家里Wi-Fi越来越慢，手机还经常弹出“可疑登录”提示？十有八九是路由器防火墙没开，或者开了却没配好。今天咱们就用最直白的办法，把宽带路由器防火墙从“摆设”变成“门神”。

一、先弄清楚：防火墙到底守住了哪几道门

宽带路由器其实有两道“墙”：

系统级总开关——决定“要不要查身份证”；

访问控制规则——决定“谁能进、谁不能进”。

很多用户只把总开关打开，却忘了写“规则”，结果墙是立起来了，门还大敞着。

二、三分钟把总开关打开（以市面90%的家用路由为例）

手机连自家Wi-Fi，浏览器地址栏输入 192.168.1.1 或 192.168.0.1，回车；

输入管理密码（老设备可能是 admin/admin，新设备在机身标签上）；

找到“安全设置”或“防火墙”字样，把“启用防火墙”勾选上；

顺手把“防DoS攻击”“防Ping”也勾上，点“保存”。

就这么简单，总开关已亮绿灯。

三、再花十分钟写“规则”，让墙真正起作用

把防火墙想成小区保安：总开关只是让他站岗，规则才是他手里的访客名单。

禁止陌生设备半夜蹭网

“MAC地址过滤”里，把家里所有手机的MAC地址设为“允许”，其余全部“拒绝”。这样即便隔壁邻居破了密码，也拿不到IP。

给孩子的平板加“宵禁”

在“家长控制”或“时间段规则”里，指定平板MAC地址，晚10点到早7点禁止访问外网，规则一到点自动生效。

堵掉常见木马端口

新建一条“禁止”规则：协议选TCP，外部端口填135-139、445，这些端口对家用宽带毫无用处，却是勒索病毒的最爱。

远程办公也要方便

需要在家访问公司NAS？再做一条“允许”规则：协议TCP，外部端口填公司指定的10022，内网IP填NAS地址，时间段设为工作日8:00-20:00，既安全又不影响下班休息。

四、华为/网件/TP-Link，操作差异一张图看懂

• 华为：登录后点“更多功能→安全→防火墙”，规则列表在“新建安全策略”里一次填完。

• NETGEAR：在“网络安全→防火墙配置”里，先选接口（WAN或LAN），再“新建”规则，注意把精细规则放到列表最上面，否则会被后面的“允许所有”覆盖。

• TP-Link：老界面叫“安全设置→IP地址过滤”，新界面叫“高级→访问控制”，逻辑一样，只是名字换了。

五、老司机常踩的三个坑

只改设置不保存——点完“应用”再重启路由器才算生效；

MAC地址输错一位——最好复制粘贴，手写容易把0看成O；

规则太多相互打架——先写“拒绝”，再写“允许”，自上而下匹配，别把“全部放行”放在第一行。

六、防火墙不是越“高”越好

家用场景下，系统默认的中等强度已足够；调到“高”可能连微信语音都打不开。真有特殊需求，比如工作室跑NAS、摄像头远程监控，再把对应端口单独放行即可。

七、一键自检清单（建议收藏）

☐ 路由器固件升级到最新版（堵住已知漏洞）

☐ 管理密码改成长于12位的混合密码

☐ 防火墙总开关已启用

☐ 无线路由器WPA3或WPA2-PSK加密已开启

☐ DHCP地址池缩小到家里设备数量+5个冗余

☐ 每季度导出一次配置备份，防止意外复位

照着上面做完，你会发现网速稳了、设备不掉线、后台陌生终端列表也干净了。防火墙不再是说明书里的摆设，而是真正替你熬夜站岗的“隐形保安”。