路由器是局域網(wǎng)與Internet之間最重要的網(wǎng)絡(luò)互聯(lián)設(shè)備。可以這樣說，沒有路由器就沒有互聯(lián)網(wǎng)。互聯(lián)網(wǎng)迅速發(fā)展，使得小型無線局域網(wǎng)絡(luò)悄然興起，用戶可以在網(wǎng)上辦公、購物等，享受互聯(lián)網(wǎng)帶來的便捷和愉快。不過，就我們享受網(wǎng)絡(luò)所帶來的這些優(yōu)越性時，包括黑客在內(nèi)的惡意用戶會利用各種手段竊取各種敏感信息，如銀行賬號、口令等。印度大學(xué)的計算機科學(xué)系的研究者們最近發(fā)布了一份調(diào)查報告，其中概括了黑客訪問、篡改家庭網(wǎng)絡(luò)路由器配置的情況，描述了黑客怎樣用嵌入到Web頁面中的JavaScript登錄到路由器超級用戶賬戶，并修改其DNS配置的陰險伎倆。

一旦路由器連接了被黑客控制的DNS服務(wù)器，此路由器就可以被用作一個各種惡意需要的跳板，從惡意軟件感染到通過“釣魚”進行用戶身份竊取等都會發(fā)生。印度大學(xué)的報告指出這種攻擊并不利用任何瀏覽器的漏洞，而且，更重要的是，它看起來幾乎在任何路由器上都能正常工作，不管什么牌子或型號。

更為有趣的是，這種黑客行為只有在目標(biāo)路由器的默認管理員口令采用的仍是廠家默認配置的情況下發(fā)生。換句話說，只要用戶簡單地改變了默認口令，用戶就會受到保護，因為攻擊依賴于這種大家熟知的設(shè)備廠商提供的默認口令。

實際上有很多路由器仍采用這種默認口令。其實，許多自動配置的路由器向?qū)Р⒉惶崾居脩粜薷哪J的管理員口令，大多數(shù)路由器廠商將設(shè)置方法放在菜單中一個不為人注意的地方。這易于造成用戶對默認口令疏于管理與改變。

這種特定的攻擊情況表明，哪怕是一種看似次要的局部的設(shè)置，仍會對安全產(chǎn)生深遠的影響。因此，有必要檢查一些具體措施，使我們可以確信有線或無線路由器——甚至進一步講——我們的網(wǎng)絡(luò)可以達到盡可能的安全。

修改路由器的管理員口令

如前所述，如果你的路由器的口令為"password"、 "admin" 、"1234"或任何其它的默認口令，那你簡直就是在自尋煩惱，趕快修改吧！

修改默認的SSID

正如許多用戶忽視了修改路由器的口令一樣，許多用戶還可能保持著默認的無線網(wǎng)絡(luò)SSID。SSID/ESSID（Service Set Identifier）即“服務(wù)組標(biāo)識符”， 用來區(qū)分不同的網(wǎng)絡(luò)，最多允許有32個字符。無線網(wǎng)卡設(shè)置了不同的SSID就可以進入不同網(wǎng)絡(luò)，SSID通常由訪問點廣播出來。不過，SSID幾乎總可以指明或預(yù)示著設(shè)備制造商的名稱，從而可以推斷出其它信息。請放棄使用默認的SSID吧，創(chuàng)建一個自己的SSID，不過要避免使用如家庭住址、生日或姓名等。

關(guān)閉SSID廣播

廣播SSID可將新的無線設(shè)備很輕松地連接到你的網(wǎng)絡(luò)中。但這會將你的網(wǎng)絡(luò)廣播給任何經(jīng)過無線通信區(qū)域的“過路人”，這絕對不是個好主意。關(guān)閉這個特性并不會絕對地隱藏你的存在，特別是對那些使用特殊軟件的、堅決的闖入者來說更是這樣。但是，有越少的人知道你的信息，情況就對你越有利。其實，只要你知道自己的SSID，在設(shè)置新設(shè)備時你就不會有任何麻煩。

使用WPA勿用WEP

近年來，雖然WEP的脆弱性已被多種文檔廣泛記載，很多公司仍在使用它，并且它在某些設(shè)備上還是默認的加密方法。實際上，至今仍有一些無線產(chǎn)品（大多數(shù)是非PC設(shè)備，如流媒體設(shè)備）尚未支持WPA而只支持WEP。

請記住：最基本的要求是要使用WPA對你的無線網(wǎng)絡(luò)進行加密，要避免購買或使用那種強迫你使用WEP去適應(yīng)它的設(shè)備。使用WPA，除了可以極大地提升 安全性之外，還會有極好的適應(yīng)性。因為它不像WEP那樣需要在ASCII或HEX之間選擇，而且加密密鑰也不需要遵守特定的長度規(guī)定（WEP 數(shù)據(jù)加密可使用 64 位或 128 位配置，128位的WEP必須嚴格限制使用13或26個字符等等。）。

