详解无线路由器安全设置

2023年11月24日发(作者：)

[一般路由器配置] 详解无线路由器安全设置

对于 无线 网络用户来说，很重要的一点就是应该懂得：无论使用了多么安全的 无线

网络，除非已经部署了端到端的加密技术，否则都没有所谓的真正的安全。虽然 无线 技术

有很多的可用性方面优势，但是 无线 的安全性永远没有办法和有线网络的安全性相提并论。

DHCP-自动获取IP，还是固定IP?

DHCP(Dynamic Host Configuration Protocol)动态主机设定协议的功能就是可在局域网内

自动为每台电脑分配IP地址，不需要用户 设置 IP地址、子网掩码以及其他所需要的TCP/IP

参数。

它分为两个部份：一个是服务器端(在这里指的是具有DHCP服务功能的 无线 AP或 无

线路由器 )，而另一个是客户端(用户的个人电脑等 无线 客户端设备)。所有的IP网路设定

资料都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从DHCP

服务器分配下来的IP环境资料。

如果 无线 AP或 无线路由器 启用了DHCP功能，为接入 无线 网络的主机提供动态

IP，那么别人就能很容易使用你的 无线 网络。

因此，禁用DHCP功能对个人或企业 无线 网络而言很有必要，除非在机场、酒吧等公

共 无线 "热点"地区，则应打开DHCP功能。一般在 无线路由器 的"DHCP服务器" 设置 项

下将DHCP服务器设定为"不启用"即可。这样既使能找到该 无线 网络信号，仍然不能使用

网络。

我们给出的建议是：采用不是很常用私有网段的静态方式，最好不要用

192.168.0.0-192.168.0.255这个常用私有网段，让人一猜就中。

WEP、WPA-WEP加密，还是WPA加密?

无线 网络加密是通过对无线电波里的数据加密提供安全性，主要用于 无线 局域网中

链路层信息数据的保密。现在大多数的 无线 设备具有WEP加密和WAP加密功能，那么我

们使用WEP加密，还是WAP加密呢?显然WEP出现得比WAP早，WAP比WEP安全性更好

一些。

WEP采用对称加密机制，数据的加密和解密采用相同的密钥和加密算法。启用加密后，

两个 无线 网络设备要进行通信，必须均配置为使用加密，具有相同的密钥和算法。WEP

支持 64 位和128 位加密，对于 64 位加密，密钥为 10 个十六进制字符(0-9 和 A-F)或 5

个 ASCII 字符;对于 128 位加密，密钥为 26 个十六进制字符或 13 个 ASCII 字符。

这里提示大家 如何 让WEP更安全：

(1)使用多组WEP密钥，使用一组固定WEP密钥，将会非常不安全，使用多组WEP密

钥会提高安全性，但是请注意WEP密钥是保存在Flash中，所以某些黑客取得您的网络上的

任何一个设备，就可以进入您的网络;

(2)如果你使用的是旧型的 路由器 ，且只支持WEP，你可以使用128位的WEP Key，

这样会让你的 无线 网络更安全。

(3)定期更换你的WEP密钥。

(4)你可以去制造商的网站下载一个固件升级，升级后就能添加WPA支持。

WPA(Wi-Fi保护接入)能够解决WEP所不能解决的安全问题。简单来说，WEP的安全性

不高的问题来源于网络上各台设备共享使用一个密钥。该密钥存在不安全因素，其调度算法

上的弱点让恶意黑客能相对容易地拦截并破坏WEP密码，进而访问到局域网的内部资源。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密

