本文詳細介紹了如何對無線路由器最基本的設置,那麼在能夠通過無線路由器上網的同時,我們就需要加強我們無線網絡的安全性,不能讓“非法分子”免費使用我們的無線網絡。
具體方法如下:
◆ 無線網絡加密
◆ 修改路由器登陸用戶名和密碼
◆ 修改路由器管理端口
◆ 關閉DHCP服務
◆ 修改局域網IP地址
◆ 隱藏無線網絡SSID
◆ 開啟路由器防火牆中的IP地址過濾和MAC地址過濾
一、無線網絡加密
在前面的文章中,我們也介紹了一些最基本的安全設置,如對無線網絡加密和修改用戶名密碼,這兩項設置雖然基基礎,但作用很大,所以還要介紹一下。
通過無線安全設置功能,可以防止他人未經同意私自連入您的無線網絡,占用網絡資源,同時也可以避免黑客竊聽、黑客攻擊等對您不利的行為,從而提高無線網絡的安全性。選擇菜單無線設置→無線安全設置,即可打開無線網絡較為全面詳細的安全選項。
無線網絡安全設置界面
本頁面提供了三種無線安全類型:WPA-PSK/WPA2-PSK、WPA/WPA2 以及WEP。不同的安全類型下,安全設置項不同,下面將詳細介紹。
1. WPA-PSK/WPA2-PSK
WPA-PSK/WPA2-PSK安全類型其實是WPA/WPA2的一種簡化版本,它是基於共享密鑰的WPA模式,安全性很高,設置也比較簡單,適合普通家庭用戶和小型企業使用。其具體設置項見下圖所示:
認證類型: 該項用來選擇系統采用的安全模式,即自動、WPA-PSK、WPA2-PSK。
自動:若選擇該項,路由器會根據主機請求自動選擇WPA-PSK或WPA2-PSK安全模式。
加密算法: 該項用來選擇對無線數據進行加密的安全算法,選項有自動、TKIP、AES。默認選項為自動,選擇該項後,路由器將根據實際需要自動選擇TKIP或AES加密方式。注意11N模式不支持TKIP算法。
PSK密碼: 該項是WPA-PSK/WPA2-PSK的初始設置密鑰,設置時,要求為8-63個ASCII字
符或8-64個十六進制字符。
組密鑰更新周期:該項設置廣播和組播密鑰的定時更新周期,以秒為單位,最小值為30,若該值為0,則表示不進行更新。
2. WPA/WPA2
WPA/WPA2是一種比WEP強大的加密算法,選擇這種安全類型,路由器將采用Radius服務器進行身份認證並得到密鑰的WPA或WPA2安全模式。由於要架設一台專用的認證服務器,代價比較昂貴且維護也很復雜,所以不推薦普通用戶使用此安全類型。
3. WEP
WEP是Wired Equivalent Privacy的縮寫,它是一種基本的加密方法,其安全性不如另外兩種安全類型高。選擇WEP安全類型,路由器將使用802.11基本的WEP安全模式。這裡需要注意的是因為802.11N不支持此加密方式,如果您選擇此加密方式,路由器可能會工作在較低的傳輸速率上。
這裡特別需要說明的是,三種無線加密方式對無線網絡傳輸速率的影響也不盡相同。由於IEEE 802.11n標准不支持以WEP加密或TKIP加密算法的高吞吐率,所以如果用戶選擇了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的 TKIP算法,無線傳輸速率將會自動限制在11g水平(理論值54Mbps,實際測試成績在20Mbps左右)。
也就是說,如果用戶使用的是符合IEEE 802.11n標准的無線產品(理論速率150M或300M),那麼無線加密方式只能選擇WPA-PSK/WPA2-PSK的AES算法加密,否則無線傳輸速率將會明顯降低。而如果用戶使用的是符合IEEE 802.11g標准的無線產品,那麼三種加密方式都可以很好的兼容,不過仍然不建議大家選擇WEP這種較老且已經被破解的加密方式,最好可以升級一下無線路由。
二、修改路由器登陸用戶名和密碼
