引言：伴隨著智能終端設(shè)備的不斷普及，越來(lái)越多的單位用戶開始使用無(wú)線路由器，來(lái)在局部范圍部署無(wú)線網(wǎng)絡(luò)。不過，無(wú)線路由器常常會(huì)因?yàn)楣碳﨎UG、設(shè)置錯(cuò)誤、系統(tǒng)漏洞等因素，引起一些安全問題，要是這些問題被惡意用戶利用，便很有可能會(huì)造成無(wú)線路由器被非法攻擊，甚至這些惡意用戶可以通過入侵的無(wú)線路由器，威脅整個(gè)無(wú)線網(wǎng)絡(luò)的運(yùn)行安全。

伴隨著智能終端設(shè)備的不斷普及，越來(lái)越多的單位用戶開始使用無(wú)線路由器，來(lái)在局部范圍部署無(wú)線網(wǎng)絡(luò)。不過，無(wú)線路由器常常會(huì)因?yàn)楣碳﨎UG、設(shè)置錯(cuò)誤、系統(tǒng)漏洞等因素，引起一些安全問題，要是這些問題被惡意用戶利用，便很有可能會(huì)造成無(wú)線路由器被非法攻擊，甚至這些惡意用戶可以通過入侵的無(wú)線路由器，威脅整個(gè)無(wú)線網(wǎng)絡(luò)的運(yùn)行安全。為了保證整個(gè)無(wú)線網(wǎng)絡(luò)安全，我們必須高度重視無(wú)線路由器的一些安全細(xì)項(xiàng)，避免它們成為安全“短板”。

更新固件程序

圖1 瀏覽頁(yè)面

眾所周知，與普通計(jì)算機(jī)相似，無(wú)線路由器的固件程序相當(dāng)于BIOS軟件，它事先已被固化到路由器設(shè)備主板芯片上，往往用來(lái)控制和協(xié)調(diào)路由器內(nèi)部集成電路的。正常來(lái)說(shuō)，無(wú)線路由器工作一段時(shí)間后，固件程序自身存在的編程錯(cuò)誤、軟件BUG等現(xiàn)象，會(huì)被逐漸發(fā)現(xiàn)，一旦它們被惡意用戶非法利用，那么無(wú)線路由器就會(huì)成為“肉雞”，惡意用戶利用它能輕松攻擊無(wú)線局域網(wǎng)中的其他計(jì)算機(jī)甚至服務(wù)器。所以，為了堵住安全漏洞，設(shè)備生產(chǎn)廠商都會(huì)在官方站點(diǎn)上，及時(shí)發(fā)布新的固件版本，來(lái)修復(fù)存在的安全問題。對(duì)于普通用戶來(lái)說(shuō)，只要定期到網(wǎng)上下載安裝最新版本固件，及時(shí)對(duì)無(wú)線路由器后臺(tái)系統(tǒng)進(jìn)行升級(jí)更新，就能讓設(shè)備在高效運(yùn)行的同時(shí)，不會(huì)輕易遭遇惡意用戶的攻擊。

對(duì)無(wú)線路由器固件程序進(jìn)行升級(jí)，實(shí)際上就是用高版本替代當(dāng)前低版本的常規(guī)更新操作。在獲取高版本固件程序時(shí)，首先應(yīng)該檢查無(wú)線路由器的銘牌信息，記下設(shè)備的品牌和型號(hào)內(nèi)容，根據(jù)這些內(nèi)容進(jìn)入指定路由器設(shè)備的官方站點(diǎn)。比方說(shuō)，當(dāng)終端用戶查找到無(wú)線路由器是TP-Link品牌時(shí)，只要開啟IE瀏覽窗口，在該窗口地址欄中輸入對(duì)應(yīng)品牌的官 方URL地 址“http://www.tp-link.com.cn”，進(jìn)入如圖1所示的瀏覽頁(yè)面。選中并點(diǎn)擊該頁(yè)面中的“無(wú)線網(wǎng)絡(luò)產(chǎn)品”鏈接，在對(duì)應(yīng)鏈接頁(yè)面中找到特定型號(hào)的無(wú)線路由產(chǎn)品，點(diǎn)擊該產(chǎn)品頁(yè)面中的“相關(guān)下載”按鈕，從下載頁(yè)面中下載得到最新版本的固件程序和有關(guān)升級(jí)程序，將它們一起存儲(chǔ)到本地計(jì)算機(jī)硬盤中。