減少無線設(shè)備的功率

如果你的路由器支持的話，請你適當(dāng)?shù)卣{(diào)低你的無線設(shè)備的功率設(shè)置，盡力保持信號在你的辦公室或住宅的范圍之內(nèi)。調(diào)整過程中可能會差錯，那就多試驗幾次。雖然精確控制信號的傳播范圍也許有點兒困難，但你卻可以將散布到大街上或鄰居家去的信號數(shù)量最小化。但你的WLAN可能會更加安全，何樂而不為？

禁用或減少DHCP的使用

DHCP自動化地分配IP地址的功能是極為方便的，特別是當(dāng)你有多個系統(tǒng)需要管理的時候。但請記住DHCP會“愉快”地給那些要求IP地址的任何系統(tǒng)可用的IP地址。如果你只有數(shù)量有限的設(shè)備，那就請關(guān)閉DHCP功能吧。不妨給設(shè)備分配靜態(tài)的IP地址，這樣就會給未授權(quán)的用戶在獲取你的網(wǎng)絡(luò)合法IP地址的時候增加難度。

另一個方法是啟用DHCP但要減少地址池的大小。大多數(shù)路由器將幾乎所有可用的地址（一般總共要超過250個）都放在地址池中。實際上，這些IP地址的總數(shù)大都遠遠超過了無線網(wǎng)絡(luò)所需要的數(shù)量，這會為未授權(quán)用戶留下大量的地址空間。用戶應(yīng)該將可用的DHCP地址數(shù)量限制為你所擁有的特定設(shè)備的數(shù)量，使你在使用IP地址的同時又能防止網(wǎng)絡(luò)入侵者獲得這些IP地址。

打開MAC過濾功能

雖然MAC地址過濾不應(yīng)該用于替代無線網(wǎng)絡(luò)的加密，不過MAC過濾可以作為加密的一個有益補充。大多數(shù)路由器都可以支持這種特性，這就能夠起到限制作用：只允許擁有用戶指定的MAC地址的設(shè)備可以訪問網(wǎng)絡(luò)。配置MAC地址過濾有時是一件相當(dāng)枯燥無味的工作，不過幸運的是有很多路由器允許你輕松地將已連接的設(shè)備加入到過濾列表中，這就會為你節(jié)省大量時間和精力，因為你不必手動檢索每一個設(shè)備的MAC地址。

確認已關(guān)閉DMZ

DMZ即“隔離區(qū)”，它是位于可信任的內(nèi)部網(wǎng)絡(luò)（如公司私有或?qū)Ｓ玫腖AN）與不可信任的外部網(wǎng)絡(luò)（如公共的Internet）之間的一臺計算機或一個子網(wǎng)，是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。路由器的DMZ特性默認情況下通常是關(guān)閉的，不過用戶有時為了解決故障而啟用它，事后卻忘了撤消。正因為DMZ代表著一個對Internet開放的IP地址，因此任何不經(jīng)意放置在此的系統(tǒng)都將會完全暴露在風(fēng)險之中。

關(guān)閉PING響應(yīng)

這項設(shè)置允許路由器響應(yīng)來自國際互聯(lián)網(wǎng)的ping命令。默認情況下，ping響應(yīng)也是關(guān)閉的，但你該確認一下，因為它會將你網(wǎng)絡(luò)的一些狀態(tài)信息泄露給那些潛在的黑客，這反過來會使黑客進一步探查你的網(wǎng)絡(luò)。

避免使用遠程管理

大多數(shù)路由器都有這個特性，這允許用戶從網(wǎng)絡(luò)外部進入系統(tǒng)并實施管理。大多數(shù)情況下，這項功能并沒有什么作用，所以你應(yīng)該禁用它除非你真正需要。不過，你如果真要使用遠程訪問的話，請將默認的端口號（它通常是8080或8888）改為一個明顯較小的值。

審閱安全日志

通過無線路由器內(nèi)置的防火墻功能，用戶可以查閱你的路由器記錄，是查出安潛在兇險的非常有效的方法。利用出網(wǎng)的記錄，你還可以找出試圖建立外部連接的特洛伊木馬等惡意程序。

毋庸置疑，對于小型LAN的無線路由器來說，這些措施都是十分關(guān)鍵的，而且大多數(shù)配置起來相當(dāng)簡單。“麻雀雖小，五臟俱全”，此處介紹的措施對于我們正確配置管理大型網(wǎng)絡(luò)的路由器也應(yīng)該具有一定的指導(dǎo)意義。