无线路由器设置:加强无线网络安全性
本文详细介绍了如何对无线路由器最基本的设置,那么在能够通过无线路由器上网的同时,我们就需要加强我们无线网络的安全性,不能让“非法分子”免费使用我们的无线网络。路由器设置专题 具体方法如下: ◆ 无线网络加密 ◆ 修改路由器登陆用户名和密码 ◆ 修改路由器管理端口 ◆ 关闭DHCP服务 ◆ 修改局域网IP地址 ◆ 隐藏无线网络SSID ◆ 开启路由器防火墙中的IP地址过滤和MAC地址过滤 一、无线网络加密 在前面的文章中,我们也介绍了一些最基本的安全设置,如对无线网络加密和修改用户名密码,这两项设置虽然基基础,但作用很大,所以还要介绍一下。 通过无线安全设置功能,可以防止他人未经同意私自连入您的无线网络,占用网络资源,同时也可以避免黑客窃听、黑客攻击等对您不利的行为,从而提高无线网络的安全性。选择菜单无线设置→无线安全设置,即可打开无线网络较为全面详细的安全选项。http://www.dnjsb.com/d/file/2014/11-06/bb1a02347d934a904a67b47990c05d40.jpg 无线网络安全设置界面 本页面提供了三种无线安全类型:WPA-PSK/WPA2-PSK、WPA/WPA2 以及WEP。不同的安全类型下,安全设置项不同,下面将详细介绍。 1. WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK安全类型其实是WPA/WPA2的一种简化版本,它是基于共享密钥的WPA模式,安全性很高,设置也比较简单,适合普通家庭用户和小型企业使用。其具体设置项见下图所示:http://www.dnjsb.com/d/file/2014/11-06/156376185c9c9506a47a76d881cb9e6a.jpg 认证类型: 该项用来选择系统采用的安全模式,即自动、WPA-PSK、WPA2-PSK。 自动:若选择该项,路由器会根据主机请求自动选择WPA-PSK或WPA2-PSK安全模式。 加密算法: 该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、AES。默认选项为自动,选择该项后,路由器将根据实际需要自动选择TKIP或AES加密方式。注意11N模式不支持TKIP算法。 PSK密码: 该项是WPA-PSK/WPA2-PSK的初始设置密钥,设置时,要求为8-63个ASCII字 符或8-64个十六进制字符。 组密钥更新周期:该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30,若该值为0,则表示不进行更新。 2. WPA/WPA2 WPA/WPA2是一种比WEP强大的加密算法,选择这种安全类型,路由器将采用Radius服务器进行身份认证并得到密钥的WPA或WPA2安全模式。由于要架设一台专用的认证服务器,代价比较昂贵且维护也很复杂,所以不推荐普通用户使用此安全类型。 3. WEP WEP是Wired Equivalent Privacy的缩写,它是一种基本的加密方法,其安全性不如另外两种安全类型高。选择WEP安全类型,路由器将使用802.11基本的WEP安全模式。这里需要注意的是因为802.11N不支持此加密方式,如果您选择此加密方式,路由器可能会工作在较低的传输速率上。 这里特别需要说明的是,三种无线加密方式对无线网络传输速率的影响也不尽相同。由于IEEE 802.11n标准不支持以WEP加密或TKIP加密算法的高吞吐率,所以如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的 TKIP算法,无线传输速率将会自动限制在11g水平(理论值54Mbps,实际测试成绩在20Mbps左右)。 也就是说,如果用户使用的是符合IEEE 802.11n标准的无线产品(理论速率150M或300M),那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密,否则无线传输速率将会明显降低。而如果用户使用的是符合IEEE 802.11g标准的无线产品,那么三种加密方式都可以很好的兼容,不过仍然不建议大家选择WEP这种较老且已经被破解的加密方式,最好可以升级一下无线路由。 二、修改路由器登陆用户名和密码 大多数无线路由器出厂默认登陆用户名和密码均为admin。建议用户对登陆用户和密码进行修改,掌握无线路由器的配置权限,从而防止非法用户修改您无线路由器的配置。