之后通過雙絞線將本地計(jì)算機(jī)與無(wú)線路由器連接在一起，啟動(dòng)運(yùn)行計(jì)算機(jī)系統(tǒng)中的IE瀏覽器程序，在瀏覽窗口中輸入無(wú)線路由器默認(rèn)的Web管理地址，打開路由器后臺(tái)管理登錄頁(yè)面，輸入管理員賬號(hào)，確認(rèn)后登錄進(jìn)入后臺(tái)系統(tǒng)管理頁(yè)面。從中先找到備份功能選項(xiàng)，指定好備份文件存儲(chǔ)路徑，將無(wú)線路由器當(dāng)前的配置參數(shù)備份保存好，避免固件升級(jí)操作失敗引起的配置丟失現(xiàn)象。接著找到“固件升級(jí)”功能，打開新版本固件上傳頁(yè)面，添加并導(dǎo)入已經(jīng)獲得的新版本固件程序，執(zhí)行“升級(jí)”命令進(jìn)行固件程序的更新操作。更新操作結(jié)束后，將先前已經(jīng)備份好的路由器配置信息快速還原，這樣就能增強(qiáng)無(wú)線路由器自身的安全防范能力了。

要提醒大家的是，進(jìn)行無(wú)線路由固件程序更新操作時(shí)，必須要注意一些細(xì)節(jié)事項(xiàng)：首先在固件程序更新過程中，千萬(wàn)不能斷開電源，否則的話無(wú)線路由器可能會(huì)受到損壞。其次要將所有處于運(yùn)行狀態(tài)的應(yīng)用程序都退出，特別是要將屏幕保護(hù)程序和殺毒軟件退出，避免固件程序更新操作受到它們的干擾。第三盡量從無(wú)線路由器官方網(wǎng)站中下載固件程序和刷新升級(jí)工具，同時(shí)確保固件版本要與無(wú)線路由器的型號(hào)信息保持一致。

修改賬號(hào)密碼

不少用戶將無(wú)線路由器購(gòu)買回來(lái)后，往往直接接入網(wǎng)絡(luò)開始使用，很少有人會(huì)主動(dòng)修改無(wú)線路由器的配置參數(shù)，甚至連缺省的管理員帳號(hào)和密碼也懶得去修改，這就為惡意用戶的非法入侵帶來(lái)了機(jī)會(huì)。即使有用戶修改了無(wú)線路由器后臺(tái)系統(tǒng)的默認(rèn)密碼，但是這些用戶在修改密碼時(shí)，為了圖方便、好記憶，往往喜歡用電話號(hào)碼、生日、紀(jì)念日或幾位連號(hào)數(shù)字、重復(fù)數(shù)字作為密碼內(nèi)容，甚至經(jīng)常用幾個(gè)固定的數(shù)字作為不同系統(tǒng)的登錄密碼，顯然這種做法是不可取的，因?yàn)檫@些簡(jiǎn)單的密碼被暴力破解的成功率很高。非法用戶可以使用常見的root、guest、admin 等帳號(hào)與密碼，來(lái)進(jìn)行試探性登錄，也可以使用專業(yè)工具來(lái)進(jìn)行暴力破解性登錄，一旦無(wú)線路由器被入侵，那么本地?zé)o線網(wǎng)絡(luò)將會(huì)不可避免地成為“肉雞”。

修改無(wú)線路由器登錄密碼時(shí)，最理想的密碼內(nèi)容組合是連用戶自己都不熟悉規(guī)律的密碼，密碼沒有規(guī)律可循，自然破解起來(lái)也就不那么容易了，比方說(shuō)同時(shí)包含大小寫字母、阿拉伯?dāng)?shù)字以及特殊符號(hào)的密碼內(nèi)容，被成功破解的機(jī)率相當(dāng)?shù)?。此外，無(wú)線路由器登錄密碼最好應(yīng)定期修改，千萬(wàn)不能為了圖省事，將密碼信息記在無(wú)線路由器外殼身上，或者其他特別顯眼的地方。

