无线路由器设置加强无线网络安全性.docx

无线路由器设置加强无线网络安全性.docx

《无线路由器设置加强无线网络安全性.docx》由会员分享，可在线阅读，更多相关《无线路由器设置加强无线网络安全性.docx（14页珍藏版）》请在冰点文库上搜索。

无线路由器设置加强无线网络安全性

无线路由器设置：

加强无线网络安全性

2012年01月04日14:

32it168网站原创作者：

杜飞编辑：

杜飞评论：

2条

【IT168 技术】IT168组网频道将推出一系列关于无线路由器设置的文章，主要目的在于普及无线路由器的基本知识，介绍无线路由的基本功能，使用无线路由器的更多功能，我们会使用简单直白的语言对无线路由器的设置进行描述，避免生涩难懂的术语，让更多的用户感觉到网络真的是无“线”精彩!

　　在《无线路由器基本设置》一文中，我们通过七个步骤，详细介绍了如何对无线路由器最基本的设置，那么在能够通过无线路由器上网的同时，我们就需要加强我们无线网络的安全性，不能让“非法分子”免费使用我们的无线网络。

　　具体方法如下：

　　◆无线网络加密

　　◆修改路由器登陆用户名和密码

　　◆修改路由器管理端口

　　◆关闭DHCP服务

　　◆修改局域网IP地址

　　◆隐藏无线网络SSID

　　◆开启路由器防火墙中的IP地址过滤和MAC地址过滤

　　一、无线网络加密

　　在前面的文章中，我们也介绍了一些最基本的安全设置，如对无线网络加密和修改用户名密码，这两项设置虽然基基础，但作用很大，所以还要介绍一下。

　　通过无线安全设置功能，可以防止他人未经同意私自连入您的无线网络，占用网络资源，同时也可以避免黑客窃听、黑客攻击等对您不利的行为，从而提高无线网络的安全性。

选择菜单无线设置→无线安全设置，即可打开无线网络较为全面详细的安全选项。

▲　无线网络安全设置界面

　　本页面提供了三种无线安全类型：

WPA-PSK/WPA2-PSK、WPA/WPA2以及WEP。

不同的安全类型下，安全设置项不同，下面将详细介绍。

　　1.WPA-PSK/WPA2-PSK

　　WPA-PSK/WPA2-PSK安全类型其实是WPA/WPA2的一种简化版本，它是基于共享密钥的WPA模式，安全性很高，设置也比较简单，适合普通家庭用户和小型企业使用。

其具体设置项见下图所示：

▲

　　认证类型：

该项用来选择系统采用的安全模式，即自动、WPA-PSK、WPA2-PSK。

　　自动：

若选择该项，路由器会根据主机请求自动选择WPA-PSK或WPA2-PSK安全模式。

　　加密算法：

该项用来选择对无线数据进行加密的安全算法，选项有自动、TKIP、AES。

默认选项为自动，选择该项后，路由器将根据实际需要自动选择TKIP或AES加密方式。

注意11N模式不支持TKIP算法。

　　PSK密码：

该项是WPA-PSK/WPA2-PSK的初始设置密钥，设置时，要求为8-63个ASCII字

　　符或8-64个十六进制字符。

　　组密钥更新周期：

该项设置广播和组播密钥的定时更新周期，以秒为单位，最小值为30，若该值为0，则表示不进行更新。

　　2.WPA/WPA2

　　WPA/WPA2是一种比WEP强大的加密算法，选择这种安全类型，路由器将采用Radius服务器进行身份认证并得到密钥的WPA或WPA2安全模式。

由于要架设一台专用的认证服务器，代价比较昂贵且维护也很复杂，所以不推荐普通用户使用此安全类型。

　　3.WEP

　　WEP是WiredEquivalentPrivacy的缩写，它是一种基本的加密方法，其安全性不如另外两种安全类型高。

选择WEP安全类型，路由器将使用802.11基本的WEP安全模式。

这里需要注意的是因为802.11N不支持此加密方式，如果您选择此加密方式，路由器可能会工作在较低的传输速率上。

　　这里特别需要说明的是，三种无线加密方式对无线网络传输速率的影响也不尽相同。

由于IEEE802.11n标准不支持以WEP加密或TKIP加密算法的高吞吐率，所以如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法，无线传输速率将会自动限制在11g水平（理论值54Mbps，实际测试成绩在20Mbps左右）。

　　也就是说，如果用户使用的是符合IEEE802.11n标准的无线产品（理论速率150M或300M），那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密，否则无线传输速率将会明显降低。

而如果用户使用的是符合IEEE802.11g标准的无线产品，那么三种加密方式都可以很好的兼容，不过仍然不建议大家选择WEP这种较老且已经被破解的加密方式，最好可以升级一下无线路由。

