适用于多Wi-Fi网络测试,分析和故障排查的强有力的高级工具。
在一个万物互联的世界里—从笔记本电脑和智能手机到智能冰箱和婴儿监视器—保护你的WiFi不仅仅是一个好主意,它是必不可少的。无论你是从零开始配置家庭网络,还是加强企业系统的安全性,这份指南都将通过经过验证的方法和现代实践,向你解释如何保护WiFi安全。
跳到...
为什么无线安全很重要
WiFi网络安全,有时也称为无线网络安全,涉及防止未经授权访问通过WiFi网络传输的数据以及其他无线网络安全风险。
WiFi安全从未像今天这样重要,因为它所保护的网络在我们生活的几乎所有方面都起着至关重要的作用。没有这些网络,我们无法与亲人沟通,无法与同事协作,无法上网浏览、流式收听音乐和观看电影等等。
一个不安全的网络就是一扇敞开的门。任何在可及范围内的人都可能监控你的在线活动,劫持你的带宽,甚至访问敏感文件。对于企业来说,风险更加严重:被攻击的WiFi网络可能会暴露客户数据、机密通讯或知识产权。
无线安全的核心是加密协议—这些技术在您的数据通过空气传输时保护您的数据。随着时间的推移,这些协议有了显著的发展:
- 有线等效隐私(WEP) WEP 是最早的无线安全协议。从 90 年代末一直到 2004 年被宣布不安全并逐步废弃。
- Wi-Fi 保护访问(WPA) WEP 被 Wi-Fi 保护访问(WPA)在 2003 年取代。WPA 引入了临时密钥完整性协议(TKIP)以防止许多已知的攻击。
- Wi-Fi 保护访问 2(WPA2) 于 2004 年成为标准,尽管自其推出以来发现了多个漏洞,但该标准至今仍被广泛使用。
- Wi-Fi 保护访问 3(WPA3) 于 2018 年发布,自 2020 年开始,所有新认证的 WiFi 设备 都必须支持它。该协议实现了 192 位及更高强度的 WiFi 加密,并采用了同时等同认证(SAE)而非预共享密钥(PSK)交换。
💡 安全提示: 为获得最强的防护,请始终使用您的路由器所支持的最新 Wi-Fi 安全协议—优选 WPA3。许多现代路由器已默认启用它,但仍建议检查您的设置,以确保未使用过时且存在漏洞的标准。
如何保护WiFi网络:快速步骤
从您的互联网服务提供商那里获得新路由器,可能会让您想快速插上电源并立即开始上网。但正确地保护您的WiFi网络就像搬进新家后安装新锁一样重要—这对于保护您的在线安全至关重要。
使用以下简单指南来增强您的WiFi安全性:
从WiFi现场勘测开始
首先,使用NetSpot WiFi现场勘测工具进行现场勘测。它将立即帮助您检测并消除未授权部署的AP(接入点)
现场勘测还可帮助发现未授权的工作站。整理配有无线适配器的笔记本电脑和PDA的清单,包括用户、MAC地址和操作系统信息。这些数据可用于WLAN访问控制。如果WLAN适配器丢失或被盗,保持清单的最新状态至关重要。
💡专家提示:定期进行勘测,以便及早发现安全威胁,尤其是在添加新设备或移动路由器之后。
1步. 更改默认路由器登录
通过以太网连接连接到路由器。不要使用 WiFi 连接来进行管理访问。通常,路由器的管理界面地址是 http://192.168.0.1 或 http://192.168.1.1。
进入后,使用默认管理员用户名和密码登录。即使你想更改它,首次仍需使用默认账户登录。
根据你的路由器,更改管理员用户名和密码的步骤会有所不同。对于 Arris,此设置位于登录设置下:
更改用户名和密码。使用一个长且随机的密码,并将其安全地存放在某处—不要写在桌上的便利贴上。
2步. 更改并隐藏您的SSID
SSID 是您安全 WiFi 网络的身份。它是人们用来查找并连接该网络的名称,也是用来区分网络的方式。如果将其保留为 “Netgear001” 或 “Linksys123”会让您成为攻击目标—这会告诉潜在攻击者您使用了什么硬件。
有些路由器甚至允许您设置多个网络(稍后我们会详细介绍)请查阅您的手册,但典型的操作步骤是:
登录您的路由器(您已经按照第一步设置了新的用户名和密码,对吗?选择您的 WiFi 网络,更改 SSID,并关闭“广播网络名称”
保存这些设置。WiFi网络仍然可以正常工作,只是不会向所有人广播。当你进行设置时,请确保预共享密钥是独一无二的。
💡专家提示:使用容易记住的短语,而不是简单的单词或数字。
3步. 使用强加密的 Wi-Fi
大多数现代路由器默认会自动启用 Wi-Fi 加密。但是—你确定你的路由器加密已启用并正确配置了吗?不要想当然—你应该始终检查你的路由器安全设置。
