我总是为我的家庭网关（路由器 + 调制解调器）或路由器（如果是单独的，尽管我在至少十年内没有见过不包括路由器的调制解调器）执行以下操作：

1. 更改管理密码，您可以将其写在一张贴在网关上的纸上。
2. 将安全设置设置为最高级别。通常，这意味着关闭所有外部端口和外部管理。你为什么要这个？
3. 从您的 LAN 访问 www.grc.com 并运行他们的 IP 扫描测试。查找任何问题并重新配置以纠正它们。
4. 打开日志记录并不时对其进行监控。观看中国、俄罗斯和僵尸网络定期敲你的前门。
5. 除非你真的需要它，否则杀死任何从外到内穿过的东西，然后仔细考虑你是否真的需要它。
6. 如果您正在运行服务器，请使用 DMZ 并与您的内部 LAN 隔离。仅根据需要打开到 DMZ 服务器的直通端口。如果您不能 DMZ 或在那里运行服务器，请通过端口，或者考虑在 DMZ 中使用更简单的代理服务器，它可以处理所有传入连接并检查有效性、一致性、安全性并转发到内部系统。
7. 从外部访问您的 LAN 应该通过 VPN（首选）、ssh（足够）或两者（腰带和吊带）。

假设您向世界开放的任何端口都极有可能被破坏，从而破坏您的 LAN。同样，您真的需要一个开放端口（除非 VPN）？

首先要做的是将主路由器设置为使用Comodo SecureDNS，这样外面的任何人都无法看到您的计算机访问的域名。

你所要做的就是投入

8.26.56.26 
8.20.247.20 

作为路由器中 DHCP 设置中的 DNS 服务器条目。

第二件事是让每个人都在他们的浏览器中安装 HTTPS-Everywhere。即使是非技术人员也能做到这一点。

这两个步骤将使即使 ISP 也无法分辨他们在做什么。

您需要将路由器的管理密码更改为只有您知道的密码（与 WiFi 访问不同）。

您不希望您的路由器允许远程管理。

最后，禁用 uPnP。它允许智能手机从外部访问婴儿监视器等内部物品。另外，它也可以让外人窥视。在一个案例中，有人正在通过监视器的扬声器与一个蹒跚学步的孩子说话并吓到他。

如果你想看看这有多普遍，请访问http://www.shodan.io/

如果你的路由器被感染了，检查它是否被感染会很复杂（你听说过rootkit吗？）。我在我的新博客上写了关于保护我的路由器的文章：https ://securityoversimplicity.wordpress.com/ 。

我为保护我的路由器所做的就是扫描它，包括开放端口的私有和公共端地址。在里面，我什么也没找到。至于外面，我发现我的路由器正在运行一个 CWMP 服务器（远程管理）。禁用此功能需要我设法实现的提升权限。这并不排除感染，因为如果我的路由器是僵尸网络的一部分，我只能告诉它互联网是否很慢。如今，后门不保持开放端口，它们开始连接到 C&C。您可以做的是获取一个树莓派并将其放在互联网和路由器之间，同时捕获流量。你当然必须分析它。

注意安全 ;）

首先，我想声明我绝不是“苹果迷”，但在与史蒂夫吉布森一起收听 Security Now 的一集时，他们做了一个有趣的说明，苹果路由器并未成为最近任何“路由器漏洞”的一部分"，即Linksys等。Apple 将路由器硬件很好地锁定并保持最新状态。最重要的是，请遵循您的建议并确保始终更改默认密码。如果它有其他进入途径，即 SSH，请测试它并确保其密码已更改。