光猫怎么设置无线防蹭网

光猫设置无线防蹭网需要从硬件配置、加密方式、访问控制等多个层面进行综合防护，以下是详细操作步骤及技术要点：

1. 修改默认管理员密码

光猫出厂默认账号（如admin/user）和通用密码（如123456）极易被破解。登录光猫管理界面（通常通过192.168.1.1或192.168.0.1），在系统工具-修改密码中设置高强度密码（建议12位以上，含大小写字母、数字及符号）。

2. 启用WPA3/WPA2-PSK强加密

在无线网络设置中选择最高安全协议：

- WPA3-SAE（若设备支持，可防御KRACK攻击）

- WPA2-PSK AES加密（兼容旧设备）

避免使用WEP或TKIP加密，此类算法已被证实存在严重漏洞。

3. 隐藏SSID广播

在无线基本配置中关闭“SSID广播”功能，使网络名称不被公开扫描。需手动在终端设备输入SSID和密码连接，但需注意这属于弱隐藏（可通过抓包工具发现）。

4. MAC地址过滤

在安全设置-MAC过滤中绑定允许连接的设备物理地址。需提前在设备网络设置中查询MAC地址（Windows执行ipconfig /all，安卓在WLAN高级设置查看）。缺陷：MAC地址可被伪造。

5. 限制DHCP地址池

将DHCP分配IP范围缩小（如192.168.1.100-192.168.1.120），减少非法设备获取IP的机会。静态IP设备需手动设置保留地址。

6. 开启防火墙与AP隔离

- 启用SPI防火墙防止端口扫描

- 勾选“AP隔离”阻止连接设备间互访（适用于公共场景）

7. 设置访客网络

独立配置低频段（如2.4GHz）的访客SSID，启用客户端隔离功能并限制带宽（建议不超过主网络带宽的30%）。

8. 定期更新固件

运营商光猫需通过管理界面检查版本更新，或致电ISP推送最新固件，修补已知漏洞（如CVE-2021-20090等光猫后门漏洞）。

9. 信号强度调节

根据使用环境降低发射功率（20%~50%），避免信号覆盖超出物理空间范围，减少外部截获可能。

10. 日志监控与异常检测

定期查看光猫连接设备列表，陌生MAC地址或异常流量（如持续满速上传）可能为蹭网行为。部分光猫支持微信推送新设备接入告警。

补充技术细节：

WPS功能务必关闭：PIN码暴力破解可在数小时内攻破网络。

二次认证：配合企业级路由器时可启用802.1X认证，需RADIUS服务器支持。

物理安全：重置按钮需做防误触处理（如贴胶带），防止硬件复位导致配置清空。

运营商定制光猫可能有功能阉割，若需高级防护建议切换为桥接模式，由专业路由器接管无线管理。