密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原

理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信

息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。

通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。

无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了

防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点

得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作

为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完

整的安全性方案。

在这里要提醒各位，许多 无线路由器 或AP在出厂时，数据传输加密功能是关闭的，

如果你拿来就用而不作进一步 设置 的话，那么你的 无线 网络就成为了一个"不设防"的摆

设。

我们给出的建议是：采用WPA加密方式。

MAC地址-网络世界的DNA

由于每个无线网卡都有世界上唯一的物理地址MAC，因此可以在 无线 AP(或 无线路

由器 )中手工 设置 一组允许访问的主机的无线网卡MAC地址列表，实现物理地址过滤。

这要求我们必需随时更新AP 中的MAC地址列表。

设置 MAC地址过滤对于大型 无线 网络来说工作量太大，但对于小型 无线 网络则不

然，因此我们应不怕麻烦。MAC地址在理论上是可以伪造，因此它是较低级别的认证方式。

我们给出的建议是：对于家庭及小型办公 无线 网络，用户不是很多，应该 设置 MAC

地址过滤功能。

SSID-隐藏自己

无线路由器 一般都会提供"允许SSID广播"功能。如果你不想让自己的 无线 网络被别

人的无线网卡"轻易"搜索到，那么最好"禁止SSID广播"。SSID通俗地说便是给 无线 网络所

取的名字，它的作用是区分不同的 无线 网络。

SSID是无线网卡发现 无线 网络的第一要素，开启广播SSID以后，在 无线 网络的效

覆盖范围内，无线网卡会自动找到该网络，并尝试与之连接。若我们不愿将自己的 无线 网

络曝露在大庭广众之内，我们应想到隐藏自己无 无线 网络的SSID，应把"广播SSID"这项功

能关闭。

"广播 SSID"关闭以后，无线网卡不会自动找到 无线 网络，到接入到这个 无线 网络

需要手动添加SSID。

我们给出的建议是：隐藏SSID。

如何 让 无线 网络更安全

据互联网的资料，使用以下软件：Network Stumbler、WildPackets AiroPeek NX 、OmniPeek

4.1和WinAircrack等，这些软件只要有足够长的时间来抓取正在通信中的 无线 网络通信信

号，就可以破解包括WEP加密、WPA加密、MAC过滤、SSID隐藏等 无线 网络安全 设置 。

这听起来不免令我们失望，那么 如何 让 无线 网络更安全。

确保尽可能的让 无线 接入网络不要依赖于WEP等技术而尽可能的采取其他更为安全

手段，目前实现这个目标的方法主要有VPN技术，如：使用安全协议如点对点隧道协议(PPTP)

或者第二层隧道协议(L2TP)，使用IPSec，SSL 等VPN技术。这样既可以获得访问控制功能，

也可以获得端到端(程序至程序)的加密功能。

VPN技术这种端到端的安全解决方案对小型网络和个人应用来说可能部署起来过于复

杂和没有技术方面的支持，这是我们小型用户感到为难的地方，但基于WEB方式SSL VPN

技术相对来说较容易一些。

相对于有线网络来说，通过 无线 局域网发送和接收数据更轻易被窃听。设计一个完

善的 无线 局域网系统，加密和认证是需要考虑的的安全因素。

1．加密 无线 局域网中应用加密技术的最根本目的就是使 无线 业务能够达到与有线

业务同样的安全等级。针对这个目标，IEEE802.11标准中采用了WEP(Wired Equivalent Privacy:

