客建立一個(gè)訪客網(wǎng)絡(luò)，包括在不受信任的燈泡上運(yùn)行的應(yīng)用程序。

3、配置防火墻

你的路由器可能已經(jīng)存在一個(gè)默認(rèn)運(yùn)行的防火墻。防火墻將不需要的流量擋在你的網(wǎng)絡(luò)之外，通常是將傳入的數(shù)據(jù)包限制在 HTTP 和 HTTPS（瀏覽器流量）以及其他一些常用的協(xié)議上，并拒絕不是你發(fā)起的請求。你可以通過登錄你的路由器并尋找 “防火墻” 或 “安全” 設(shè)置來檢查防火墻是否正在運(yùn)行。

然而，許多設(shè)備可以運(yùn)行它們自己的防火墻。網(wǎng)絡(luò)之所以被稱為網(wǎng)絡(luò)是因?yàn)樵诰W(wǎng)絡(luò)上的設(shè)備互相能進(jìn)行連接。在設(shè)備之間設(shè)置防火墻，就像在你的房子里鎖上一扇門?？腿丝梢栽诖髲d里游蕩，但如果沒有合適的鑰匙，他們就不會被邀請進(jìn)入你的私人辦公室。

在 Linux 上，你可以使用 ??firewalld??? 接口和 ??firewall-cmd?? 命令來配置你的防火墻。在其他操作系統(tǒng)上，防火墻有時(shí)在一個(gè)標(biāo)有 “安全” 或 “共享” 的控制面板中（有時(shí)兩者都有）。 大多數(shù)默認(rèn)的防火墻設(shè)置只允許出站流量（即你通過打開瀏覽器并導(dǎo)航到一個(gè)網(wǎng)站而啟動的流量）和響應(yīng)你的請求的入站流量（即響應(yīng)你的導(dǎo)航的網(wǎng)絡(luò)數(shù)據(jù)）。不是由你發(fā)起的傳入流量會被阻止。

你可以根據(jù)需要配置相關(guān)規(guī)則以允許特定的流量，例如 ??SSH 連接???、??VNC 連接???，或 ??游戲服務(wù)器?? 主機(jī)。

監(jiān)控你的網(wǎng)絡(luò)

這些技巧有助于建立起你對周圍發(fā)生的事情的認(rèn)識。下一步是 ??監(jiān)控你的網(wǎng)絡(luò)???。你可以從簡單的開始，例如在你的訪客網(wǎng)絡(luò)的測試服務(wù)器上運(yùn)行 ??Fail2ban????？匆幌氯罩?，如果你的路由器提供日志的話。你不必對 TCP/IP 和數(shù)據(jù)包以及其他進(jìn)階知識了如指掌，就可以看到互聯(lián)網(wǎng)是一個(gè)繁忙而嘈雜的地方，當(dāng)你在家里安裝一個(gè)新設(shè)備時(shí)，無論是物聯(lián)網(wǎng)、移動設(shè)備、臺式機(jī)或筆記本電腦、游戲機(jī)，甚至是 ??樹莓派??，而親身體會到這一點(diǎn)對你采取預(yù)防措施有很大啟發(fā)。