在進(jìn)行帳號(hào)密碼修改操作時(shí)，可以先進(jìn)入無(wú)線路由器后臺(tái)管理頁(yè)面，將鼠標(biāo)定位到“系統(tǒng)工具”、“修改登錄口令”節(jié)點(diǎn)上，在對(duì)應(yīng)選項(xiàng)設(shè)置區(qū)域，輸入原始帳號(hào)名稱和密碼，再輸入新帳號(hào)名稱和密碼，單擊“執(zhí)行”按鈕就能讓新帳號(hào)生效了。當(dāng)然，有些無(wú)線路由器登錄密碼分為管理員、普通用戶等不同級(jí)別，其中管理員級(jí)別可以訪問無(wú)線網(wǎng)絡(luò)各種參數(shù)設(shè)置，還能對(duì)參數(shù)自由編輯修改，普通用戶級(jí)別只能訪問無(wú)線網(wǎng)絡(luò)的參數(shù)設(shè)置，無(wú)法對(duì)其自由編輯修改。所以，用戶必須要根據(jù)實(shí)際情況，來(lái)合理定義好不同級(jí)別的登錄密碼，確保無(wú)線路由器登錄安全。

調(diào)整遠(yuǎn)程端口

為了便于對(duì)無(wú)線路由器的管理維護(hù)，不少用戶會(huì)在路由器的Web設(shè)置頁(yè)面，勾選遠(yuǎn)程登錄該設(shè)備的允許選項(xiàng)，可是遠(yuǎn)程Web登錄功能在缺省狀態(tài)下會(huì)使用“80”端口，這個(gè)端口號(hào)碼經(jīng)常會(huì)被惡意用戶非法利用，不利于無(wú)線網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。

要想避免無(wú)線路由器被非法遠(yuǎn)程攻擊，我們不妨嘗試將缺省的遠(yuǎn)程管理端口調(diào)整為一個(gè)不經(jīng)常使用的號(hào)碼，日后只有熟悉新端口號(hào)碼的用戶，才能通過Web頁(yè)面遠(yuǎn)程登錄進(jìn)入無(wú)線路由器來(lái)對(duì)遠(yuǎn)程管理維護(hù)。比方說(shuō)，要將Web管理端口調(diào)整為“5633”時(shí)，只要先打開無(wú)線路由器后臺(tái)管理界面，依次展開“安全設(shè)置”、“遠(yuǎn)端Web管理”節(jié)點(diǎn)，在指定節(jié)點(diǎn)選項(xiàng)設(shè)置區(qū)域，將“Web管理端口”參數(shù)調(diào)整為“5633”，再在“遠(yuǎn)端 Web管理IP地址”設(shè)置項(xiàng)處，指定好能對(duì)無(wú)線路由器進(jìn)行遠(yuǎn)程管理維護(hù)的計(jì)算機(jī)IP地址，按下“保存”按鈕執(zhí)行設(shè)置存儲(chǔ)操作，最后重啟無(wú)線路由器設(shè)備。這樣，日后只有在特定計(jì)算機(jī)上，輸入無(wú)線路由器的IP地址和新端口號(hào)碼，才能對(duì)其進(jìn)行遠(yuǎn)程管理維護(hù)操作。

當(dāng)然，無(wú)線路由器還隱藏了Telnet這種遠(yuǎn)程登錄方式，這種登錄方式常常被用戶所忽視，實(shí)際上該登錄方式大量應(yīng)用在網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備和重要主機(jī)中，它也能為網(wǎng)管員提供遠(yuǎn)程維護(hù)通道。但是該遠(yuǎn)程功能使用的是“23”端口，該端口也是一把“雙刃劍”，如果被非法用戶利用時(shí)，同樣會(huì)給無(wú)線路由器帶來(lái)安全麻煩。非法用戶只要使用專業(yè)工具對(duì)本地網(wǎng)絡(luò)進(jìn)行掃描，要不了幾分鐘，就能掃描到無(wú)線路由器開放著的“23”網(wǎng)絡(luò)端口。

一旦看到該端口處于開放狀態(tài)時(shí)，我們必須想辦法將其及時(shí)關(guān)閉，或者將其修改為陌生的端口號(hào)碼。當(dāng)然，有的無(wú)線路由器可以通過更新固件程序的方法，來(lái)修復(fù)這種安全問題，用戶只要及時(shí)到設(shè)備官方站點(diǎn)下載更新固件，就能保證遠(yuǎn)程維護(hù)的安全。

