无线路由器完全设置 保护局域网安全

[原创]终极无线路由器完全设置保护局域网安全

因本人路由器经常被一些蹭网族光顾，影响上网速度，就上网学习了下无线安全方面的知识。也尝试破解了一些AP，这所谓要学会防御，

首先学会攻击。好了不多废话了，进入正题吧。在此，不能说这几招就绝对安全了，但防个邻居蹭网什么的还是非常有效的。下面以TP-LINK

一款路由器为例，其他品牌大同小异。

1.关闭QSS功能、WPS一键安全设定（重要）

现在的路由器都有这功能，而且默认是开启的。我们要把它关闭，因为开启了就可以穷举PIN码连接你的路由器，从而破解密钥。

通过穷举PIN码破解密钥（下图）

通过PIN码连接路由器（下图）

2.给无线网络加密

一般我们常见的无线加密方式有三种：WEP加密、WPA加密和WPA2加密。需要特别说明的是，三种无线加密方式对无线网络传输速率的影响也不尽相同。由于IEEE802.11n标准不支持以WEP加密(或TKIP加密算法)单播密码的高吞吐率，所以如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法，无线传输速率将会自动降至11g水平(理论值54Mbps，实际测试成绩20Mbps左右)。

现在用户使用的基本上都是11n无线产品(150M或300M)，那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密，否则无线传输速率将会自动降低。而如果用户使用的是11g产品，那么三种加密方式都可以很好的兼容，但我们不建议大家选择WEP这种较老且更容易破解的加密方式。

所以我们不能使用WEP这种加密方式，因为很容易被抓包破解，只要短短几分钟。（如下图）

我们该选择认证类型WPA或WPA2，加密算法AES。这样要破解只能要有客户端，攻击客户端掉线，从而获取握手包，再跑字典暴力破解。如果密码复杂的话，几乎不可能跑出来。下图已经成功跑出密码。（如下图）

3.修改默认的用户名和密码

有的用户可能不设置好无线加密后，我们需要修改无线路由器默认的登录用户名和密码。为什么要这么做呢?原因很简单，因为同一型号甚至同一厂商的无线路由器在出厂时所设置的默认用户名和密码几乎都是一样的。因此，只要有经验的用户只需尝试几次就可以轻松进入无线路由的Web配置界面，从而控制你的无线网络。因此修改默认用户名和密码也是保护无线网络安全所必须的。（如下图）

不过也可以获取你的路由器IP网关，从而破解用户名、密码。所以我们用户名、密码设置复杂点就可以了。

4.关闭或修改SSID名称

SSID就是搜索无线网络时所出现的无线网络名称。对于企业级用户来说，这个名字是为了方便员工找到并连接到自己企业的无线网络，但对于个人家庭用户来说，公开SSID只会引来非法入侵者。因此，关闭SSID广播也是提升无线网络安全的一个好方法。

当然也可以修改SSID名称，如继续使用默认的“D-Link”、“TP-LINK”、“totolink”等SSID名称会很容易就被别人猜到。

▲修改SSID名称或者关闭SSID广播

关闭了SSID广播后，用户自己怎么知道该连接哪个无线网络呢?方法很简单，用户只需重新刷新无线网络列表，之后会看到一个没有名字(空白)的无线连接，双击它，在弹出的窗口中输入只有你自己知道的个性SSID名称和无线密钥即可连接。

一般默认情况SSID是路由器品牌+路由器MAC地址，这个我们可以随意修改，中文也可以。

关闭SSID广播就要自己输入SSID连接了。（如下图）

5.关闭DHCP服务器

DHCP是自动为连入无线网络的用户分配IP地址的一项功能，省去了用户手动设置IP地址的麻烦。

一旦关闭了DHCP功能，想要连接到你无线网络的非法用户就没法自动分配到IP地址了，那么他就得手工输入IP地址，而为了不让非法用户轻易猜到无线路由的IP地址段，我们还必须修改无线路由的默认IP地址。此时非法用户想要连接网络就必须挨个去尝试每个IP地址段，非常麻烦。所以建议大家关闭DHCP功能，并修改默认IP地址。

▲停用DHCP，修改默认地址

那么在关闭无线路由的DHCP功能后，用户如何才能连接上无线网络呢?很简单，只需手动设置一下无线网卡的IP地址。

▲手]动设置

手动输入的IP地址只要和无线路由器的IP地址保持在同一IP地址段即可，例如无线路由器修改后的IP地址为：192.168.23.1，那么无线网卡的IP地址即可设置为：192.168.23.X(X表示2-254任意数字);而默认网关与无线路由的IP地址相同即可。

DHCP是用来分配IP的，如果局域网主机少这个就可以关闭。这样我们改了路由器IP，别人也无法获取IP地址了。不过我们自己要设置IP。

关于关闭DHCP、修改路由器IP、电脑设置IP（如下图）

能上互联网的电脑都有它的IP地址，不然别人找不到你。IP地址是由网络数和主机数组成的，而划分网络和主机就是子网掩码了。

6.开启MAC地址过滤

MAC是MediaAccessControl介质访问控制地址的简称。MAC地址是厂商在生产网络设备时赋予每一台设备惟一的地址。前24位标识网卡的厂商，不同厂商生产的标识不同，后24位是由厂商指定的网络设备的序列号。

开启无线路由器的“MAC地址过滤”功能，在MAC地址列表中输入允许连入网络的MAC地址，这样利用MAC地址的唯一性，可以非常有效的阻止非法用户。

▲开启MAC地址过滤功能

那么如何查看无线网卡的MAC地址呢?方法如下，在“网络连接”中找到“无线网络连接”图标，右键->“状态”，选择“支持”->“详细信息”，其中的“实际地址”就是你无线网卡的MAC地址。

▲查看MAC地址

此外，用户还可以点击任务栏的“开始”->运行->在弹出的“运行”窗口文本框内输入“cmd”，然后单击“确定”按钮;在命令窗口中输入“ipconfig/all”后回车，此时在显示的结果中同样可以找到MAC地址。

在启用MAC地址过滤功能时，一定要看清过滤模式是“允许