无线安全网络搭建指南

### 无线安全网络搭建指南 #### 1. 网络安全现状 在日常网络使用中，我们经常会在防火墙日志里看到大量被拦截的流量，但很难判断这些被拦截流量的具体来源和性质。比如，日志顶部有一条记录显示，来自 IP 地址 80.82.77.245、端口 46732 的连接被拦截。进一步调查发现，这可能是一个以“研究目的”对公共 IP 地址进行定期网络扫描的服务，但我们无法确定这种“研究”是否合法，还是攻击者试图寻找防火墙漏洞以渗透网络。不过，好在防火墙能积极拦截此类活动，我们也能在日志中查看并采取相应措施。 拥有基于主机和网络的防火墙能显著提升网络和主机的安全性。我们可以创建规则和规则集，让攻击者更难渗透网络，更难以在不被察觉的情况下进行攻击。但我们仍需深入研究网络中允许或禁止的端口和协议，因为每个网络的需求都不同。 #### 2. 无线安全问题 如今，无线网络无处不在，它让我们的生活变得更加便捷，但也带来了一些安全隐患。无线网络使网络范围超越了原本作为物理边界的电缆，甚至能绕过墙壁等物理障碍。随着无线技术的发展，无线网络的有效覆盖范围不断扩大，原本的局域网可能会延伸到邻居那里，这虽然提升了连接性，但也给网络安全带来了潜在威胁。 #### 3. 硬件升级建议 如果从互联网服务提供商那里获得的无线网络设备是入门级的，它可能功能较少或可配置性较低。若设备无法满足管理需求，可以考虑购买更高规格的型号。例如，Netgear 的 Nighthawk 系列路由器，即使是中低端型号，价格也较为合理且功能齐全。 #### 4. 禁用 IPv6 IPv6 是互联网协议的新版本，旨在解决 IPv4 公共地址空间耗尽的问题，它大幅扩展了可用地址空间。但与网络地址转换（NAT）相比，IPv6 的使用并不普遍。如果网络中不使用 IPv6 却保持其启用状态，就会为攻击者提供一个潜在的入侵途径。因此，为了减少攻击面，应禁用或卸载所有未使用的协议和应用程序。 以下是不同系统禁用 IPv6 的具体步骤： - **Windows**： 1. 打开“网络和 Internet 设置”。 2. 点击“更改适配器选项”。 3. 对于每个适配器，双击该适配器，然后点击“属性”。 - 找到“Internet 协议版本 6 (TCP/IPv6)”复选框并取消勾选。 - 点击“确定”并关闭剩余窗口。 - **macOS**： 1. 打开“系统偏好设置”。 2. 点击“网络”。 3. 对于列表中的每个适配器，点击“高级”。 - 打开“TCP/IP”选项卡。 - 确保“配置 IPv6”设置为“关闭”。 - **Linux**： 1. 打开“设置”。 2. 从左侧列表中选择“网络”。 3. 对于每个适配器，点击配置齿轮。 - 在“IPv6”选项卡中，点击“禁用”单选按钮，然后点击“应用”。 - **调制解调器或路由器**：不同设备的配置菜单和选项各不相同。有些设备有专门的 IPv6 部分，可进入该菜单完全禁用 IPv6；也可能在 DHCP 设置或无线、LAN 选项中找到 IPv6 选项。如果找不到相关设置，可以在互联网上搜索设备的品牌和型号。 #### 5. 限制网络设备 大多数小型非企业网络很少限制连接的设备，这种开放的设置虽然方便，但存在安全风险，容易让攻击者有机可乘。为了避免这种风险，我们可以识别所有允许连接网络的设备，并限制访问权限。创建资产列表是一个很好的方法，它包含设备类型、位置、主机名、MAC 地址和 IP 地址等信息，能与网络地图相互补充，帮助我们更好地管理网络设备。 ##### 5.1 创建资产列表 创建资产列表的方法很简单，可使用纸笔、Excel 或其他工具创建类似以下表格的图表： | 设备 | IP 地址 | MAC 地址 | 主机名（可选） | 位置（可选） | | --- | --- | --- | --- | --- | | 我的笔记本电脑 | | | | | | 他们的笔记本电脑 | | | | | | 我的手机 | | | | | | 他们的手机 | | | | | | 电视 | | | | | | 平板电脑 | | | | | | Xbox | | | | | 如果设备已连接到网络，可以从路由器的 DHCP 部分或 DHCP 服务器获取相关信息；对于没有用户界面的设备，这可能是唯一的获取途径。也可以从每个主机上收集信息，不同系统的操作步骤如下： - **Windows**： 1. 打开“网络和 Internet 设置”。 2. 点击“更改适配器选项”。 3. 确定连接设备到网络的适配器（Wi-Fi 连接则为 Wi-Fi 适配器，否则为以太网适配器），双击该适配器，然后点击“详细信息”。 4. 找到物理地址并记录为计算机的 MAC 地址。 5. 找到 IP 地址并记录。 6. 点击“关闭”并关闭剩余窗口。 - **macOS**： 1. 打开“系统偏好设置”并点击“网络”。 2. 确定连接设备到网络的适配器。 3. 点击“高级”，然后点击“TCP/IP”选项卡。 4. 记录 IPv4 地址。 5. 转到“硬件”选项卡并记录 MAC 地址。 6. 点击“确定”并关闭“网络”窗口。 - **Linux**： 1. 打开“设置”。 2. 从左侧列表中选择“网络”。 3. 确定连接设备到网络的适配器。 4. 点击配置齿轮。 5. 在“详细信息”选项卡中，记录 IP 地址和硬件地址（MAC 地址）。 6. 关闭窗口。 ##### 5.2 静态 IP 地址分配 IP 地址分为静态和动态两种。默认情况下，大多数路由器使用动态主机配置协议（DHCP）服务器为连接到网络的设备分配 IP 地址，这些分配有时间限制，通常 24 小时后租约到期。动态 IP 地址可能会在设备每次连接或租约到期时发生变化。我们可以为每个设备分配静态 IP 地址，这样能明确每个 IP 地址对应的设备，还能通过限制可用动态地址来防止未知设备连接。 以 Netgate SG - 3100 为例，设置静态 IP 地址的步骤如下： 1. 点击“状态”→“DHCP 租约”进入 DHCP 租约菜单。 2. 点击“添加”按钮（在 SG - 3100 中是左侧未填充的 + 按钮）。 3. 在弹出的页面中为所选主机指定一个 IP 地址（只要在地址方案范围内即可），然后点击“保存”。例如，如果地址方案是 192.168.1.x，可以选择 192.168.1.100。 4. 分配静态地址后，设备可能需要重新连接网络才能获取该地址，可以通过重启设备来实现。 分配完静态 IP 地址后，要更新资产列表和网络地图。为了有效禁止未经授权的设备加入网络，我们还可以减少 DHCP 服务器可分配的地址范围。默认情况下，DHCP 服务器会使整个 IP 地址范围可供设备连接网络，但对于小型网络来说，开放这么大的范围存在安全风险。例如，若 IP 地址方案是 192.168.0.0/16，网络最多可连接 65,534 台主机，但小型网络通常不需要这么多。我们可以缩短可用的 DHCP 地址范围，如将范围从 192.168.1.100 到 192.168.1.245 缩小到 192.168.1.100 到 192.168.1.105，这样就只能为 6 台设备分配 DHCP 地址，从而减少了未经授权设备连接的可能性，降低了攻击面。 ##### 5.3 MAC 地址过滤 MAC 地址过滤可以作为独立的防御措施或额外的安全层。大多数无线路由器允许我们指定允许连接网络的 MAC 地址，从而阻止未指定 MAC 地址的设备连接。MAC 地址与设备硬件相关，比 IP 地址更稳定，但如今伪造 MAC 地址也并非难事。不过，增加这一障碍仍能提高网络安全性。 以 ASUS RT - AC5300 无线路由器为例，访问 MAC 地址过滤页面的方法是点击“无线”→“无线 MAC 过滤”。在该页面中，“基本配置”选项包括无线频段、过滤器启用或禁用状态以及过滤模式（接受或拒绝），这些选项可应用于 2.4 GHz 或 5 GHz 频段。 2.4 GHz 和 5 GHz 无线频段有以下区别： - 波长方面，2.4 GHz 频段的无线网络覆盖范围更广，而 5 GHz 频段在长距离传输时效果较差，但在短距离内可提供更快的速度。 - 干扰方面，2.4 GHz 频段是较旧的技术，使用该频率的无线网络和设备更多，包括微波炉等可能会造成无线干扰的设备，因此干扰可能更多。 - 兼容性方面，并非所有无线设备都能同时处理 2.4 GHz 和 5 GHz 无线信号。 在 ASUS RT - AC5300 路由器中，如果将 5 GHz 频段的 MAC 过滤器设置为“启用”且模式为“拒绝”，则该过滤器将作为黑名单，列表中的任何设备都将被阻止访问。而“接受”模式则是白名单，只有列表中的设备才能访问网络。通常情况下，我们应使用“接受”模式。具体操作如下： 1. 选择“启用 MAC 过滤器”和“接受”模式。 2. 输入资产列表中的 MAC 地址。 3. 添加完所有 MAC 地址并保存配置后，只有指定的设备才能连接无线网络并获取 IP 地址。我们可以通过从“接受”列表中移除一个不太重要的设备，然后尝试连接网络来测试 MAC 过滤功能是否正常。如果设备无法连接，说明 MAC 过滤设置成功。 #### 6. 网络分段 无线网络让我们可以通过设置单独的访客网络与客人共享互联网连接，同时不影响自身网络安全。大多数中高端无线路由器都具备此功能，例如 ASUS RT - AC5300 路由器可在 2.4 GHz 和 5 GHz 无线频段设置多个访客网络。 访客网络不仅方便客人使用，还能根据设备的风险或信任级别对用户和设备进行分组。