大多數無線路由器出廠默認登陸用戶名和密碼均為admin。建議用戶對登陸用戶和密碼進行修改,掌握無線路由器的配置權限,從而防止非法用戶修改您無線路由器的配置。設置步驟:
無線路由器中:系統工具—修改登陸口令
三、修改路由器管理端口
幾乎所有的路由器默認以80端口為管理端口。正常情況下,在浏覽器輸入IP地址,就可以登陸管理界面。如果修改管理端口,登陸路由器管理界面時需要在IP地址後添加端口號,如:http://192.168.1.1:8080。這樣其他用戶只有知道管理端口後才可以登陸路由器管理,大大增強了對路由器管理的安全性。
設置步驟:
無線路由器中:安全設置(系統工具)—遠端WEB管理,將WEB管理端口修改,例如改為8080,保存。
四、關閉DHCP服務
DHCP稱之為動態主機配置協議,如果路由器上啟用DHCP功能,就會負責給內網電腦分配IP地址、子網掩碼、網關等參數。路由器出廠時默認開啟。如果開啟了DHCP服務,則非法用戶無需手工指定就可以輕易獲取IP地址,進而獲得上網權限。因此關閉DHCP服務器可以使非法用戶難以獲取正確的 IP地址。
設置步驟:
無線路由器中:DHCP服務器—DHCP服務,將“DHCP服務器”選擇為不啟用,保存。
關閉DHCP服務器後,需要通過此無線路由器上網的用戶只能是手動設置IP地址等參數。如果是非法用戶,不知道具體的IP地址范圍,則無法利用此無線路由器上網。
五、修改局域網IP地址
一般無線路由器考慮到用戶使用方便,出廠默認LAN口IP為192.168.1.1。如果不修改LAN口IP地址,即使關閉了DHCP服務器,非法用戶通過指定IP地址到192.168.1.X網段,網關設置為192.168.1.1,則該用戶還是可以獲取上網資源。因此,建議修改LAN口IP 地址為不常用網段。
設置步驟:
無線路由器中:網絡參數—LAN口設置,將IP地址修改為不常用網段,如:192.168.50.254
六、隱藏無線網絡的SSID
SSID也稱ESSID,是服務集標識符,代表一個無線接入點。無線終端在接入時被要求首先輸入SSID即網絡名稱。而隱藏SSID後,您的網絡名稱對其他人來說是未知的,因此不知道您這個無線網絡的SSID,無線終端就不能進行連接。
設置步驟:
無線路由器中:無線參數(無線設置)—基本設置,將“允許SSID廣播”前的對鉤取消。
對於允許接入的無線終端,需要手動添加配置文件去連接,或者在終端連接上無線路由器之後再取消SSID廣播。
七、開啟路由器防火牆中的IP地址過濾和MAC地址過濾
通過防火牆中IP地址和MAC地址過濾,只允許自己的IP地址或者MAC地址連接Internet,可以防止非法接入者共享帶寬。
IP地址過濾:IP地址過濾的使用
IP地址過濾用於通過IP地址設置內網主機對外網的訪問權限,適用於這樣的需求:在某個時間段,禁止/允許內網某個IP(段)所有或部分端口和外網IP的所有或部分端口的通信。
開啟IP地址過濾功能時,必須要開啟防火牆總開關,並明確IP地址過濾的缺省過濾規則:
下面將通過兩個例子說明IP地址過濾的使用。
實例一:不允許內網192.168.1.100-192.168.1.102的IP地址訪問外網所有IP地址;允許192.168.1.103完全不受限制的訪問外網的所有IP地址。設置方法如下:
1. 選擇缺省過濾規則為:凡是不符合已設IP地址過濾規則的數據包,禁止通過本路由器:
2. 添加IP地址過濾新條目:
允許內網192.168.1.103完全不受限制的訪問外網的所有IP地址,因默認規則為“禁止不符合IP過濾規則的數據包通過路由器”,所以內網電腦IP地址段:192.168.1.100-192.168.1.102不需要進行添加,默認禁止其通過。
3. 保存後生成如下條目,即能達到預期目的:
實例二:內網192.168.1.100-192.168.1.102的I