無線路由器是我們上網的重要先鋒，那么我們的先鋒出現故障了必然導致全軍覆沒。那么，怎么保護我們的無線路由器呢？在多數的網絡攻擊中，路由器都是首要目標。讓我們學習一下如何保護路由器吧。

互聯網迅速發展，使得小型無線局域網絡悄然興起，用戶可以在網上辦公、購物等，享受互聯網帶來的便捷和愉快。不過，就我們享受網絡所帶來的這些優越性時，包括黑客在內的惡意用戶會利用各種手段竊取各種敏感信息，如銀行賬號、口令等。印度大學的計算機科學系的研究者們最近發布了一份調查報告，其中概括了黑客訪問、篡改家庭網絡無線路由器配置的情況，描述了黑客怎樣用嵌入到Web頁面中的JavaScript登錄到無線路由器超級用戶賬戶，并修改其DNS配置的陰險伎倆。

一旦無線路由器連接了被黑客控制的DNS服務器，此無線路由器就可以被用作一個各種惡意需要的跳板，從惡意軟件感染到通過“釣魚”進行用戶身份竊取等都會發生。印度大學的報告指出這種攻擊并不利用任何瀏覽器的漏洞，而且，更重要的是，它看起來幾乎在任何無線路由器上都能正常工作，不管什么牌子或型號。

更為有趣的是，這種黑客行為只有在目標無線路由器的默認管理員口令采用的仍是廠家默認配置的情況下發生。換句話說，只要用戶簡單地改變了默認口令，用戶就會受到保護，因為攻擊依賴于這種大家熟知的設備廠商提供的默認口令。

實際上有很多無線路由器仍采用這種默認口令。其實，許多自動配置的無線路由器向導并不提示用戶修改默認的管理員口令，大多數無線路由器廠商將設置方法放在菜單中一個不為人注意的地方。這易于造成用戶對默認口令疏于管理與改變。

這種特定的攻擊情況表明，哪怕是一種看似次要的局部的設置，仍會對安全產生深遠的影響。因此，有必要檢查一些具體措施，使我們可以確信有線或無線路由器——甚至進一步講——我們的網絡可以達到盡可能的安全。

修改無線路由器的管理員口令

如前所述，如果你的無線路由器的口令為"password"、 "admin" 、"1234"或任何其它的默認口令，那你簡直就是在自尋煩惱，趕快修改吧！

修改默認的SSID

正如許多用戶忽視了修改無線路由器的口令一樣，許多用戶還可能保持著默認的無線網絡SSID。SSID/ESSID（Service Set Identifier）即“服務組標識符”， 用來區分不同的網絡，最多允許有32個字符。無線網卡設置了不同的SSID就可以進入不同網絡，SSID通常由訪問點廣播出來。不過，SSID幾乎總可以指明或預示著設備制造商的名稱，從而可以推斷出其它信息。請放棄使用默認的SSID吧，創建一個自己的SSID，不過要避免使用如家庭住址、生日或姓名等。

關閉SSID廣播

廣播SSID可將新的無線設備很輕松地連接到你的網絡中。但這會將你的網絡廣播給任何經過無線通信區域的“過路人”，這絕對不是個好主意。關閉這個特性并不會絕對地隱藏你的存在，特別是對那些使用特殊軟件的、堅決的闖入者來說更是這樣。但是，有越少的人知道你的信息，情況就對你越有利。其實，只要你知道自己的SSID，在設置新設備時你就不會有任何麻煩。

使用WPA勿用WEP

近年來，雖然WEP的脆弱性已被多種文檔廣泛記載，很多公司仍在使用它，并且它在某些設備上還是默認的加密方法。實際上，至今仍有一些無線產品（大多數是非PC設備，如流媒體設備）尚未支持WPA而只支持WEP。