預(yù)防網(wǎng)頁(yè)劫持

用戶在上網(wǎng)沖浪過程中，我們經(jīng)常會(huì)碰到網(wǎng)頁(yè)劫持現(xiàn)象，對(duì)于這種現(xiàn)象，使用一些專業(yè)的反劫持插件程序，能夠避免大多數(shù)網(wǎng)頁(yè)劫持現(xiàn)象，不過對(duì)于那些來(lái)自網(wǎng)絡(luò)運(yùn)營(yíng)商的廣告劫持，反劫持插件程序就無(wú)能為力了?，F(xiàn)在只要進(jìn)入無(wú)線路由器后臺(tái)管理頁(yè)面，修改有關(guān)功能參數(shù)，就能預(yù)防網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)頁(yè)劫持了。例如，對(duì)于TP-Link WR541G/542G無(wú)線路由器來(lái)說(shuō)，可以進(jìn)行如下設(shè)置操作，來(lái)拒絕網(wǎng)頁(yè)劫持現(xiàn)象：

首先在IE瀏覽窗口地址欄中，輸入無(wú)線路由器Web訪問地址，登錄進(jìn)入該設(shè)備后臺(tái)管理頁(yè)面，依次展開“安全設(shè)置”、“防火墻設(shè)置”節(jié)點(diǎn)選項(xiàng)，選中對(duì)應(yīng)選項(xiàng)設(shè)置區(qū)域中的“開啟防火墻”選項(xiàng)，同時(shí)將“開啟域名過濾”也勾選起來(lái)（如圖 2所示），按下“保存”按鈕執(zhí)行設(shè)置保存操作。

接著將鼠標(biāo)定位到“安全設(shè)置”、“域名過濾”節(jié)點(diǎn)選項(xiàng)上，按下對(duì)應(yīng)選項(xiàng)設(shè)置區(qū)域中的“添加新條目”按鈕，將網(wǎng)絡(luò)運(yùn)營(yíng)商廣告域名填寫到“域名”位置處，比方說(shuō)輸入“search.114.vnet.cn”、“114.vnet.cn”等廣告域名。再將“生效時(shí)間”定義為“00-24”，將狀態(tài)參數(shù)修改為“生效”，按下“保存”按鈕退出設(shè)置操作。要是不清楚網(wǎng)絡(luò)運(yùn)營(yíng)商的廣告域名，不妨在IE瀏覽界面中隨意輸入一個(gè)不正確的網(wǎng)站域名，記錄下隨后出現(xiàn)的劫持頁(yè)面地址，將該地址填寫在域名過濾列表中。

要想過濾特定劫持頁(yè)面IP地址時(shí)，不妨先通過ping命令測(cè)試網(wǎng)絡(luò)運(yùn)營(yíng)商的廣告域名，將回顯出來(lái)的IP地址記憶下來(lái)。再進(jìn)入無(wú)線路由器IP地址過濾頁(yè)面，單擊“添加新條目”按鈕，在“廣域網(wǎng)IP地址”設(shè)置項(xiàng)處，輸入先前記錄的IP地址，同時(shí)將“生效時(shí)間”指定為“00-24”，將狀態(tài)參數(shù)調(diào)整為“生效”，將協(xié)議參數(shù)選擇為“All”，將“通過”參數(shù)設(shè)置為“禁止通過”，按下“保存”按鈕存儲(chǔ)好設(shè)置操作，最后重啟無(wú)線路由器設(shè)備。

圖2 設(shè)備后臺(tái)管理頁(yè)面

圖3 開啟安全設(shè)置選項(xiàng)

當(dāng)我們?cè)俅紊暇W(wǎng)訪問時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)商的廣告域名和相關(guān)IP地址都會(huì)被正確過濾了，日后IE瀏覽頁(yè)面自然就不會(huì)發(fā)生被廣告劫持現(xiàn)象了。如果網(wǎng)絡(luò)運(yùn)營(yíng)商修改了廣告鏈接地址，只要按照之前的操作步驟，將變化的廣告域名和IP地址輸入到過濾列表中即可。同樣地，我們可以將其他的劫持頁(yè)面域名和IP地址輸入到無(wú)線路由器過濾列表中，以達(dá)到預(yù)防惡意頁(yè)面劫持的目的。

