为物联网设备使用访客 WiFi 本质上只是一种实用且易于理解的网络分段实现。目标是防止物联网设备之间的横向移动。 由于典型用户不了解此类术语以及应如何实施，因此这实际上可能是一个很好的提示。

但是，为了提高安全性，使用此建议有一些先决条件：

1. 显然，家用路由器必须具有访客网络功能，但并非每个路由器都具有它。
2. 访客网络必须与家庭网络隔离。
3. 理想情况下，访客网络上的所有设备也应该相互隔离。

Ziv Chang (Trend Micro)：Inside the Smart Home: IoT Device Threats and Attack Scenarios总结了一些典型的 IoT 设备安全措施，其中的网络分段：

• 映射所有连接的设备。所有连接到网络的设备，无论是在家里还是在企业级别，都应该得到很好的考虑。应注意它们的设置、凭据、固件版本和最近的补丁。此步骤可以帮助评估用户应采取哪些安全措施，并确定哪些设备可能需要更换或更新。
• 更改默认密码和设置。确保每个设备使用的设置都与更强的安全性保持一致，如果不是这样，请更改设置。更改默认密码和弱密码以避免暴力破解和不必要的访问等攻击。
• 修补漏洞。修补可能是一项具有挑战性的任务，尤其是对企业而言。但是，一旦补丁发布就应用补丁是不可或缺的。对于某些用户来说，补丁可能会破坏他们的常规流程，虚拟补丁可能是一种选择。
• 应用网络分段。使用网络分段来防止攻击的传播，并隔离无法立即下线的可能有问题的设备。

问题的前提略有错误。更好的提问方式如下：

• 我的电视或其他物联网设备是否应该连接到我的主家庭网络？不。
• 它应该连接到我的客人 wifi 吗？再次，不。

理想情况下，您希望物联网设备连接到自己独立的物联网网络。基本原理：问题本质上假设访客网络受密码保护。它可能是一个开放的访客网络（我的是）。

无论哪种方式，您都不希望房客打开/关闭家中的灯、安全摄像头、暖气或其他智能设备。他们也不应该访问您家中任何网络设备的管理控制台——尤其是网络路由器！客人应该限制互联网访问，客人 wifi 上没有其他内容。应配置访客网络，以便访客 wifi 客户端无法看到访客网络上的其他客户端。根据我的经验，这是许多访客 wifi 向导的标准功能。

而是在您的家中设置一个额外的专用物联网网络。通过正确使用 VLAN 和防火墙规则，您可以将 IoT 设备隔离到它们自己的网络（可能在必要时授予它们有限的 Internet 访问权限以进行软件更新） 正确使用 VLAN 和防火墙规则仍然可以让您从主设备控制设备无线网络。并非所有消费类网络设备都具有此类功能，但高端设备会。

我家有这种配置。主要 Wifi、访客（隔离和开放）和智能设备专用的物联网网络。

考虑消费设备从网络上的其他机器窃取敏感信息的风险总是明智的；或者，在最坏的情况下，为活跃的攻击者提供进入您的网络的路由（尽管后者通常需要攻击者为设备制造商工作或渗透，所以这是一个相当长的机会）。

但是，要适度：您的网络上是否真的有可以自由访问的数据，这些数据足够敏感，需要保护？

假设您网络上唯一的其他设备是路由器、PC，也许还有一两部智能手机。它们有自己的防火墙，只允许以制造商/操作系统供应商规定的方式与其他设备进行通信，并且通常受用户控制。

如果您将它们设置为允许访问（例如，对于 Windows 文件和打印机共享），您可以以受控方式执行此操作，需要凭据才能访问。如果您希望电视访问存储在您 PC 上的媒体，您可以告诉 PC 仅共享包含这些媒体文件的文件夹。

如果没有这样的共享，你的电视将只能看到一些关于你的网络的基本元数据：上面有什么类型的其他机器，什么时候，等等。

如果您不能确信您的其他设备已得到充分保护以防止不希望的访问，并且它们保存的数据足够敏感，您绝对不能冒被破坏的风险，那么使用访客网络是一种简单的补救措施。

如果您仍然需要电视和网络之间的一些通信，您可以让路由器控制允许哪些特定设备相互联系。这种级别的控制并不总是适用于消费者 wifi 路由器，但可以很便宜地更换：要么购买二手（尽管请记住设备可能会受到损害），或者购买便宜的消费者型号之一，可以修改为运行openwrt或类似的高度可配置的开源固件。

建立 3 个（或更多）网络：

• 主要（供家庭使用：受信任的设备）
• 来宾（来宾）
• 物联网（适用于电视等智能设备）

设置防火墙规则以完成以下任务：

• Main 可以访问 Main、IoT 和 WAN
• 访客只能在特定端口（例如 80 和 443）上访问 WAN
• 物联网只能访问物联网，不要让设备“打电话回家”