如何拒絕無線網路成為泄密通道

現在使用無線區域網的單位是越來越多了，隨便拿著筆記本電腦在辦公大樓里走上一圈，我們就能輕易找到不少無線上網信號。可是，這些無線上網信號中或多或少地存在一些安全隱患，稍微熟悉無線網路的非法攻擊者只要通過  
一些簡單操作，就能藉助無線網路輕而易舉地獲取單位區域網中的隱私信息，那樣的話沒有採取任何安全防範措施的無線網路自然就會成為信息泄密「通道」。那麼我們究竟該怎樣才能保護無線區域網的安全，拒絕該網路成為對外泄密「通道」呢?其實，我們可以採取多項限制措施，阻止非法攻擊者隨意通過無線區域網偷竊網路中的隱私信息。

1、對無線設備進行限制

也許有人會問，該如何對無線設備進行限制呢?難道一定要把本地無線區域網中的無線節點設備鎖定起來嗎?事實上，對於許多型號的無線節點設備來說，它們在剛剛出廠時使用的預設密碼幾乎是完全相同的，所以要是我們沒有及時將本地無線區域網中的無線節點設備密碼更改掉的話，那麼一些非法攻擊者可能會非常輕鬆地用預設的用戶名以及密碼進入到本地無線節點設備上，從而擁有本地無線區域網的所有管理許可權，到後來，我們有時會遇到自己也無法登錄本地無線區域網的尷尬局面。要想限制非法用戶使用本地的無線節點設備，我們必須記得在第一時間對本地的無線節點設備進行密碼限制，使用比較複雜的密碼來替代默認的密碼，不然的話就相當於將自己的無線網路管理權拱手交給非法攻擊者一樣。

我們只要登錄進本地無線節點設備的後台管理界面，找到密碼設置選項，輸入比較複雜的密碼，這樣一來就能有效限制非法用戶隨意使用無線節點設備的目的了。這種限制方法與Windows系統設置保護密碼是一樣的，經過加密限制的無線設備就會拒絕非法攻擊者隨意偷竊本地無線網路中的隱私內容了。

現在，我們就以TL-WR541G型號的TP-LINK無線路由器為例，向各位朋友詳細介紹一下對無線節點設備進行密碼限制的具體操作步驟：

首先在本地工作站系統中運行IE瀏覽器程序，在彈出的瀏覽器地址框中輸入無線路由器默認的IP地址，該地址一般會在無線節點設備的操作說明書中找到，例如TP-LINK無線路由器使用的默認IP地址常常為192.168.1.1。在確認IP地址輸入正確后，單擊回車鍵后，打開無線節點設備的後台登錄界面，在該界面的「用戶名」文本框中輸入「admin」，並且將默認密碼設置為空，再單擊「確定」按鈕登錄進無線節點設備的後台登錄界面。

在該後台界面的左側顯示區域，用滑鼠展開「系統工具」分支，從中單擊「修改登錄口令」選項，在對應「修改登錄口令」選項的右側顯示區域，先將無線節點設備的原用戶名、密碼正確輸入一遍，接著正確將新的用戶名與密碼填寫在「新用戶名」和「新口令」文本框中，最後單擊「保存」按鈕就可以了。日後，我們需要再次對本地無線區域網的上網參數進行管理時，就必須使用新的用戶名和密碼登錄無線節點設備的後台管理界面了，並且新的用戶名和密碼信息最好不要讓其他人知道，以避免其他人將密碼信息泄露出去。

當然，要是我們發現本地無線區域網中的節點設備已經被非法攻擊者加密，自己不能正常進入本地無線區域網時，我們可以強行將無線節點設備的參數設置恢復到默認狀態，具體恢復方法可以查看對應無線節點設備的操作說明書，通常情況下我們只要按下無線節點設備控制面板中的reset功能按鈕來完成參數設置恢復任務。

2、對無線網卡進行限制

我們知道，普通工作站往往要通過無線網卡設備才能訪問到附近的無線區域網網路，而無線網卡設備與有線網卡設備一樣，都通過MAC地址對自己的「身份」進行標識，可以說MAC地址是網卡設備的唯一標識。因此，我們要想拒絕非法用戶通過無線網卡設備接入到本地無線網路中時，完全可以將本地工作站的無線網卡設備MAC地址手工加入到無線路由器設備允許訪問範圍中，而那些沒有加入允許訪問範圍中的MAC地址所對應的無線網卡設備自然就不能訪問無線路由器設備了。