　　二、修改路由器登陆用户名和密码

　　大多数无线路由器出厂默认登陆用户名和密码均为admin。

建议用户对登陆用户和密码进行修改，掌握无线路由器的配置权限，从而防止非法用户修改您无线路由器的配置。

设置步骤：

　　无线路由器中：

系统工具—修改登陆口令

▲

　　三、修改路由器管理端口

　　几乎所有的路由器默认以80端口为管理端口。

正常情况下，在浏览器输入IP地址，就可以登陆管理界面。

如果修改管理端口，登陆路由器管理界面时需要在IP地址后添加端口号，如：

。

这样其他用户只有知道管理端口后才可以登陆路由器管理，大大增强了对路由器管理的安全性。

　　设置步骤：

　　无线路由器中：

安全设置（系统工具）—远端WEB管理，将WEB管理端口修改，例如改为8080，保存。

▲

　　四、关闭DHCP服务

　　DHCP称之为动态主机配置协议，如果路由器上启用DHCP功能，就会负责给内网电脑分配IP地址、子网掩码、网关等参数。

路由器出厂时默认开启。

如果开启了DHCP服务，则非法用户无需手工指定就可以轻易获取IP地址，进而获得上网权限。

因此关闭DHCP服务器可以使非法用户难以获取正确的IP地址。

　　设置步骤：

　　无线路由器中：

DHCP服务器—DHCP服务，将“DHCP服务器”选择为不启用，保存。

▲

　　关闭DHCP服务器后，需要通过此无线路由器上网的用户只能是手动设置IP地址等参数。

如果是非法用户，不知道具体的IP地址范围，则无法利用此无线路由器上网。

　　五、修改局域网IP地址

　　一般无线路由器考虑到用户使用方便，出厂默认LAN口IP为192.168.1.1。

如果不修改LAN口IP地址，即使关闭了DHCP服务器，非法用户通过指定IP地址到192.168.1.X网段，网关设置为192.168.1.1，则该用户还是可以获取上网资源。

因此，建议修改LAN口IP地址为不常用网段。

　　设置步骤：

　　无线路由器中：

网络参数—LAN口设置，将IP地址修改为不常用网段，如：

192.168.50.254

▲

　　六、隐藏无线网络的SSID

　　SSID也称ESSID，是服务集标识符，代表一个无线接入点。

无线终端在接入时被要求首先输入SSID即网络名称。

而隐藏SSID后，您的网络名称对其他人来说是未知的，因此不知道您这个无线网络的SSID，无线终端就不能进行连接。

　　设置步骤：

　　无线路由器中：

无线参数（无线设置）—基本设置，将“允许SSID广播”前的对钩取消。

▲

　　对于允许接入的无线终端，需要手动添加配置文件去连接，或者在终端连接上无线路由器之后再取消SSID广播。

　　七、开启路由器防火墙中的IP地址过滤和MAC地址过滤

　　通过防火墙中IP地址和MAC地址过滤，只允许自己的IP地址或者MAC地址连接Internet，可以防止非法接入者共享带宽。

　　IP地址过滤：

IP地址过滤的使用

　　IP地址过滤用于通过IP地址设置内网主机对外网的访问权限，适用于这样的需求：

在某个时间段，禁止/允许内网某个IP（段）所有或部分端口和外网IP的所有或部分端口的通信。

　　开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则：

▲

　　下面将通过两个例子说明IP地址过滤的使用。

　　实例一：

不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。

设置方法如下：

　　1.选择缺省过滤规则为：

凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

▲

　　2.添加IP地址过滤新条目：

　　允许内网192.168.1.103完全不受限制的访问外网的所有IP地址，因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：

192.168.1.100-192.168.1.102不需要进行添加，默认禁止其通过。

▲

　　3.保存后生成如下条目，即能达到预期目的：

▲

　　实例二：

内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件，其余时间不能和对外网通信。

　　分析：

浏览网页需使用到80端口（HTTP协议），收发电子邮件使用25（SMTP）与110（POP），同时域名服务器端口号53（DNS）

　　设置方法如下：

　　1.选择缺省过滤规则为：

凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

▲

　　2.设置生成如下条目后即能达到预期目的：

▲

　　MAC地址过滤：

MAC地址过滤的使用

　　MAC（MediaAccessControl），即介质访问控制地址的简称。

MAC地址是厂商在生产网络设备时赋予每一台设备惟一的地址。

其中，前24位标识网络设备的厂商，不同厂商生产的标识不同，后24位是由厂商指定的网络设备的序列号。

　　每一个网络设备，不论是有线网卡还是无线网卡，都有一个MAC地址。

网卡的MAC地址可以用这个办法获得：

打开命令行窗口，输入ipconfig/all，然后出现很多信息，其中物理地址（PhysicalAddress）就是MAC地址。

▲

　　MAC地址过滤功能正是利用了MAC地址的唯一性，即一台网络设备对应一个MAC地址，只有在无线路由器的MAC地址“允许”列表中的网络设备（需提前输入MAC地址）才能接入网络，这种方法可以非常有效的阻止非法用户的入侵。

　　MAC地址过滤用于通过MAC地址来设置内网主机对外网的访问权限，适用于这样的需求：

禁止/允许内网某个MAC地址和外网的通信。

　　开启MAC地址过滤功能时，必须要开启防火墙总开关，并明确MAC地址过滤的缺省过滤规则：

▲

　　下面通过一个例子说明MAC地址过滤的使用。

　　实例：

只允许MAC地址为“00-19-66-80-53-52”的计算机访问外网，禁止其他计算机访问外网，设置方法如下：

　　1、选择缺省过滤规则为：

仅允许已设MAC地址列表中已启用的MAC地址访问Internet

▲

　　2、添加MAC地址过滤新条目：

　　添加MAC地址：

00-19-66-80-53-52，状态选择“生效”

▲

　　3、保存后生成如下条目：

▲

　　设置完成之后，只有局域网中MAC地址为“00-19-66-80-53-52”的计算机可以访问外网，达到预期目的。

　　以上就是家庭用户在加强无线网络安全时所使用的种种方法，用户不需要全部都使用，可以根据具体情况参考选择其中的某些功能。