拒絕他人蹭網(wǎng)

在使用無(wú)線路由器組網(wǎng)的環(huán)境中，蹭網(wǎng)現(xiàn)象越來(lái)越普遍。為了避免這種現(xiàn)象，我們可以啟用無(wú)線路由器的上網(wǎng)信號(hào)加密功能，來(lái)對(duì)上網(wǎng)傳輸信號(hào)進(jìn)行非常復(fù)雜的加密計(jì)算，讓蹭網(wǎng)者即使竊取到上網(wǎng)信號(hào)，也很難將它成功破解開來(lái)。在開啟無(wú)線路由器加密功能時(shí)，不妨先以系統(tǒng)管理員登錄無(wú)線路由器后臺(tái)管理界面，將鼠標(biāo)定位到“無(wú)線網(wǎng)絡(luò)”、“安全設(shè)置”節(jié)點(diǎn)上，在對(duì)應(yīng)節(jié)點(diǎn)設(shè)置區(qū)域選中“開啟安全設(shè)置”選項(xiàng)（如圖3所示），同時(shí)將安全類型指定為“WPA-PSK”或“WPA”，再輸入好密鑰內(nèi)容，確認(rèn)后保存設(shè)置即可。

對(duì)于已經(jīng)成功蹭網(wǎng)的用戶，該如何將他們揪出來(lái)呢？使用“WifiChannelMonitor”這款工具，配合無(wú)線路由器自身的MAC地址過濾功能，就能將危險(xiǎn)的無(wú)線網(wǎng)絡(luò)蹭網(wǎng)者尋找出來(lái)，并拒絕他再次蹭網(wǎng)。因?yàn)椤癢ifiChannelMonitor” 工具是利用微軟的網(wǎng)絡(luò)監(jiān)視器來(lái)監(jiān)控?zé)o線網(wǎng)絡(luò)流量的，在利用該工具檢測(cè)蹭網(wǎng)現(xiàn)象之前，必須先從微軟官方站點(diǎn)下載安裝“Microsoft Network Monitor”工具，再開啟“Wifi ChannelMonitor”程序的運(yùn)行狀態(tài)，進(jìn)入對(duì)應(yīng)程序主操作界面。按下“Start Capture”工具欄按鈕，選擇需要監(jiān)控的無(wú)線網(wǎng)卡設(shè)備，定義好無(wú)線網(wǎng)絡(luò)通道參數(shù)，確認(rèn)后讓程序切換到檢測(cè)狀態(tài)。被探測(cè)到的無(wú)線網(wǎng)絡(luò)信號(hào)會(huì)自動(dòng)顯示在對(duì)應(yīng)程序列表中，將綠色圖標(biāo)的無(wú)線信號(hào)選中，這時(shí)用戶能發(fā)現(xiàn)所有與該無(wú)線網(wǎng)絡(luò)相連的設(shè)備。用鼠標(biāo)雙擊某個(gè)設(shè)備名稱，在其后界面中能查明設(shè)備的客戶端類型、數(shù)據(jù)字節(jié)、MAC地址、設(shè)備制造商等信息，根據(jù)設(shè)備制造商信息就能識(shí)別出當(dāng)前連接的設(shè)備是否屬于自己所用的上網(wǎng)設(shè)備，如果不是的話，那該設(shè)備自然就是蹭網(wǎng)者了。

圖4 對(duì)應(yīng)選項(xiàng)的設(shè)置界面

一旦識(shí)別出蹭網(wǎng)者所用設(shè)備后，重新進(jìn)入“WifiChannelMonitor” 程序主界面，從中找到對(duì)應(yīng)設(shè)備的MAC地址，同時(shí)將其記錄下來(lái)。

之后進(jìn)入無(wú)線路由器的后臺(tái)管理界面，從中找到并啟用“MAC地址過濾”功能選項(xiàng)，在對(duì)應(yīng)選項(xiàng)的設(shè)置頁(yè)面中（如圖4所示），輸入蹭網(wǎng)者的設(shè)備MAC地址，確認(rèn)后保存設(shè)置操作，這樣就能拒絕他再次蹭網(wǎng)了。