對無線網卡進行限制，其實就是在無線路由器設備的後台管理界面中正確設置好MAC地址過濾參數，從而從根本上拒絕非法攻擊者使用無線網路偷竊隱私信息。由於過濾MAC地址這種方法對交換設備的使用要求不高，同時不影響網路的整體運行性能，設置起來也很簡單，所以這種方法一般適合規模較小的無線網路和普通家庭使用。過濾MAC地址這種方法其實是通過事先在無線節點設備中正確導入合法的MAC地址列表，只有當普通工作站的MAC地址與合法MAC地址表中的內容完全匹配時，無線節點設備才允許普通工作站與無線網路進行通信。

在對無線網卡設備進行限制之前，我們需要先查看一下本地工作站使用的無線網卡設備MAC地址;在獲取本地無線網卡設備MAC地址信息時，我們可以在本地工作站系統桌面中，依次單擊「開始」/「運行」命令，在其後出現的系統運行對話框中，輸入字元串命令「cmd」，單擊「確定」按鈕后，將系統運行狀態切換到MS_DOS窗口。在該窗口的命令提示符下，輸入字元串命令「ipconfig /all」，單擊回車鍵后，我們就能從其後的結果界面中看到本地無線網卡設備的MAC地址了。

得到本地工作站的無線網卡MAC地址后，我們再登錄進無線路由器設備的後台管理界面，在該管理界面的左側顯示區域，用滑鼠展開「安全設置」分支，在該分支下面選中「MAC地址過濾」選項，在對應「MAC地址過濾」選項的右側顯示區域，單擊「添加新條目」按鈕，並且在其後界面中正確輸入本地工作站的無線網卡MAC地址，同時將狀態參數設置為「生效」，最後單擊對應設置頁面中的「保存」按鈕。

為了讓MAC地址過濾功能真正生效，我們還需要返回到「安全設置」分支上，並重新選中該分支下面的「防火牆設置」選項，在對應「防火牆設置」選項的右側顯示區域，將「開啟MAC地址過濾」項目選中，同時選中對應設置頁面中的「預設過濾規則」選項。考慮到我們要限制無線節點設備只能讓本地無線網卡設備訪問無線網路，因此我們還需要將過濾規則調整為「僅允許已設MAC地址列表中已啟用的MAC地址訪問Internet」，如此一來非法攻擊者的網卡設備或沒有加入到地址過濾列表中的無線網卡設備就不能正常訪問無線網路了，那樣的話無線網路就不會成為對外泄露信息的「通道」了。

3、對傳輸數據進行限制

通過無線區域網傳輸的數據信號在空中來回傳輸，要是不對它們進行加密限制的話，稍微懂得無線網路知識的非法攻擊者都能輕鬆地將正在傳輸的數據信號捕獲和破解掉，如此一來通過無線網路  
傳輸的數據信號就可能被非法攻擊者竊取到，為此我們有必要對傳輸的數據信號進行加密限制，以便阻止非法攻擊者輕易竊取到其中的內容。

目前，我們最常使用的數據加密限制方式為WEP加密技術，這種加密技術能夠對每一個連接無線網路的用戶進行身份識別，並且對數據內容直接進行加密限制。不過，在默認狀態下不少無線節點設備都會禁止使用WEP加密技術，那樣一來非法攻擊者就能輕鬆掃描到各類無線網路信息，同時能將捕獲到的無線數據內容輕鬆破解掉，所以我們必須及時修改無線節點設備的數據加密參數，確保對無線上網信號進行安全加密。現在筆者以TL-WR541G型號的TP-LINK無線路由器為例，向各位朋友詳細介紹如何對傳輸數據進行加密限制：

首先在本地工作站系統中運行IE瀏覽器程序，在彈出的瀏覽窗口地址欄中輸入無線路由器的後台管理IP地址，單擊回車鍵后，打開無線路由器設備的後台登錄界面，在該界面中輸入正確的用戶名和密碼信息，再單擊「確定」按鈕打開無線路由器後台管理界面;

其次在無線路由器後台管理界面的左側顯示區域，用滑鼠展開「無線參數」分支，再選中該分支下面的「基本設置」選項，在對應「基本設置」選項的右側顯示區域，檢查一下「開啟安全設置」項目是否處於選中狀態，要是發現該項目還沒有被選中時，那我們必須及時將它重新選中。之後，在「安全類型」下拉列表框中選擇「WEP」項目，並且在「安全選項」下拉列表中選擇「自動選擇」，同時將密碼格式選擇調整為「16進位」，將密鑰類型調整為「啟用」，再在密鑰內容文本框中輸入一段10位字元信息，該字元信息就是具體的數據加密密碼，非法攻擊者不知道該密碼就無法破解傳輸的數據信號。

完成上面的設置操作后，執行「保存」操作，並且關閉無線路由器後台管理界面。下面，我們還需要打開本地工作站的無線網路連接屬性設置界面，並且在該設置界面中設置好WEP加密內容，才能夠確保本地工作站順利訪問單位的無線區域網網路。而本地無線區域網之外的非法攻擊者由於不知道WEP加密內容，他們自然就不能通過本地無線網路竊取隱私信息了。

