摘要：# 无线网络防“蹭”指南：别让隔壁老王用你家的网看剧 说真的，现在谁家还没个Wi-Fi？但你家那个叫“中国电信-888”或者“TP-LINK_1234”的无线网络，真的安全吗？我前两天帮一个朋友看他的路由器后台，好家伙，连着十几个陌生设备，他自己都懵了—…

无线网络防“蹭”指南：别让隔壁老王用你家的网看剧

说真的，现在谁家还没个Wi-Fi？但你家那个叫“中国电信-888”或者“TP-LINK_1234”的无线网络，真的安全吗？我前两天帮一个朋友看他的路由器后台，好家伙，连着十几个陌生设备，他自己都懵了——“这谁啊？”

这就是典型的被“蹭网”了，而且这还只是最温和的“入侵”。往严重了说，要是有人通过你的无线网络截取聊天记录、盗个账号密码，那才叫真麻烦。今天咱就抛开那些复杂的协议术语，聊聊两个最实在、你能马上动手设置的防护手段：WPA3加密和MAC地址过滤。

WPA3加密：把你家Wi-Fi大门换成银行金库锁

先说说加密。这就像你家门的锁。早些年用的WEP加密，基本等于门上挂个纸条写着“钥匙在脚垫下面”，早就被破解得底朝天了。后来普及的WPA2，算是换了个靠谱点的锁，用了十几年。

但问题在于，WPA2的“握手”过程有漏洞。黑客可以用一种叫“KRACK”的攻击，在你设备连接Wi-Fi的瞬间插一脚，理论上还是能破解密码。虽然对普通家庭来说概率不高，但听着就膈应，对吧？

WPA3就是来解决这个膈应事的。 你可以把它理解成一种“即使密码被猜到了，黑客也进不来”的加密方式。它用了更复杂的“同时验证等价”技术，简单说就是，连接过程更“私密”，第三方根本无从窥探。

那怎么用上WPA3？

1. 看路由器：你得有个支持WPA3的路由器。2019年以后出的中高端型号基本都支持了，去路由器管理后台的“无线设置”或“安全设置”里找找，有没有“WPA3-SAE”或“WPA2/WPA3混合模式”的选项。
2. 看终端：你的手机、电脑也得支持。2018年以后的安卓10+、iPhone（iOS 13以后）、以及Windows 10（1903版本以后）的电脑，基本都兼容。
3. 实操建议：如果你的设备都比较新，直接选“WPA3”模式。如果担心家里有老设备（比如旧款智能音箱、打印机）连不上，就选“WPA2/WPA3混合模式”。这个模式是新旧兼容的，新设备用更安全的WPA3协议连接，老设备则自动降级用WPA2，既安全又省心。

（插一句私货：很多路由器厂商把WPA3当高端卖点，但其实现在已经是中端路由的标配了。如果你家路由器还是五六年前的“古董”，为了网速和安全，真可以考虑换一个了。）

MAC地址过滤：给你家的Wi-Fi发“门禁卡”

如果说WPA3是换了一把好锁，那MAC地址过滤就是给你认可的家人朋友发了专属门禁卡，其他人有钥匙也白搭。

MAC地址是每个能上网的设备（手机、电脑、平板）全球唯一的硬件身份证号。MAC地址过滤，就是你在路由器后台设置一个“白名单”，只允许名单上的设备接入网络，其他的统统拒之门外。

这招有多管用？ 说白了，这是物理层面的“拉黑”。即便有人破解了你的Wi-Fi密码，只要他的设备MAC地址不在你的许可名单里，照样连不上。对于防止邻居、过路人蹭网，效果几乎是立竿见影的。

设置起来麻烦吗？ 真不麻烦，几步就搞定：

1. 登录你家路由器的管理后台（通常是浏览器输入192.168.1.1或类似地址）。
2. 找到“无线设置”或“安全设置”里的“MAC地址过滤”、“接入控制”或“设备管理”。
3. 选择“白名单模式”。
4. 把家里所有需要联网的设备的MAC地址，一个一个添加进去。怎么查设备的MAC地址？在手机的Wi-Fi设置详情里，或者电脑的网络连接属性里都能找到，通常是一串用冒号或横杠隔开的字母数字组合（比如 A1:B2:C3:D4:E5:F6）。

这里有个大实话要说： MAC地址过滤不是万能的。因为MAC地址其实是可以被伪造的。如果一个黑客已经在你家附近监听了网络，他理论上可以复制你某个合法设备的MAC地址，“冒充”它接入。

所以，千万别觉得开了MAC地址过滤就高枕无忧了。它的正确打开方式是：“锦上添花”的辅助手段。主防御靠WPA3加密这把好锁，MAC地址过滤相当于再加一道内部门禁，双重保险，让绝大多数不怀好意的“蹭网者”知难而退。

组合拳怎么打？一个接地气的安防策略

好了，理论说完，来点实在的。如果你现在就想提升家里的无线安全，按照下面这个顺序来操作：

第一步：先升级加密 登录路由器后台，把无线密码的加密方式，从WPA2升级到 WPA2/WPA3混合模式。这是当下兼顾安全与兼容性的最佳选择。同时，把Wi-Fi密码设得复杂点——大小写字母+数字+符号，别用生日电话。

第二步：再设置过滤 在搞定加密后，再去设置 MAC地址过滤白名单。花上十分钟，把家里常驻的手机、电脑、电视、智能家居设备都加进去。以后有新设备（比如朋友手机）要联网，临时添加到白名单或者临时关闭一下过滤功能就行。

第三步：隐藏SSID？（可选项） 就是关闭“广播网络名称（SSID）”。这个操作有点争议，它能让你的Wi-Fi在搜索列表里“隐形”，只有手动输入名字和密码才能连。这确实能防住漫无目的的扫描，但也会给自己带来不便，而且对专业攻击者效果有限。我个人觉得，对于普通家庭，前两步做到位已经足够了，这一步可以不做。

最后几句大实话

网络安全这事儿，永远没有一劳永逸。WPA3和MAC地址过滤，是当下我们普通人最容易上手、也最有效的两道防线。它们防不住顶级的、针对性的黑客攻击（真遇到那种，你个人怎么防都难），但足以把99%的“随意蹭网者”和“脚本小子”挡在门外。

关键是，你得动动手。别让路由器买回来就躺在那吃灰，默认设置用万年。花半个小时，按照上面说的设置一下，就像出门记得反锁家门一样，是个好习惯。

行了，不废话了，赶紧去看看你家路由器的后台吧。说不定，已经有“惊喜”在等着你了。