摘 要：伴隨著各運營商的寬帶大提速，無線已經(jīng)成為家庭組網(wǎng)的首選。然而，無線路由器應用愈加廣泛、與我們的生活聯(lián)系愈加密切的同時，安全問題也日漸凸顯出來：網(wǎng)銀被盜、隱私暴露、數(shù)據(jù)丟失等。近日，一起關于路由器安全的漏洞問題被曝光后，在業(yè)內(nèi)激起了一層不小的浪花，隨著網(wǎng)絡安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護意識的提升，“安全”必將成為人們對于路由器的一個重要需求。

關鍵詞：無線；網(wǎng)絡；路由器；安全；策略

中圖分類號：TN915.05

1 無線路由暗藏隱患

伴隨著各運營商的寬帶大提速，無線已經(jīng)成為家庭組網(wǎng)的首選，然而，近日中國電信發(fā)布了一則安全公告，稱中國電信網(wǎng)絡安全團隊發(fā)現(xiàn)，有黑客利用家用無線寬帶路由器使用admin/admin作為用戶名/口令的弱點，在某些惡意網(wǎng)頁中嵌入修改路由器DNS（域名解析服務）配置的代碼，用戶只要瀏覽黑客控制的這些網(wǎng)頁，其IP地址就會在不知情的情況下被篡改，當用戶訪問時，就可能造成信息泄露等危害，一些網(wǎng)絡黑客或者別有用心的人，破解或登錄無線網(wǎng)絡后，很容易控制無線路由器，然后對特定網(wǎng)絡會話實施劫持，劫持到他人的微博、微信、人人網(wǎng)、QQ號碼、手機號、照片等隱私信息，從中竊取用戶的重要賬號密碼、植入木馬病毒等，而且可以在會話的有效期內(nèi)冒充合法用戶對其所登錄的應用進行操作。

據(jù)國家互聯(lián)網(wǎng)應急中心發(fā)布的報告顯示，去年國家信息安全漏洞共享平臺（CNVD）共收錄各類安全漏洞7854個，其中高危漏洞2607個，較2012年增長15.1%和6.8%。其中思科、TP-LINK、D-LINK等多個品牌廠商的路由器存在后門程序。這些后門程序其實是一種安全漏洞，攻擊者利用漏洞能完全控制路由器，輕易竊得用戶隱私，包括網(wǎng)銀賬號和密碼，對用戶構成較為嚴重的威脅。也正是這樣的威脅，才造成路由器安全性問題在業(yè)內(nèi)“一石激起千層浪”的影響。

2 路由器安全應對策略

隨著網(wǎng)絡安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護意識的提升，“安全”必將成為人們對于路由器的一個重要需求。無線路由安全設置，是保障無線網(wǎng)絡安全的第一步。如果在配置過程中，出現(xiàn)了問題，那么肯定不能保障網(wǎng)絡的安全。要提高無線路由器的使用安全性，可以采用以下幾點設置方法，將自己面臨的風險降至最低。

2.1 修改路由器默認的管理密碼。不要再使用“admin”這樣的弱密碼，盡量使用10位以上的密碼，最好是大小寫字母、數(shù)字、特殊符號的組合，這樣可以讓純暴力破解變得很困難，另外要定期更換密碼。

2.2 設置網(wǎng)絡密鑰。采用WPA/WPA2加密方式設置無線密碼，因為這兩種算法，破解難度較大，基本無破解可能。不要用有缺陷的加密方式，這種加密方式是最常用的加密方式。進入無線安全設置頁面，勾選wpa-psk/wpa2-psk，在psk密碼一欄中輸入無線密碼，務必記牢。

2.3 禁用WPS功能。WPS（Wi-Fi Protected Setup）是Wi-Fi保護設置的英文縮寫。WPS是由Wi-Fi聯(lián)盟組織實施的認證項目，主要致力于簡化無線局域網(wǎng)安裝及安全性能的配置工作?，F(xiàn)有的WPS功能已經(jīng)指出存在漏洞，使路由器的接入密碼和后臺管理密碼有暴露可能，那么最好的方法就是禁用WPS功能。

2.4 禁用SSID廣播。SSID是你給自己的無線網(wǎng)絡所取的名字，需要注意的是，同一生產(chǎn)商推出的無線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網(wǎng)絡，就極易建立起一條非法的連接，從而給我們的無線網(wǎng)絡帶來威脅。因此，需將SSID重命名。無線路由器一般都會提供“允許SSID廣播”功能，如果你不想讓自己的無線網(wǎng)絡被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。你的無線網(wǎng)絡仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡列表中。自己只需重新刷新無線網(wǎng)絡列表，之后會看到一個沒有名字（空白）的無線連接，雙擊它，在彈出的窗口中輸入只有你自己知道的SSID名稱和無線密鑰即可連接。