设置步骤: 无线路由器中:系统工具—修改登陆口令http://www.dnjsb.com/d/file/2014/11-06/77d4548c023e07c267def308d8db4eae.jpg 三、修改路由器管理端口 几乎所有的路由器默认以80端口为管理端口。正常情况下,在浏览器输入IP地址,就可以登陆管理界面。如果修改管理端口,登陆路由器管理界面时需要在IP地址后添加端口号,如:http://192.168.1.1:8080。这样其他用户只有知道管理端口后才可以登陆路由器管理,大大增强了对路由器管理的安全性。 设置步骤: 无线路由器中:安全设置(系统工具)—远端WEB管理,将WEB管理端口修改,例如改为8080,保存。http://www.dnjsb.com/d/file/2014/11-06/f014d6bf736508164ed000683075473d.jpg 四、关闭DHCP服务 DHCP称之为动态主机配置协议,如果路由器上启用DHCP功能,就会负责给内网电脑分配IP地址、子网掩码、网关等参数。路由器出厂时默认开启。如果开启了DHCP服务,则非法用户无需手工指定就可以轻易获取IP地址,进而获得上网权限。因此关闭DHCP服务器可以使非法用户难以获取正确的 IP地址。 设置步骤: 无线路由器中:DHCP服务器—DHCP服务,将“DHCP服务器”选择为不启用,保存。http://www.dnjsb.com/d/file/2014/11-06/c947491da1ae938f5a0b9119b44d3b56.jpg 关闭DHCP服务器后,需要通过此无线路由器上网的用户只能是手动设置IP地址等参数。如果是非法用户,不知道具体的IP地址范围,则无法利用此无线路由器上网。电脑技术吧提供 五、修改局域网IP地址 一般无线路由器考虑到用户使用方便,出厂默认LAN口IP为192.168.1.1。如果不修改LAN口IP地址,即使关闭了DHCP服务器,非法用户通过指定IP地址到192.168.1.X网段,网关设置为192.168.1.1,则该用户还是可以获取上网资源。因此,建议修改LAN口IP 地址为不常用网段。 设置步骤: 无线路由器中:网络参数—LAN口设置,将IP地址修改为不常用网段,如:192.168.50.254http://www.dnjsb.com/d/file/2014/11-06/f0f842401229ed697f843cae4b7e6ed7.jpg 六、隐藏无线网络的SSID SSID也称ESSID,是服务集标识符,代表一个无线接入点。无线终端在接入时被要求首先输入SSID即网络名称。而隐藏SSID后,您的网络名称对其他人来说是未知的,因此不知道您这个无线网络的SSID,无线终端就不能进行连接。 设置步骤: 无线路由器中:无线参数(无线设置)—基本设置,将“允许SSID广播”前的对钩取消。http://www.dnjsb.com/d/file/2014/11-06/cd089c293004497dc4cc0aca4eab5ce6.jpg 对于允许接入的无线终端,需要手动添加配置文件去连接,或者在终端连接上无线路由器之后再取消SSID广播。 七、开启路由器防火墙中的IP地址过滤和MAC地址过滤 通过防火墙中IP地址和MAC地址过滤,只允许自己的IP地址或者MAC地址连接Internet,可以防止非法接入者共享带宽。 IP地址过滤:IP地址过滤的使用 IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。 开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则:http://www.dnjsb.com/d/file/2014/11-06/1f9236cb891b1289d97c0573de204660.jpg 下面将通过两个例子说明IP地址过滤的使用。 实例一:不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下: 1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:http://www.dnjsb.com/d/file/2014/11-06/404fb46273ba46e83ae14c3957ad2c93.jpg 2. 添加IP地址过滤新条目: 允许内网192.168.1.103完全不受限制的访问外网的所有IP地址,因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。