無線路由器設置：加強無線網絡安全性

　　本文詳細介紹了如何對無線路由器最基本的設置，那麼在能夠通過無線路由器上網的同時，我們就需要加強我們無線網絡的安全性，不能讓“非法分子”免費使用我們的無線網絡。

　　具體方法如下：

　　◆ 無線網絡加密

　　◆ 修改路由器登陸用戶名和密碼

　　◆ 修改路由器管理端口

　　◆ 關閉DHCP服務

　　◆ 修改局域網IP地址

　　◆ 隱藏無線網絡SSID

　　◆ 開啟路由器防火牆中的IP地址過濾和MAC地址過濾

　　一、無線網絡加密

　　在前面的文章中，我們也介紹了一些最基本的安全設置，如對無線網絡加密和修改用戶名密碼，這兩項設置雖然基基礎，但作用很大，所以還要介紹一下。

　　通過無線安全設置功能，可以防止他人未經同意私自連入您的無線網絡，占用網絡資源，同時也可以避免黑客竊聽、黑客攻擊等對您不利的行為，從而提高無線網絡的安全性。選擇菜單無線設置→無線安全設置，即可打開無線網絡較為全面詳細的安全選項。

　　無線網絡安全設置界面

　　本頁面提供了三種無線安全類型：WPA-PSK/WPA2-PSK、WPA/WPA2 以及WEP。不同的安全類型下，安全設置項不同，下面將詳細介紹。

　　1. WPA-PSK/WPA2-PSK

　　WPA-PSK/WPA2-PSK安全類型其實是WPA/WPA2的一種簡化版本，它是基於共享密鑰的WPA模式，安全性很高，設置也比較簡單，適合普通家庭用戶和小型企業使用。其具體設置項見下圖所示：

　　認證類型： 該項用來選擇系統采用的安全模式，即自動、WPA-PSK、WPA2-PSK。

　　自動：若選擇該項，路由器會根據主機請求自動選擇WPA-PSK或WPA2-PSK安全模式。

　　加密算法： 該項用來選擇對無線數據進行加密的安全算法，選項有自動、TKIP、AES。默認選項為自動，選擇該項後，路由器將根據實際需要自動選擇TKIP或AES加密方式。注意11N模式不支持TKIP算法。

　　PSK密碼： 該項是WPA-PSK/WPA2-PSK的初始設置密鑰，設置時，要求為8-63個ASCII字

　　符或8-64個十六進制字符。

　　組密鑰更新周期：該項設置廣播和組播密鑰的定時更新周期，以秒為單位，最小值為30，若該值為0，則表示不進行更新。

　　2. WPA/WPA2

　　WPA/WPA2是一種比WEP強大的加密算法，選擇這種安全類型，路由器將采用Radius服務器進行身份認證並得到密鑰的WPA或WPA2安全模式。由於要架設一台專用的認證服務器，代價比較昂貴且維護也很復雜，所以不推薦普通用戶使用此安全類型。

　　3. WEP

　　WEP是Wired Equivalent Privacy的縮寫，它是一種基本的加密方法，其安全性不如另外兩種安全類型高。選擇WEP安全類型，路由器將使用802.11基本的WEP安全模式。這裡需要注意的是因為802.11N不支持此加密方式，如果您選擇此加密方式，路由器可能會工作在較低的傳輸速率上。

　　這裡特別需要說明的是，三種無線加密方式對無線網絡傳輸速率的影響也不盡相同。由於IEEE 802.11n標准不支持以WEP加密或TKIP加密算法的高吞吐率，所以如果用戶選擇了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的 TKIP算法，無線傳輸速率將會自動限制在11g水平(理論值54Mbps，實際測試成績在20Mbps左右)。

　　也就是說，如果用戶使用的是符合IEEE 802.11n標准的無線產品(理論速率150M或300M)，那麼無線加密方式只能選擇WPA-PSK/WPA2-PSK的AES算法加密，否則無線傳輸速率將會明顯降低。而如果用戶使用的是符合IEEE 802.11g標准的無線產品，那麼三種加密方式都可以很好的兼容，不過仍然不建議大家選擇WEP這種較老且已經被破解的加密方式，最好可以升級一下無線路由。

