公司前台那台无线路由器,被行政同事随手设了个‘12345678’的密码,结果不到三天,隔壁奶茶店小哥连上了,楼下车库师傅也连上了,连打印机都开始卡——这不是段子,是上周刚发生的真事。
热点滥用到底在折腾啥
所谓“热点被滥用”,不是指用户多连了几个设备,而是未经授权、超出业务范围的使用行为:比如员工手机开热点给家属刷视频,外包人员用办公热点下载游戏更新,甚至有人把公司Wi-Fi SSID改成‘Free Public WiFi’,引一堆路人蹭网。轻则拖慢业务系统响应,重则暴露内网拓扑、中继攻击入口,甚至触发合规审计风险。
从配置源头掐住苗头
别只盯着密码强度。很多厂商默认开启WPS,一按就配网,等于在门口挂了把万能钥匙。进路由器后台,直接关掉WPS功能。SSID广播也别太‘热情’,非必要不隐藏,但可以改个不带公司名、不带‘Admin’‘Guest’字样的名字,比如‘Lamp-023’——既方便IT定位,又降低被盯上的概率。
设备数和带宽得有硬杠杠
某银行网点曾因一台AP同时承载47台设备(含3台监控IPC、2台POS机、12台员工手机+20台客户临时接入),导致核心交易超时。后来他们加了一条规则:
ip access-list extended HOTSPOT_LIMIT
permit tcp any any eq 443 log-input
deny ip any any
!config limit 'lan_limit'
option interface 'lan'
option limit '5'
option burst '10'识别异常,比堵截更省力
有次巡检发现某AP凌晨三点还在传12GB数据,抓包一看是某员工用手机热点同步NAS里的家庭影片。后来在防火墙上加了简单策略:
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -m time --timestart 03:00 --timestop 05:00 -j DROP物理层也有操作空间
不是所有热点都要放桌上。前台接待区的AP,天线角度调低、发射功率压到12dBm,信号刚好盖住沙发区,茶水间和楼梯口基本收不到;而IT办公室的AP则调高增益,专注服务工位。实测下来,蹭网请求下降七成,且不影响内部VoIP通话质量。
热点不是越‘热’越好,稳得住、控得准、看得清,才是运维该有的手感。