为了保证网络安全,您应该只允许可信和安全的设备连接到网络。但是,当您有客人来访或您想让安全性较低的设备上网时,让他们访问您的主 Wi-Fi 似乎是唯一的选择。这就是访客 Wi-Fi 的用武之地。它可以让你在客人的设备连接到互联网之前对其进行 “沙盒测试”。
共享主 Wi-Fi 网络并不总是安全的
当设备加入您的 Wi-Fi 网络时,它可以扫描并发现网络上的所有其他设备。已连接的设备还可以检查哪些端口处于打开和活动状态。渗透测试人员和黑客利用这种扫描方式来查找网络中的漏洞(可利用的端口和设备)。
显然,您的客人不会攻击您的家庭网络,但您不知道他们的设备有多安全。恶意行为者可能会劫持他们的设备,从而入侵您的整个网络。考虑到下载一个 Javascript 文件(可能不会触发任何防病毒警报)有时就足以感染整个网络,这可能是一个真正的风险。
同样,如果您在本地网络上设置了网络附加存储(NAS)、基本文件共享、打印机、安全摄像头或智能家居设备,那么共享您的 Wi-Fi 密码就会暴露您的整个设置。根据经验,您应该仅在绝对必要时向受信任的设备授予访问权限。这样做可以减少攻击面。
总之,共享 Wi-Fi 会给您带来额外的风险,您可以也应该避免。
什么是访客 Wi-Fi?
我们已经决定不与任何人共享 Wi-Fi 密码。尽管如此,当朋友或亲戚来访时,他们可能首先会问 Wi-Fi 密码。我们可以为他们创建一个沙盒网络(与家庭主网络分开),并有自己的 SSID。当有人来访时,你可以将其打开,当他们离开时再将其关闭。
很多现代路由器都有专门的 “访客网络” 选项卡。但凡支持虚拟局域网(VLAN)的路由器都能让你创建 “访客” Wi-Fi。设置好后,你就可以向访客 SSID 而不是主网络发送密码。
访客 Wi-Fi 能做什么?
按照特定路由器的说明设置好访客 Wi-Fi 后,你可能会想知道这个新玩具能做什么。让我们逐一看看它的最佳功能。
与访客安全共享互联网
大多数路由器默认情况下都会为访客网络启用 “接入点隔离”。有些路由器允许你手动切换。你需要保持启用状态,以确保访客设备与主网络隔离。
连接到访客 SSID 的用户可以像往常一样上网浏览,但他们的设备与主网络是隔离的。这样,他们就无法干扰你的恒温器、电视或音乐系统。如果他们的设备受到感染或存在漏洞,也不会对你的网络构成威胁。
阻止特定应用程序和网站,设置过滤器。
有些路由器甚至可以让你决定客人可以使用的带宽或他们可以访问的在线内容。您可以禁止访问 BitTorrent 和其他类型的 P2P 共享,以避免与提供商发生法律纠纷。
沙盒不受信任的设备
一个易受攻击的无线安全摄像头就足以危及整个网络。物联网(IoT)产品在特定时间后停止获得安全更新和补丁是很常见的现象。除非你升级硬件,否则这些不支持的设备就会暴露你的网络。有时,物联网设备的安全性非常薄弱,比如密码很容易被暴力破解和猜出,或者缺乏任何加密。
最好的办法是让这些设备远离主网络。你可以将它们连接到沙盒访客网络,限制它们的访问,而不是将它们连接到主 Wi-Fi 上。这样做并不能使物联网设备更加安全,但却能让它们以最小的权限发挥作用。