　　二、修改路由器登陸用戶名和密碼

　　大多數無線路由器出廠默認登陸用戶名和密碼均為admin。建議用戶對登陸用戶和密碼進行修改，掌握無線路由器的配置權限，從而防止非法用戶修改您無線路由器的配置。設置步驟：

　　無線路由器中：系統工具—修改登陸口令

　　三、修改路由器管理端口

　　幾乎所有的路由器默認以80端口為管理端口。正常情況下，在浏覽器輸入IP地址，就可以登陸管理界面。如果修改管理端口，登陸路由器管理界面時需要在IP地址後添加端口號，如：http://192.168.1.1:8080。這樣其他用戶只有知道管理端口後才可以登陸路由器管理，大大增強了對路由器管理的安全性。

　　設置步驟：

　　無線路由器中：安全設置(系統工具)—遠端WEB管理，將WEB管理端口修改，例如改為8080，保存。

　　四、關閉DHCP服務

　　DHCP稱之為動態主機配置協議，如果路由器上啟用DHCP功能，就會負責給內網電腦分配IP地址、子網掩碼、網關等參數。路由器出廠時默認開啟。如果開啟了DHCP服務，則非法用戶無需手工指定就可以輕易獲取IP地址，進而獲得上網權限。因此關閉DHCP服務器可以使非法用戶難以獲取正確的 IP地址。

　　設置步驟：

　　無線路由器中：DHCP服務器—DHCP服務，將“DHCP服務器”選擇為不啟用，保存。

　　關閉DHCP服務器後，需要通過此無線路由器上網的用戶只能是手動設置IP地址等參數。如果是非法用戶，不知道具體的IP地址范圍，則無法利用此無線路由器上網。

　　五、修改局域網IP地址

　　一般無線路由器考慮到用戶使用方便，出廠默認LAN口IP為192.168.1.1。如果不修改LAN口IP地址，即使關閉了DHCP服務器，非法用戶通過指定IP地址到192.168.1.X網段，網關設置為192.168.1.1，則該用戶還是可以獲取上網資源。因此，建議修改LAN口IP 地址為不常用網段。

　　設置步驟：

　　無線路由器中：網絡參數—LAN口設置，將IP地址修改為不常用網段，如：192.168.50.254

　　六、隱藏無線網絡的SSID

　　SSID也稱ESSID，是服務集標識符，代表一個無線接入點。無線終端在接入時被要求首先輸入SSID即網絡名稱。而隱藏SSID後，您的網絡名稱對其他人來說是未知的，因此不知道您這個無線網絡的SSID，無線終端就不能進行連接。

　　設置步驟：

　　無線路由器中：無線參數(無線設置)—基本設置，將“允許SSID廣播”前的對鉤取消。

　　對於允許接入的無線終端，需要手動添加配置文件去連接，或者在終端連接上無線路由器之後再取消SSID廣播。

　　七、開啟路由器防火牆中的IP地址過濾和MAC地址過濾

　　通過防火牆中IP地址和MAC地址過濾，只允許自己的IP地址或者MAC地址連接Internet，可以防止非法接入者共享帶寬。

　　IP地址過濾：IP地址過濾的使用

　　IP地址過濾用於通過IP地址設置內網主機對外網的訪問權限，適用於這樣的需求：在某個時間段，禁止/允許內網某個IP(段)所有或部分端口和外網IP的所有或部分端口的通信。

　　開啟IP地址過濾功能時，必須要開啟防火牆總開關，並明確IP地址過濾的缺省過濾規則：

　　下面將通過兩個例子說明IP地址過濾的使用。

　　實例一：不允許內網192.168.1.100-192.168.1.102的IP地址訪問外網所有IP地址;允許192.168.1.103完全不受限制的訪問外網的所有IP地址。設置方法如下：

　　1. 選擇缺省過濾規則為：凡是不符合已設IP地址過濾規則的數據包，禁止通過本路由器：

　　2. 添加IP地址過濾新條目：

　　允許內網192.168.1.103完全不受限制的訪問外網的所有IP地址，因默認規則為“禁止不符合IP過濾規則的數據包通過路由器”，所以內網電腦IP地址段：192.168.1.100-192.168.1.102不需要進行添加，默認禁止其通過。

　　3. 保存後生成如下條目，即能達到預期目的：

　　實例二：內網192.168.1.100-192.168.1.102的I