有线对等保密)协议来 设置 专门的安全机制，进行业务流的加密和节点的认证。它主要用

于 无线 局域网中链路层信息数据的保密。WEP采用对称加密机理，数据的加密和解密采

用相同的密钥和加密算法。WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换

的每个数据包的数据部分。启用加密后，两个 802.11 设备要进行通信，必须启用加密并具

有相同的加密密钥。

WEP加密默认是禁用，也就是不加密。 无线 安全参数是可选的 设置 ，一般有三个

参数，分别如下：

（1）WEP密钥格式：十六进制数位；ASCII字符。

（2）WEP加密级别：禁用加密功能；40（64）比特加密；128比特加密。默认值为Disable

Encryption（禁用加密功能）。

（3）WEP密钥值：由用户设定。 无线路由器 与支持加密功能的无线网卡相互配合，

可加密传输数据，使他人很难中途窃取你的信息。WEP加密等级有40（64）比特和128比

特两种，使用128比特加密较为安全。WEP密钥可以是一组随机生成的十六进制数字，或

是由用户自行选择的ASCII字符。一般情况我们选用后者，由人工输入。每个 无线 宽带 路

由器 及 无线 工作站必须使用相同的密钥才能通讯。但加密是可选的，大部分 无线路由器

默认值为禁用加密。加密可能会带来传输效率上的影响。

如需启用加密功能，请选择"ASCII字符"的WEP密钥格式，在WEP加密方法（方式）

下选择40（64）比特或128比特WEP密钥。在使用40（64）比特加密方式时，可以输入四

"把"不同的WEP密钥，但同一时刻只能选一把来使用。每把密钥由10个十六进制字符组成。

保存在 无线 宽带 路由器 中。在缺省下，选择四把密钥的其中一把来使用。在使用128

比特加密方时，请输入26个十六进制字符作为WEP密钥。这种情况只能输入一把密钥。某

些无线网卡只能使用40（64）比特加密方法，因此你可能要选较低的加密级别。假如您所

有的客户机均可支持128比特加密通讯，请选择128比特；假如有客户机只能支持40（64）

比特加密通讯，请选择40（64）比特。 信息来自"岁月联盟" 若要启用加密，请为网络上

的所有 无线路由器 、访问点和工作站选择加密类型和WEP密钥。为了增加网络安全性，

可经常更改密钥。在更改某个 无线 设备所使用的密钥时，请记得同时更改网络上所有无线

电设备和访问点的密钥。

2. 关闭广播SSID

为了能够进行通讯， 无线路由器 和主机必须使用相同的SSID。在通讯过程中， 无线路

由器 首先广播其SSID，任何在此接收范围内的主机都可以获得SSID，使用此SSID值对自身

进行配置后，若没有加密等安全 设置 就可以和 无线路由器 进行通讯。

SSID的使用暴露了 路由器 的位置，这会带来潜在的安全问题，因此目前大部分 无线

路由器 都已经支持禁用自动广播SSID功能。但是禁用SSID在提高安全性的同时，也在某

种程度上带来不便，进行通讯的客户机必须手动进行SSID配置。当然对于家用或小型商用

来说，为客户机配SSID工作量不大，也不复杂，所以应可以不必为这个 设置 操心。

3. MAC地址过滤

MAC是每块网卡固定的物理地址，它在网卡出厂时就已经设定好。MAC地址过滤的策

略就是使 无线路由器 只答应部分MAC地址的 无线 客户端可以与它互相通信。MAC地址

的过滤策略是 无线 通讯网络的一个基本的而且有用的措施，它必须是手动输入MAC地址。

启用MAC地址过滤， 无线路由器 获取数据包后，就会对数据包进行分析。假如此数

据包是从所答应的MAC地址列表中发送而来的，那么 无线路由器 就会转发此数据包，否

则丢弃不进行任何处理。 除了 无线路由器 的 设置 ，要使我们的电脑能访问到它，我们

还得对电脑的无线网卡进行 设置 。必须相应的更改每个客户机的无线网卡的SSID、信道的

设置 ；若 无线路由器 已启用了 无线 加密，还要做加密选项的相应项目的相应 设置 。

现在很多人买了 无线路由器 以后在进行 无线设置 的时候都不知所措，面对那么多

的选项，有什么是必须选的，有什么是可以默认的，本文作一个简单讲解。 无线路由器 的

无线设置 主要有： 无线设置 和 无线 安全 设置 两方面，下面作一个简单的介绍。 无线

设置 无线路由器 的出厂时有些默认值，可以延续使用，但在 设置无线路由器 时，你必须

设定的两个参数值：SSID和信道。1. SSIDSSID（Service Set Identifier）是"业务组标识符"的简

称，是 无线 网络的标志符，用来识别在特定 无线 网络上发现到的 无线 设备身份。所有

的工作站及访问点必须使用相同的SSID才能在彼此间进行通讯。SSID是一个32位的数据，

其值区分大小写。它可以是 无线 局域网的物理位置标识、你的名称、公司名称、或公司名

称和部门、偏好的标语等你喜欢的字符。2. 信道信道也称作"频段（Channel）"，其是以 无

线 信号作为传输媒体的数据信号传送通道。 无线 宽带 路由器 可在许多信道上运行。位

于邻近范围内的各种 无线 网络设备须位于不同信道上，否则会产生信号干扰。假如你只有

一个设备，那么默认值的信道值为6可能是最合适。除非有非凡原因需要更改信道 （例如：

有干扰来自于本区域内的蓝牙、微波炉、移动电话发射塔、或其它访问点），否则请使用出

厂默认值。假如您在网络上拥有多个的 无线路由器 以及 无线 访问点，建议将每个设备使

用的信道要错开，如而802.11g 、802.11b 无线 标准有11条信道，但只有3条是非重叠信

道(信道1、信道6、信道11)。