例如，在私人内部网络中连接主要设备，如笔记本电脑、移动设备等；在访客网络中连接物联网设备，如 Google Home、Amazon Alexa、智能灯泡等。 某些类型的设备本身安全性较低，比如物联网设备容易受到僵尸网络感染。僵尸网络是一组通过安装在每个设备上的恶意软件连接在一起的互联网设备，通常被用于进行分布式拒绝服务攻击、数据盗窃或垃圾邮件发送等恶意活动。将安全性较低的设备与主要设备放在同一网络段存在风险，最好的解决办法是将它们在逻辑或物理上分开。 我们可以设置访客设备在网络上的连接时间，既可以选择无限制访问，也可以设置特定的时间段。无限制访问虽然方便，但会降低安全性；限制连接时间虽然需要更多管理工作，但能提供更安全的访问控制。 部分无线路由器和接入点还提供允许或禁止访客访问内部网络（即连接私人设备的网络）的选项。允许访客访问内部网络会降低安全性，因为他们可以访问我们的计算机和移动设备。因此，禁止访客网络访问内部网络是更安全的选择。如果路由器具备此功能，在无线网络设置中应该会有一个明显的复选框。如果找不到该选项，可能路由器不具备此功能，可以通过阅读手册或在互联网上搜索来确认。 ### 无线安全网络搭建指南（续） #### 7. 总结与建议 通过上述一系列的操作，我们可以显著提升无线网络的安全性。以下是对前面内容的总结以及一些额外的建议： - **防火墙与规则设置**：基于主机和网络的防火墙能有效提升网络和主机的安全性，要创建合适的规则和规则集来抵御攻击者。同时，深入研究网络中允许或禁止的端口和协议，根据自身网络需求进行调整。 - **硬件升级**：若现有无线网络设备功能不足，可考虑升级到更高规格的型号，如 Netgear 的 Nighthawk 系列路由器。 - **禁用 IPv6**：如果网络中不使用 IPv6，应在各个设备和系统中禁用它，以减少潜在的入侵途径。 - **限制网络设备**：创建资产列表，记录设备的 IP 地址、MAC 地址等信息，并为设备分配静态 IP 地址，同时缩小 DHCP 服务器可分配的地址范围，结合 MAC 地址过滤，防止未经授权的设备连接。 - **网络分段**：利用访客网络将不同风险级别的设备分开，避免低安全性设备对主要设备造成威胁，同时合理设置访客的访问时间和权限。 此外，为了进一步保障网络安全，我们还可以定期更新设备的固件和软件，安装杀毒软件和入侵检测系统，以及加强对员工或家庭成员的网络安全意识培训。 #### 8. 操作流程图 下面是一个简单的 mermaid 格式流程图，展示了搭建安全无线网络的主要步骤： ```mermaid graph LR A[评估现有网络安全状况] --> B[考虑硬件升级] B --> C[禁用 IPv6] C --> D[创建资产列表] D --> E[分配静态 IP 地址] E --> F[缩小 DHCP 地址范围] F --> G[设置 MAC 地址过滤] G --> H[进行网络分段] H --> I[定期维护与更新] ``` #### 9. 常见问题解答 为了帮助大家更好地理解和实施上述安全措施，这里列出一些常见问题及解答： | 问题 | 解答 | | --- | --- | | 禁用 IPv6 会影响网络使用吗？ | 如果你的网络中本身不使用 IPv6，禁用它不会对网络使用造成影响。相反，禁用它可以减少潜在的安全风险。 | | 如何确定我的设备是否支持某些安全功能？ | 可以查看设备的说明书或在制造商的官方网站上查找相关信息，也可以通过在互联网上搜索设备型号来获取更多详细信息。 | | MAC 地址过滤真的能防止所有未经授权的设备连接吗？ | 虽然 MAC 地址过滤能增加网络的安全性，但如今伪造 MAC 地址并非难事。因此，它不能完全防止所有未经授权的设备连接，但可以作为额外的安全层，增加攻击者的难度。 | | 访客网络可以设置多个不同的权限级别吗？ | 部分中高端无线路由器支持设置多个不同的权限级别，你可以根据实际需求进行配置，如限制访客的访问时间、禁止访问内部网络等。 | #### 10. 未来网络安全趋势展望 随着科技的不断发展，无线网络安全面临着新的挑战和机遇。未来，我们可能会看到更多智能化的安全解决方案，如基于人工智能和机器学习的入侵检测系统，能够实时监测和分析网络流量，自动识别和抵御潜在的攻击。同时，物联网设备的安全性也将成为关注的焦点，制造商需要加强设备的安全设计，以减少被攻击的风险。 此外，随着 5G 技术的普及，无线网络的速度和覆盖范围将进一步提升，但也可能带来新的安全隐患。我们需要不断学习和适应新的技术环境，采取相应的安全措施，以保障无线网络的安全稳定运行。 总之，无线网络安全是一个持续的过程，我们需要不断关注和更新安全策略，以应对日益复杂的网络威胁。希望通过本文的介绍，能帮助大家搭建一个更加安全可靠的无线网络环境。