請記住：最基本的要求是要使用WPA對你的無線網絡進行加密，要避免購買或使用那種強迫你使用WEP去適應它的設備。使用WPA，除了可以極大地提升 安全性之外，還會有極好的適應性。因為它不像WEP那樣需要在ASCII或HEX之間選擇，而且加密密鑰也不需要遵守特定的長度規定（WEP 數據加密可使用 64 位或 128 位配置，128位的WEP必須嚴格限制使用13或26個字符等等。#p#

減少無線設備的功率

如果你的無線路由器支持的話，請你適當地調低你的無線設備的功率設置，盡力保持信號在你的辦公室或住宅的范圍之內。調整過程中可能會差錯，那就多試驗幾次。雖然精確控制信號的傳播范圍也許有點兒困難，但你卻可以將散布到大街上或鄰居家去的信號數量最小化。但你的WLAN可能會更加安全，何樂而不為？

禁用或減少DHCP的使用

DHCP自動化地分配IP地址的功能是極為方便的，特別是當你有多個系統需要管理的時候。但請記住DHCP會“愉快”地給那些要求IP地址的任何系統可用的IP地址。如果你只有數量有限的設備，那就請關閉DHCP功能吧。不妨給設備分配靜態的IP地址，這樣就會給未授權的用戶在獲取你的網絡合法IP地址的時候增加難度。

另一個方法是啟用DHCP但要減少地址池的大小。大多數無線路由器將幾乎所有可用的地址（一般總共要超過250個）都放在地址池中。實際上，這些IP地址的總數大都遠遠超過了無線網絡所需要的數量，這會為未授權用戶留下大量的地址空間。用戶應該將可用的DHCP地址數量限制為你所擁有的特定設備的數量，使你在使用IP地址的同時又能防止網絡入侵者獲得這些IP地址。

打開MAC過濾功能

雖然MAC地址過濾不應該用于替代無線網絡的加密，不過MAC過濾可以作為加密的一個有益補充。大多數無線路由器都可以支持這種特性，這就能夠起到限制作用：只允許擁有用戶指定的MAC地址的設備可以訪問網絡。配置MAC地址過濾有時是一件相當枯燥無味的工作，不過幸運的是有很多無線路由器允許你輕松地將已連接的設備加入到過濾列表中，這就會為你節省大量時間和精力，因為你不必手動檢索每一個設備的MAC地址。

確認已關閉DMZ

DMZ即“隔離區”，它是位于可信任的內部網絡（如公司私有或專用的LAN）與不可信任的外部網絡（如公共的Internet）之間的一臺計算機或一個子網，是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。無線路由器的DMZ特性默認情況下通常是關閉的，不過用戶有時為了解決故障而啟用它，事后卻忘了撤消。正因為DMZ代表著一個對Internet開放的IP地址，因此任何不經意放置在此的系統都將會完全暴露在風險之中。

關閉PING響應

這項設置允許無線路由器響應來自國際互聯網的ping命令。默認情況下，ping響應也是關閉的，但你該確認一下，因為它會將你網絡的一些狀態信息泄露給那些潛在的黑客，這反過來會使黑客進一步探查你的網絡。

避免使用遠程管理

大多數無線路由器都有這個特性，這允許用戶從網絡外部進入系統并實施管理。大多數情況下，這項功能并沒有什么作用，所以你應該禁用它除非你真正需要。不過，你如果真要使用遠程訪問的話，請將默認的端口號（它通常是8080或8888）改為一個明顯較小的值。

審閱安全日志

通過無線路由器內置的防火墻功能，用戶可以查閱你的無線路由器記錄，是查出安潛在兇險的非常有效的方法。利用出網的記錄，你還可以找出試圖建立外部連接的特洛伊木馬等惡意程序。

毋庸置疑，對于小型LAN的無線路由器來說，這些措施都是十分關鍵的，而且大多數配置起來相當簡單。“麻雀雖小，五臟俱全”，此處介紹的措施對于我們正確配置管理大型網絡的無線路由器也應該具有一定的指導意義。