http://www.dnjsb.com/d/file/2014/11-06/90266daef0acfe084269651ac5c2fd33.jpg 3. 保存后生成如下条目,即能达到预期目的:http://www.dnjsb.com/d/file/2014/11-06/b0b3ca681e4feef6e14add271f9cd7a3.jpg 实例二:内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。 分析:浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS) 设置方法如下: 1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:http://www.dnjsb.com/d/file/2014/11-06/2273c19913b85d94ae85f7dcc3c1d92d.jpg 2. 设置生成如下条目后即能达到预期目的:http://www.dnjsb.com/d/file/2014/11-06/26e974e446caf4693d2067da1c7c1c16.jpg MAC地址过滤:MAC地址过滤的使用 MAC(Media Access Control),即介质访问控制地址的简称。MAC地址是厂商在生产网络设备时赋予每一台设备惟一的地址。其中,前24位标识网络设备的厂商,不同厂商生产的标识不同,后24位是由厂商指定的网络设备的序列号。 每一个网络设备,不论是有线网卡还是无线网卡,都有一个MAC地址。网卡的MAC地址可以用这个办法获得:打开命令行窗口,输入ipconfig /all,然后出现很多信息,其中物理地址(Physical Address)就是MAC地址。http://www.dnjsb.com/d/file/2014/11-06/95cbd10575a045113cd59fb9734157b9.jpg MAC地址过滤功能正是利用了MAC地址的唯一性,即一台网络设备对应一个MAC地址,只有在无线路由器的MAC地址“允许”列表中的网络设备(需提前输入MAC地址)才能接入网络,这种方法可以非常有效的阻止非法用户的入侵。 MAC地址过滤用于通过MAC地址来设置内网主机对外网的访问权限,适用于这样的需求:禁止/允许内网某个MAC地址和外网的通信。 开启MAC地址过滤功能时,必须要开启防火墙总开关,并明确MAC地址过滤的缺省过滤规则:http://www.dnjsb.com/d/file/2014/11-06/9603e7f6557c108816f99d82dc3c195d.jpg 下面通过一个例子说明MAC地址过滤的使用。 实例:只允许MAC地址为“00-19-66-80-53-52”的计算机访问外网,禁止其他计算机访问外网,设置方法如下: 1、选择缺省过滤规则为:仅允许已设MAC地址列表中已启用的MAC地址访问Internethttp://www.dnjsb.com/d/file/2014/11-06/18c4d69d9a319c9ef3fa9c2f42d566eb.jpg 2、添加MAC地址过滤新条目: 添加MAC地址:00-19-66-80-53-52,状态选择“生效”http://www.dnjsb.com/d/file/2014/11-06/2654de5e270d8dead25d00e717bae92b.jpg 3、保存后生成如下条目:http://www.dnjsb.com/d/file/2014/11-06/c07965d794f2fedb7d854ea630021df5.jpg 设置完成之后,只有局域网中MAC地址为“00-19-66-80-53-52”的计算机可以访问外网,达到预期目的。 以上就是家庭用户在加强无线网络安全时所使用的种种方法,用户不需要全部都使用,可以根据具体情况参考选择其中的某些功能。谢谢你。。 学到东西了。。 好复杂,睇到头痛。 還記得以前路由器上網突然變得好慢...
然後上了個密碼就變得正常了
不知道之前被人拿來幹了什麼{:6_152:} lk1001 发表于 2014-11-11 12:42
還記得以前路由器上網突然變得好慢...
然後上了個密碼就變得正常了
不知道之前被人拿來幹了什麼
估计是比人蹭网了,加咗密码人地蹭吴到你网就正常了 唔错, 岩好想稳稳路由器设置教程!3Q 用英语大小写:loveliness:数字符号相结合的密码就可以了 多謝你的詳細說明 a532273 发表于 2014-11-11 14:16
估计是比人蹭网了,加咗密码人地蹭吴到你网就正常了
嗯! 幸好加了密碼到了現在還沒出什麼情況