小提示：

由於WEP技術有明顯安全漏洞，如果我們想追求更高級別的安全保護時，可以採用WPA技術對無線傳輸信號進行加密限制，因為WPA技術採用了更為「強壯」的生成演演算法，我們用滑鼠單擊一次信息包時，它的密鑰內容就會自動變化一次。啟用WPA加密技術保護本地無線區域網網路的操作也很簡單，我們只要在無線路由器後台管理界面的左側顯示區域，用滑鼠展開「無線參數」分支，再選中該分支下面的「基本設置」選項，在對應「基本設置」選項的右側顯示區域，將「安全類型」參數設置為「WPA」或「WPA-PSK」;之後將「加密方式」設置為「TKIP」，同時將PSK密碼設置好，完成密碼設置任務后，再執行保存操作，這樣的話我們就為本地無線網路成功啟用了WPA加密協議。

同樣地，為了讓無線網路中的工作站能夠順利地訪問已經加密了的無線網路，我們也需要對工作站的無線上網參數進行合適設置。在對普通工作站配置無線上網參數時，我們可以依次單擊「開始」/「設置」/「網路連接」命令，在彈出的網路連接列表窗口中，用滑鼠右鍵單擊無線網卡設備對應的網路連接圖標，從彈出的快捷菜單中執行「屬性」命令，打開無線網路連接屬性設置窗口;單擊該窗口中的「無線網路配置」選項卡，在對應的選項設置頁面中找到「首選網路」設置項，並從中找到目標無線網路節點，再單擊對應頁面中的「屬性」按鈕;之後進入到「關聯」選項設置頁面，選中該頁面「網路驗證」設置項處的「WPA」或「WPA-PSK」選項，同時將「數據加密」參數調整為「TKIP」，再在「網路密鑰」設置項處正確輸入之前設置的PSK密碼，最後單擊「確定」按鈕完成工作站無線上網參數的設置操作。

4、對SSID標識進行限制

SSID標識其實指的就是本地無線區域網網路的名稱，該名稱的作用就是用來區分不同無線網路的。一般情況下，無線節點設備在出廠時都有一個默認的SSID標識，如果我們不及時修改這種SSID標識信息，那麼本地的無線區域網網路可能就會與其他無線網路發生衝突，引起的直接後果是普通工作站一不小心就能登錄連接到其他無線網路中，很顯然不對SSID標識進行限制，也會給無線網路的使用帶來安全麻煩。

此外，我們還要記得對本地無線網路的SSID標識傳播方式進行合適設置，因為無線節點設備在預設狀態下會將SSID設置廣播傳送方式，在這種工作狀態下，本地無線區域網中的所有無線工作站都能利用信號掃描手段搜索到本地網路的SSID名稱，所以我們必須及時調整SSID默認名稱同時禁止SSID標識進行廣播。

現在筆者以TL-WR541G型號的TP-LINK無線路由器為例，向各位朋友詳細介紹如何對SSID標識進行加密限制：首先在本地工作站系統中運行IE瀏覽器程序，在彈出的瀏覽窗口地址欄中輸入無線路由器的後台管理IP地址，單擊回車鍵后，打開無線路由器設備的後台登錄界面，在該界面中輸入正確的用戶名和密碼信息，再單擊「確定」按鈕打開無線路由器後台管理界面;

其次在無線路由器後台管理界面的左側顯示區域，用滑鼠展開「無線參數」分支，再選中該分支下面的「基本設置」選項，在對應「基本設置」選項的右側顯示區域，我們會看到本地無線網路使用的默認SSID參數，使用手工方法直接對該參數進行修改，以避免和其他無線區域網網路產生直接衝突;

在將本地無線網路的SSID標識名稱修改好后，我們需要修改SSID的傳送方式，以便禁止本地無線網路的SSID名稱隨意廣播。在修改SSID名稱的傳送方式時，我們可以在無線路由器後台管理界面的左側顯示區域，依次單擊「無線參數」/「基本設置」分支選項，在對應「基本設置」分支選項的右側顯示區域，檢查「容許SSID廣播」項目是否處於選中狀態，要是發現該項目已經被選中時，我們必須及時取消它的選中狀態，最後執行「保存」操作，這樣的話一方面本地無線網路不會和其他無線網路發生衝突，另外一方面也能有效防止非法攻擊者輕易搜索到本地無線網路的SSID名稱。

當然，需要提醒各位注意的是，在一個無線網路中即使我們將SSID廣播方式臨時關閉掉了，但是這並不能保證本地無線網路的SSID名稱不會被非法攻擊者搜索到，因為非法攻擊者可以藉助Kismet之類的專業檢測工具，來輕易搜索到無線網路的SSID名稱信息。(IT專家網)