华硕路由器与内网安全加固备忘录
一、 路由器监控:如何看数据进出?
路由器是网络的大门,主要通过三个维度监控:
- 流量统计 (Traffic Analyzer): 查看哪个设备(IP)在什么时间产生了多少流量,以及流量的大致类型(如网页、视频、加密流量)。
- 系统记录 (System Log) - 连接状态: 最核心的工具。记录了当前内网所有设备与外网建立的每一个 TCP/UDP 连接。如果发现某个 IP 有成百上千个连接指向境外 IP 的 123 端口,说明存在 NTP 攻击。
- 网页浏览历史记录 (Web History): 记录内网设备访问过的所有域名。如果设备在静默状态下频繁请求奇怪域名,说明可能存在恶意脚本。
二、 网络基础安全配置(地基)
针对广电内网环境和安全需求,建议如下配置:
- DNS服务器: 手动指定为阿里 (
223.5.5.5) 和腾讯 (119.29.29.29)。 - DNS隐私协议 (DoT): * 模式: 严格 (Strict)。
- 地址:
dns.alidns.com(IP: 223.5.5.5)。 - 目的: 防止运营商劫持和嗅探你的上网轨迹。
- 地址:
- DNS重新绑定保护: 必须开启。防止恶意网页通过劫持手段控制你的路由器后台或NAS。
- 防止客户端自动 DoH: 开启。强制设备使用路由器指定的安全DNS。
- UPnP 协议: 关闭。防止恶意软件自动在防火墙上开洞。
三、 终端防护策略:Windows 与 飞牛NAS
- 防护原则: 路由器看“外防(大门)”,终端看“自省(内鬼)”。
- Windows 防护:
- 工具: 推荐 GlassWire(可视化监控)或 simplewall(轻量级拦截)。
- 逻辑: 开启“询问模式”,任何新程序联网必须经过你点准许。
- 火绒: 负责本地文件查杀,与防火墙工具互补。
- 飞牛NAS防护:
- 账号: 开启 2FA(双重验证)。
- 登录: 开启 IP 自动封锁(防暴力破解)。
- 备份: 必须建立“冷备份”习惯,防止勒索病毒。
四、 远程访问与穿透安全(进阶)
当你打算使用百度服务器做穿透时,必须遵循以下顺序:
- 服务器加固: * 禁用密码登录,改为 SSH 密钥登录。
- 修改默认 SSH 端口(不要用 22)。
- 安装
fail2ban自动封锁扫描者。
- 穿透安全: 穿透是双向的。如果服务器被黑,黑客会顺着隧道进入内网。因此服务器必须比家里更安全。
五、 异常排查流程
- 路由器报警: 查看 AiProtection 拦截记录,确定“嫌疑 IP”。
- 锁定进程: 在 Windows 端使用 GlassWire 或 火绒剑 的“网络监控”功能,找到具体是哪个进程在发包。
- 阻断: 在路由器端一键断网该设备,或在防火墙软件中封锁该进程。
- 溯源: 查看报毒文件路径,分析是通过哪个软件或插件进来的。
当前状态确认:
- 华硕路由器已配置 DoT 加密 DNS。
- 开启了 DNS 重新绑定保护。
- Windows 已完成火绒全盘扫描(结果:干净)。
- 飞牛 OS 已重装并处于受信状态。
后续待办:
- 安装 GlassWire 或 simplewall 建立长期流量监控。
- 加固百度服务器(配置 SSH 密钥、安装 fail2ban)。
- 配置服务器穿透(FRP / Tailscale)。