虽然很多用户采用无线加密协议、禁用DHCP服务和禁止SSID广播等措施,但这些方法只是增强了无线网络的内部安全,而对于互联网中的各种意想不到的威胁,如病毒、木马和黑客攻击等,防范效果并不理想。 那如何加强对公网威胁的安全防御呢?其实用户只要深挖无线路由器的潜能,就能很好解决这个问题。
一、开启路由防火墙
绝大多数无线路由器都集成了“网络防火墙”,利用这些内置的安全防御功能,就可以增强无线网络的公网安全,最大限度的阻止来自互联网中的各种威胁。
以笔者的“TL-WR541G”无线路由器为例,在管理界面中依次展开“安全设置→防火墙设置”,在设置框中选中“开启防火墙”,点击“保存”按钮,就启用了防火墙功能。
接着还要对防火墙的参数进行详细设置,点击“高级安全设置”,进入到“高级安全设置”框体,如图1所示,对相关的参数进行设置。设置完毕后,点击“保存”按钮确认操作,无线网络的公网安全防御能力被进一步增强。
图1 合理设置网络防火墙参数
二、“慎用”远程管理功能
为了方便管理无线网络,很多用户都启用了无线路由器的远程管理功能,但由于参数设置的不合理,给无线网络的公网安全留下严重的安全隐患。因此笔者建议,不是特殊需要,尽量不要启用无线路由器的远程管理功能。
如果你真的需要,那么就需要合理和谨慎的设置每个远程管理参数。最好的方式就是指定某个固定的IP地址,使用“意想不到”的远程管理端口进行无线路由器管理。
在无线路由器管理界面中,依次展开“安全设置→远端WEB管理”,进入到“远端WEB管理”设置界面(如图2),默认情况下,无线路由器是使用“80”端口来提供远程管理功能,但这很不安全,因此建议修改为一个不常用的端口号,如在“WEB管理端口”栏中输入“1648”这个端口号。
图2 安全设置远程管理参数
“远端WEB管理IP地址”栏中,下面还要指定哪些IP可以对无线路由器进行远程控制。“0.0.0.0”表示任何IP都不能进行远程控制,而“255.255.255.255”表示任何IP都可以进行远程控制,显然这两组参数都不安全。
最安全的办法是指定特定的IP地址远程管理无线路由器,如在“远端WEB管理IP地址”栏中输入“202.102.201.99”,只允许该IP地址可以通过“1648”端口远程管理无线路由器,而其它IP地址则不被允许,点击“保存”按钮确定操作。
