你家路由器后台那个叫“防火墙”的开关,是不是一直开着但从来没细看过?其实它不是摆设——当隔壁老王用蹭网软件扫你家WiFi密码时,当某个恶意广告悄悄在你手机上弹出钓鱼链接时,防火墙正默默拦下那些不该进来的数据包。
防火墙不是一堵墙,而是一道安检口
很多人以为防火墙是把网络彻底封死,其实它更像机场的安检通道:允许你刷脸进站(正常网页浏览、视频通话),但会拦下没票的人(异常连接请求)、查扣可疑行李(带木马的下载文件)。在WiFi覆盖环境中,它守在路由器和终端设备之间,实时比对每个数据包的源地址、目标端口、协议类型。
常见攻击里,它怎么出手?
比如有人对你家WiFi发起“SYN洪水攻击”,短时间内发几千个连接请求,想拖垮路由器。开启状态检测防火墙后,它会识别出这些请求没有完成三次握手,直接丢弃,不占系统资源。再比如某台连入你WiFi的手机中了勒索病毒,试图向外发送加密密钥——防火墙可根据预设规则,阻断该设备访问特定境外IP段,切断回传链路。
举个实际配置例子(以主流家用路由器为例):
iptables -A FORWARD -i br0 -o eth0 -p tcp --dport 445 -j DROP
iptables -A FORWARD -s 192.168.1.105 -d 0.0.0.0/0 -j REJECT第一行禁止局域网设备访问外网的SMB共享端口(常被永恒之蓝利用),第二行直接拒绝来自192.168.1.105这台中毒设备的所有外发流量。这类规则虽需手动添加,但多数智能路由器已内置类似逻辑,只需在WiFi设置页勾选“启用入侵防御”或“阻止可疑扫描”即可生效。
别小看这个功能——去年某小区宽带用户集中遭遇WiFi劫持,跳转到假充值页面,事后排查发现,所有中招路由器都关闭了防火墙或固件未更新。而同期另一栋楼的住户,因路由器默认开启SPI(状态包检测)防火墙,攻击包在进入内网前就被过滤掉了。
说白了,WiFi覆盖范围越广,接入设备越多,暴露面就越大。防火墙不提升网速,也不扩大信号,但它让每一次连接更安心:你连上的不只是网络,还有一层看不见的值守。