2.5 禁用DHCP。DHCP功能可在無線局域網(wǎng)內(nèi)自動為每臺電腦分配IP地址，不需要用戶設置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么別人就能很容易地使用你的無線網(wǎng)絡。一旦關閉了DHCP功能，想要連接到你無線網(wǎng)絡的非法用戶就沒法自動分配到IP地址了，那么他就得手工輸入IP地址，而為了不讓非法用戶輕易猜到無線路由的IP地址段，我們還必須修改無線路由的默認IP地址。此時非法用戶想要連接網(wǎng)絡就必須挨個去嘗試每個IP地址段，非常麻煩。因此，禁用DHCP功能對無線網(wǎng)絡而言很有必要，在無線路由器的“DHCP服務器”設置項下將DHCP服務器設定為“不啟用”即可。

2.6 打開路由器自帶的防火墻功能。路由器中內(nèi)置的防火墻能夠起到基本的防火墻功能，它能夠屏蔽內(nèi)部網(wǎng)絡的IP地址，自由設定IP地址、通信端口過濾，可以防止黑客攻擊和病毒入侵，因此，防火墻功能是家用寬帶路由器的一個重要功能。

2.7 開啟MAC地址過濾。MAC是Media Access Control介質(zhì)訪問控制地址的簡稱。MAC地址是廠商在生產(chǎn)網(wǎng)絡設備時賦予每一臺設備惟一的地址。開啟無線路由器的“MAC地址過濾”功能，在MAC地址列表中輸入允許連入網(wǎng)絡的MAC地址，綁定經(jīng)常使用的設備。這樣利用MAC地址的唯一性，可以非常有效的阻止非法用戶。經(jīng)常登錄路由器管理后臺，看看有沒有不熟悉的設備連入了WIFI，有的話斷開并封掉MAC地址。封完以后馬上修改WIFI密碼和路由器后臺賬號密碼。

2.8 平時使用要注意固件升級。路由器的固件跟系統(tǒng)一樣都需要升級，無線路由器固件升級新版本一方面可以修正舊版本固件存在的問題，路由器廠商提供路由器的升級固件往往可以起到豐富功能，改善穩(wěn)定性等好處。有漏洞的無線路由器一定要及時打補丁升級或換成更安全的。

2.9 利用相關安全軟件檢測。選擇相關安全軟件檢測無線安全，如可以選擇360安全衛(wèi)士自帶的“WiFi體檢”功能，定期對路由器進行體檢，及時發(fā)現(xiàn)并修復安全隱患，有效防御黑客攻擊。

3 重要信息需數(shù)據(jù)加密防護

除了對無線路由器做以上安全設置，對計算機中的文件數(shù)據(jù)加密也是必須要跟進的。只要系統(tǒng)中的文件安全有了保障，就不用再擔心信息會遭到泄露。加密直接作用于數(shù)據(jù)本身，在最壞的情況下，即使文件數(shù)據(jù)被竊取了，加密依然為數(shù)據(jù)起防護作用，在解密越發(fā)困難的當下，可以保證加了密的信息不會大白天下，只有用戶自己所知。

無論面對怎樣的安全隱患，只要從最根本的癥結(jié)入手，做好全面的防護，則可從根源排除萬難，不受隱患威脅。而在現(xiàn)代化的當下，保障信息安全則只要從數(shù)據(jù)本源著手防御，使用最有效的加密軟件保證數(shù)據(jù)的隱秘性，即可防止信息泄露！

雖然普通消費級路由器的安全隱患很大，并且還有不斷蔓延的趨勢。但說到底它也只是信息時代眾多信息安全問題之一。面對這種嚴重的安全形勢，改變思路，除了從設備上加強管理外，良好的使用習慣、靈活且具有針對性的加密技術，以及用軟件進行安全防護，仍可讓你遠離大多數(shù)的安全威脅。

參考文獻：

[1]馬業(yè)盼.無線傳感器網(wǎng)絡中的安全技術研究[J].數(shù)字化用戶，2013（08）.

[2]朱偉龍.陳傳峰.WSN安全通信的形式化驗證[J].信息安全與通信保密，2013（04）.

[3]曲波.淺談關于電子商務的網(wǎng)絡安全技術[J].中國電子商務，2011（05）.

[4]胡燕紅.劉紹鋒.如何保證校園網(wǎng)絡安全[J].科技廣場，2009（03）.

作者簡介：王喚（1980.10-），男，江蘇常熟人，教師，講師，碩士，研究方向：計算機網(wǎng)絡技術。

作者單位：常熟職業(yè)教育中心校，江蘇常熟 215500