路由器dmz要不要开启（怎样让路由器更安全 -手把手教你设置）

不少用户发现路由器管理设置后台有一个DMZ主机功能，那么路由器DMZ主机是什么意思呢?DMZ功能要不要开启?本文为你一一解答。

路由器DMZ主机是什么意思?

DMZ 是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。

它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题。启用 DMZ 主机后，可以直接从因特网访问设置为 DMZ 主机的计算机。

您可以在这台计算机上搭建企业 Web 服务器、FTP 服务器和论坛等，从因特网通过访问路由器的 IP，即可访问您搭建的服务器。这样在实现对因特网提供服务的同时，还能确保家庭内其它计算机的安全。

DMZ 原理

一般网络分成内网和外网，也就是LAN和WAN

那么，当你有1台物理位置上的1台服务器，需要被外网访问，并且，也被内网访问的时候，

那么，有2种方法：

一种是放在LAN中

一种是放在DMZ

因为防火墙默认情况下，是为了保护内网的，所以，一般的策略是禁止外网访问内网，许可内网访问外网。但如果这个服务器能被外网所访问，那么，就意味着这个服务器已经处于不可信任的状态，那么，这个服务器就不能(主动)访问内网。所以，如果服务器放在内网(通过端口重定向让外网访问)，一旦这个服务器被攻击，则内网将会处于非常不安全的状态。

但DMZ就是为了让外网能访问内部的资源，也就是这个服务器，而内网呢，也能访问这个服务器，但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的，并且，希望能被外网所访问的这样的一个区域。

路由器DMZ主机功能要不要开启?

启用DMZ主机功能，可将设置为DMZ主机的计算机完全易重给因特网。比如搭建服务器时，您可以将需要对外提供服务的计算机设置为DMZ主机，以实现在对因特网提供服务的同时，确保家庭内其它计算机的安全。

开启DMZ主机功能后，外网可通过路由器DMZ功能访问内网，所以看你的需求，如果没有外网访问内网需求建议不要开启DMZ主机功能。

如何让我的路由器更安全

以华硕路由器为例说明如何让路由器更安全。

一般设定

1. 无线网络加密设定为 WPA2-AES

在执行QIS(Quick internet setup)初始设定后，会预设使用WPA2-AES作为加密方式，系统本身虽然提供多种加密方式，如无特殊需求请保持在WPA2-AES加密模式。

2. 无线网络密码和管理介面登入密码设为不同值

在初始设定的过程中会请使用者设定无线网络密码及登入密码，这两组请设成不同密码，可避免知道无线网络密码的人登入管理介面。

3. 设定长且复杂密码

设定长度超过8位数且包含英文大小写、数字、特殊符号的密码可以大幅加强设备的安全性。

请记得不要使用容易被破解连续英文或数字，例如 12345678, abcdefgh, qwertyuiop。

4. 经常更新至最新版软件

新版的软件通常会包含新的安全性修正，进入ASUSWRT管理介面或ASUS Router App检查是否有新版软件可以下载。

5. 启用防火墙

防火墙设定页面位于进阶设定内，预设值为启用，如无特殊需求请勿关闭此功能。

6. 启用AiProtection智能网络卫士

若你的路由器有AiProtection智能网络卫士功能，请启用此功能，可以更进一步的保护路由器本身及区域网络内的设备，

7. 关闭远端存取设定(Access from WAN)

远端存取设定可以让你从外部网络连到路由器设定，这个功能预设关闭，如无特殊需求请勿打开此功能。

8. 关闭Telnet 及SSH

Telnet 及 SSH 可以让你直接使用Linux 命令来控制路由器，这个功能预设关闭，如无特殊需求请勿打开此功能。

9. 不要使用DMZ

若你的区域网络内有设备需要提供服务给外部网络中的设备 (FTP server, video server, file server)，请使用通讯簿转发(port forwarding)，如无特殊需求请勿打开此功能。

有部分P2P软件文章会教使用者将电脑IP加入DMZ，此行为会增加电脑被攻击的风险，建议不要使用。

进阶设置

1. 启用https 登入

https可以让你在WPA2-AES 无线加密的情况下再多一层网页传输加密，考量已有WPA2-AES加密及易用性，ASUSWRT预设使用 http连线。

你可以在 进阶设置> 系统管理 > 系统设置 > 本地存取设置 将授权方式改为https。启用https 授权方式后，请记得在浏览器URL最前面手动输入https:// , 最后面加上连接端口，例如 https://router.asus.com:8443，系统预设使用连接端口8443 。

因为路由器的使用自签凭证，所以浏览器会跳出警告讯息(如下图)，由于路由器是你自已的，属于可信任的设备，可忽略此警告，按下Advanced(进阶)后进入路由器设定页。

*若你不是连到路由器设定页，而是在连到internet网站时看到此警告讯息请提高警觉，不要随意进入

2. 特定IP才能登入管理接口

在 进阶设置->系统管理->系统设置->仅允许特定 IP 位置 可限定特定IP才能登入管理接口，可以更进一步的增加安全性。

3. 关闭UPnP

有些设备会使用UPnP 以增加设定便利性。

为了保持最大相容性，ASUSWRT预设启用UPnP，你可以到进阶设定->外部网络(WAN) -> 基本设定内把 UPnP关闭。

若关闭UPnP后无发现异常情况，就可以一直把UPnP关闭。

4. 设定无线网络白名单

如果连上路由器的用户端不会经常变动，你可以在 进阶设定-> 无线网络->无线MAC地址过滤器内将MAC 存取模式设为允许模式，然后将用户端的MAC 地址加入列表中，这样可以限定只有在列表中的设备才能连上路由器，在无线加密之外再增加一层保护。