铸造铜墙铁壁！细数无线网络安全法宝

• 细
• 无线
• 网络
• 安全
• 法宝

      现在，多数家庭通过组建无线网络来访问因特网已经成为一个趋势。然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问的的资源，如果你在内部网络传输的数据并未加密的话，更有可能被人家窥探你的数据隐。此外，无线网络就其发展的历史来讲，远不如有线网络长，其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。下面介绍改善家庭无线网络安全的一些总结性建议：

      一、修改用户名和密码(不使用默认的用户名和密码)

      一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家庭用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功则立即取得该路由器/交换机的控制权。

      二、开启WPA/WEP加密

      几乎所有的Wi-Fi设备都支持某种形式的加密功能。通过加密技术，可以使在无线网络中传输的邮件不能被轻松获取。在Wi-Fi发展的今天，加密技术也获得成熟。对于你自己的家庭无线网络来说，你可能会很自然地想到，采用最坚固的加密技术来武装无线网络安全。不过需要提醒的是，任何加密技术都需要那些工作在网络中的Wi-Fi设备有相同的加密设置。

      在默认状态下，无线接入点设备通常都是没有开启加密服务。而事实上，厂商在无线设备中已经注入了WPA(有线等效协议)/WEP(Wi-Fi保护接入协议)，强制用户的主机在提供了密码后才能够接入无线接入点。因此，用户应该开启WPA/WEP加密服务以提高接入点的安全性防护能力。

      三、修改默认的服务区标识符(SSID)

      通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。

      四、启用MAC地址过滤

      WiFi网络中传输的每个片断都有一个相对于IP逻辑地址的物理地址，每个设备在出厂时被指定有唯一的MAC地址。无线接入点和路由器能够记录每个连接到其设备的MAC地址。

      许多无线接入点设备都允许用户键入他们所限制接入的无线设备MAC地址，这样保证其他非法的无线设备不能接入他们的设备。不过，许多黑客软件都能够伪装成拥有合法MAC地址的设备入侵用户网络。因此，你需要对自己的无线网络开启MAC地址过滤机制，通过阻止非法MAC地址有效拦截非法入侵。

#p#副标题#e#

      五、禁用SSID广播

      在Wi-Fi网络中，无线接入点(路由器)通常会在他们能够覆盖的范围内广播网络名字(SSID)，以被其他的无线网卡所检测。这个功能实际上是为无线热点商区所设计的，以便动态来往的设备能够检测到共用的无线接入点。

      然而，在家庭网络中，如果不想自己的无线网络被外人所检测和非法入侵，这样的功能是不需要的，因此最好禁用SSID广播。这样自己的无线网络就不会出现在他人可以搜索到的网络列表中，从而可以更好地避免邻居或者黑客的入侵。

      六、禁止自动连接到开放的Wi-Fi网络

      如果你连接到开放的Wi-Fi(比如免费的无线热点或者邻居的无线接入点)，会很容易暴露你的计算机安全风险。虽然通常情况下不会发生，但是大部分电脑中都有一个允许自动寻找并连接到任何可用网络的设置(默认状态为允许自动连接，并且不会提示你)。除非在特殊情况下，否则我们建议你禁用该设置。

      七、为你的设备指定静态IP

      由于DHCP服务越来越容易建立，很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。

      其实，在成员固定的家庭网络中，我们可以通过为网络成员设备分配固定的IP地址，然后再在路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的无线网络。

      八、安装防火墙

      现在的路由器一般都内置有防火墙功能，它也允许你禁用这些功能。为了安全起见，请确保路由器的防火墙已经开启，而在个人电脑上，你可以安装专业的个人防火墙，实现双重保护。

#p#副标题#e#

      九、合理放置接入点位置

      众所周知，无线网络路由器或其他接入点设备，都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围的话，那么你就需要特别注意了，因为那样的话，黑客可能很容易在你家外登陆到你的家庭无线网络。

      此外，如果你的邻居也使用了无线网络，那么你还需要考虑一下你的路由器等设备的覆盖范围是否会与邻居的相重叠，如果重叠的话就会引起冲突，影响你的网络传输。一旦发生这种情况，你就需要为你的路由器设置一个不同于邻居网络的频段。我们建议你根据自己的情况，选择好路由器的安放位置。一般来讲，安置在家庭最中央的位置是比较合适的。

      十、禁用不必要的服务

      无线路由器一般会提供很多方便无线网络管理的服务，如DHCP、SNMP和路由器远程维护等服务，但这些服务是你一定要需要的吗?它在方便自己的同时，也方便了黑客，给无线网络留下安全隐患，因此笔者建议，如果不是真的需要这些服务，一定要关闭它们。

      例如，关闭了DHCP服务，这时黑客就不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数，这无疑给入侵增加了难度;关闭SNMP服务，黑客就不能利用SNMP获得有关你的无线网络的一些重要信息;关闭路由器远程维护也同样重要，黑客就无法通过有线互联网，控制你的无线路由器，这也增强了无线网络的安全。

      十一、使用访问列表

      为了更好地保护你的网络，尽可能设置一个访问列表。但是，不是所有的无线接入点都支持这一功能。如果你能够这样做的话，你就可以指定某台机器有权访问接入点。支持这项功能的接入点有时利用TFTP(简单文件传输协议)定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持同步的巨大管理麻烦。