深挖路由器潜能 严防“天外来客”

虽然很多用户采用无线加密协议、禁用DHCP服务和禁止SSID广播等措施，但这些方法只是增强了无线网络的内部安全，而对于互联网中的各种意想不到的威胁，如病毒、木马和黑客攻击等，防范效果并不理想。那如何加强对公网威胁的安全防御呢？其实用户只要深挖无线路由器的潜能，就能很好解决这个问题。

一、开启路由防火墙

绝大多数无线路由器都集成了“网络防火墙”，利用这些内置的安全防御功能，就可以增强无线网络的公网安全，最大限度的阻止来自互联网中的各种威胁。

以笔者的“TL-WR541G”无线路由器为例，在管理界面中依次展开“安全设置→防火墙设置”，在设置框中选中“开启防火墙”，点击“保存”按钮，就启用了防火墙功能。

接着还要对防火墙的参数进行详细设置，点击“高级安全设置”，进入到“高级安全设置”框体，如图1所示，对相关的参数进行设置。设置完毕后，点击“保存”按钮确认操作，无线网络的公网安全防御能力被进一步增强。

图1 合理设置网络防火墙参数

二、“慎用”远程管理功能

为了方便管理无线网络，很多用户都启用了无线路由器的远程管理功能，但由于参数设置的不合理，给无线网络的公网安全留下严重的安全隐患。因此笔者建议，不是特殊需要，尽量不要启用无线路由器的远程管理功能。

如果你真的需要，那么就需要合理和谨慎的设置每个远程管理参数。最好的方式就是指定某个固定的IP地址，使用“意想不到”的远程管理端口进行无线路由器管理。

在无线路由器管理界面中，依次展开“安全设置→远端WEB管理”，进入到“远端WEB管理”设置界面（如图2），默认情况下，无线路由器是使用“80”端口来提供远程管理功能，但这很不安全，因此建议修改为一个不常用的端口号，如在“WEB管理端口”栏中输入“1648”这个端口号。

图2 安全设置远程管理参数

“远端WEB管理IP地址”栏中，下面还要指定哪些IP可以对无线路由器进行远程控制。“0.0.0.0”表示任何IP都不能进行远程控制，而“255.255.255.255”表示任何IP都可以进行远程控制，显然这两组参数都不安全。

最安全的办法是指定特定的IP地址远程管理无线路由器，如在“远端WEB管理IP地址”栏中输入“202.102.201.99”，只允许该IP地址可以通过“1648”端口远程管理无线路由器，而其它IP地址则不被允许，点击“保存”按钮确定操作。