第二页
使用WPA勿用WEP
近年来,虽然WEP的脆弱性已被多种文档广泛记载,很多公司仍在使用它,并且它在某些设备上还是默认的加密方法。实际上,至今仍有一些无线产品(大多数是非PC设备,如流媒体设备)尚未支持WPA而只支持WEP。
请记住:最基本的要求是要使用WPA对你的无线网络进行加密,要避免购买或使用那种强迫你使用WEP去适应它的设备。使用WPA,除了可以极大地提升 安全性之外,还会有极好的适应性。因为它不像WEP那样需要在ASCII或HEX之间选择,而且加密密钥也不需要遵守特定的长度规定(WEP 数据加密可使用 64 位或 128 位配置,128位的WEP必须严格限制使用13或26个字符等等。)。
减少无线设备的功率
如果你的路由器支持的话,请你适当地调低你的无线设备的功率设置,尽力保持信号在你的办公室或住宅的范围之内。调整过程中可能会差错,那就多试验几次。虽然精确控制信号的传播范围也许有点儿困难,但你却可以将散布到大街上或邻居家去的信号数量最小化。但你的WLAN可能会更加安全,何乐而不为?
禁用或减少DHCP的使用
DHCP自动化地分配IP地址的功能是极为方便的,特别是当你有多个系统需要管理的时候。但请记住DHCP会“愉快”地给那些要求IP地址的任何系统可用的IP地址。如果你只有数量有限的设备,那就请关闭DHCP功能吧。不妨给设备分配静态的IP地址,这样就会给未授权的用户在获取你的网络合法IP地址的时候增加难度。
另一个方法是启用DHCP但要减少地址池的大小。大多数路由器将几乎所有可用的地址(一般总共要超过250个)都放在地址池中。实际上,这些IP地址的总数大都远远超过了无线网络所需要的数量,这会为未授权用户留下大量的地址空间。用户应该将可用的DHCP地址数量限制为你所拥有的特定设备的数量,使你在使用IP地址的同时又能防止网络入侵者获得这些IP地址。
打开MAC过滤功能
虽然MAC地址过滤不应该用于替代无线网络的加密,不过MAC过滤可以作为加密的一个有益补充。大多数路由器都可以支持这种特性,这就能够起到限制作用:只允许拥有用户指定的MAC地址的设备可以访问网络。配置MAC地址过滤有时是一件相当枯燥无味的工作,不过幸运的是有很多路由器允许你轻松地将已连接的设备加入到过滤列表中,这就会为你节省大量时间和精力,因为你不必手动检索每一个设备的MAC地址。
确认已关闭DMZ
DMZ即“隔离区”,它是位于可信任的内部网络(如公司私有或专用的LAN)与不可信任的外部网络(如公共的Internet)之间的一台计算机或一个子网,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。路由器的DMZ特性默认情况下通常是关闭的,不过用户有时为了解决故障而启用它,事后却忘了撤消。正因为DMZ代表着一个对Internet开放的IP地址,因此任何不经意放置在此的系统都将会完全暴露在风险之中。
关闭PING响应
这项设置允许路由器响应来自国际互联网的ping命令。默认情况下,ping响应也是关闭的,但你该确认一下,因为它会将你网络的一些状态信息泄露给那些潜在的黑客,这反过来会使黑客进一步探查你的网络。
避免使用远程管理
大多数路由器都有这个特性,这允许用户从网络外部进入系统并实施管理。大多数情况下,这项功能并没有什么作用,所以你应该禁用它除非你真正需要。不过,你如果真要使用远程访问的话,请将默认的端口号(它通常是8080或8888)改为一个明显较小的值。
审阅安全日志
通过无线路由器内置的防火墙功能,用户可以查阅你的路由器记录,是查出安潜在凶险的非常有效的方法。利用出网的记录,你还可以找出试图建立外部连接的特洛伊木马等恶意程序。
毋庸置疑,对于小型LAN的无线路由器来说,这些措施都是十分关键的,而且大多数配置起来相当简单。“麻雀虽小,五脏俱全”,此处介绍的措施对于我们正确配置管理大型网络的路由器也应该具有一定的指导意义。
网友评论