办公室里总有同事图方便,随手连个Wi-Fi,甚至把家里的路由器带进来桥接网络。时间一长,网速变慢、文件被删、客户资料外泄,问题全来了。其实很多隐患,都源于一个被忽视的环节——防止非法设备接入路由。
为什么必须管住接入设备?
某天财务发现报销系统打不开,IT排查后才发现,有人在会议室接了个二手路由器,还开了热点给访客用。这个没设密码的“小帮手”,成了黑客进入内网的跳板。类似情况在中小公司太常见。一台未经许可的设备接入,可能带来病毒传播、带宽抢占,甚至数据窃取。
关闭SSID广播,让网络“隐身”
很多人以为改个复杂的Wi-Fi名字就安全了,其实不然。路由器默认会广播SSID,任何设备都能看到可用网络。关闭SSID广播后,外人搜不到你的网络名称,自然没法直接连接。
登录路由器后台,在无线设置中找到“启用SSID广播”选项,取消勾选即可。虽然操作简单,但能挡住大部分随意蹭网的行为。
绑定MAC地址,只让“熟人”上线
每台设备都有唯一的MAC地址,就像网络身份证。在路由器开启MAC地址过滤,只允许登记过的设备联网,哪怕别人知道密码也连不上。
以常见企业路由为例,进入“无线设置 → MAC地址过滤”,选择“启用过滤”并添加允许列表:
设备名称:财务笔记本
MAC地址:AC%3A23%3A1F%3A4D%3A7E%3A91
状态:允许新员工入职,IT手动加一条;离职员工,第一时间移出列表。这套机制虽老,但在小型办公场景中依然可靠。
启用WPA3加密,别再用WEP了
有些老设备还在用WEP或WPA加密,这些协议早被攻破。现在至少要用WPA2-PSK(AES),条件允许直接上WPA3。密码建议设置为12位以上,包含大小写、数字和符号,比如 P@ssw0rd_Tech2024,避免用公司名、电话等公开信息。
划分访客网络,隔离风险
客户来访要上网怎么办?别让他们连办公主网。大多数现代路由器支持“访客网络”功能,单独开一个Wi-Fi,限速且不能访问内网资源。
比如设置名为“Guest_WiFi”的网络,关闭其访问局域网权限,自动5小时后失效。既体面又安全。
定期查看连接设备列表
每个月花三分钟,登录路由器后台看看当前连接设备。如果发现陌生名字,如“XiaoMi Phone”或“Unknown Device”,立即断开并修改密码。不少厂商路由App还支持异常设备提醒,打开通知更省心。
网络安全不是一劳永逸的事。设备准入控制是基础中的基础,做对这几步,办公室的网络才算真正扎上了篱笆。