如果可用,选择 WPA3-Personal,或者选择 WPA2-AES 作为备选。避免使用 WEP、WPA 和 WPA2-TKIP—它们已经过时且存在安全漏洞。
如何检查你的加密:使用 NetSpot 的检测模式来查看附近网络(包括你自己的网络)的安全设置。
配置您的WiFi网络加密的步骤因路由器型号略有不同,但通常请按照以下说明操作:
登录到您的路由器并将安全模式或加密级别设置为WPA3-Personal。如果您的路由器不支持WPA3,请使用WPA2-PSK(AES)
💡专家提示:定期更新路由器固件,以确保支持最新的安全协议,如WPA3。
4步. 使用强大且唯一的 Wi-Fi 密码
虽然WPA3安全协议确实降低了弱密码带来的风险,但你仍然应该使用强大且独特的密码来保护你的WiFi网络和路由器。
理想情况下,你的密码应满足以下要求:
- 至少12个字符。
- 包含大写字母、小写字母、数字和符号。
- 不是词典中可以找到的单词。
💡专家提示:不要在WiFi和路由器管理面板之间重复使用密码。
5步. 保持您的路由器固件为最新
令人遗憾的是,严重的路由器漏洞经常被发现。知名的路由器制造商会定期发布更新来解决这些漏洞,但并不是所有用户都会安装这些更新—至少不会及时安装。未打补丁的路由器是巨大的安全隐患,因为它们暴露在互联网上,且经常成为黑客攻击的目标。
定期登录您的路由器并检查更新。如果可能,请启用自动更新,并在制造商处注册您的路由器以接收通知。
6步. 禁用高风险功能:WPS、UPnP 和远程访问
要保护您的路由器,请使用管理员凭据通过浏览器登录。首先,禁用远程管理,这样路由器就无法被外部网络控制。然后关闭 UPnP,该功能会自动打开端口,可能被恶意软件利用。最后,关闭 WPS,以防攻击者通过其薄弱的 PIN 系统连接。保存设置后,如果系统提示,请重启路由器。
💡专家提示:请确认该功能确实已被禁用。有些路由器虽然在视觉上关闭了WPS,但实际上仍存在漏洞—可能需要固件更新才能彻底禁用该功能。
7步. 设置访客网络
有时候你会有朋友或家人来访。当他们和你在一起时,他们会问两个令人头疼的问题之一:你的WiFi密码是什么?
与其分享你的主WiFi网络凭据(这可能会暴露敏感信息)不如采用更安全的解决方案:设置一个单独的访客WiFi网络。许多现代路由器支持多个网络,使这一操作变得容易实现。
一个访客WiFi网络允许访客访问互联网,但不会让他们直接访问你的家庭设备、个人文件或智能家居设备。可以把它想象成为你的访客提供了一个专属的安全数字空间—既隔离又便捷。
保护您的访客网络的最佳实践:
- 仅在需要时激活您的访客网络。 客人离开时请关闭,以最大程度降低安全风险。
- 定期更新您的访客网络凭据。 定期更改访客SSID和密码—理想情况下,每次激活网络时都要更换。
- 限制访客网络的权限。 仅启用互联网访问,禁用文件共享或网络设备可见性。
💡专家提示: 许多热门品牌的路由器如Netgear、TP-Link或华硕都配有易于使用的应用或网页界面,可以在几分钟内设置安全的访客网络。请查阅您的路由器说明书或应用获取快速设置指南。
8步. 开启您的路由器防火墙
防火墙作为一种防御机制,根据既定的安全规则调节进出系统的网络流量。
- 规则1:拒绝所有未明确请求的入站连接(任何:拒绝)
- 规则2:仅当入站连接是针对网络内设备发起的出站请求的响应时才允许(有状态防火墙)
- 规则3:启用“Ping阻止”防止路由器响应外部的ping请求(ICMP Echo请求)黑客通常会ping网络以识别活跃的系统。通过阻止ping响应,可以让你的网络不那么容易被发现。
另一个设置是阻止“分片数据包”数据包是网络中的一个小单位,包含一个头部,用来指明数据包的去向和所携带的信息。它就像是计算机在网络上传递的信件。信封上写着信件的来源和去向,信件内部则是实际的信息内容。
但有时黑客会发送分片数据包。这是故意伪造的异常数据包,旨在让路由器或计算机混淆并接受通常会被拒绝的错误信息。这可能会欺骗计算机授予访问权限,因为计算机会尽力猜测分片流量想要访问的内容。拒绝这些包,可以从源头上防止此类问题的发生:
💡专家提示:定期查看防火墙日志,通过监控可疑行为,快速识别和应对可能的安全风险。
9步. 限制您的 WiFi 范围
当谈到无线网络时,大多数用户都希望实现最广泛的信号覆盖范围。在某些情况下,这确实是正确的方法,但并非总是如此。因为这也是防止黑客和好奇的陌生人试图访问您网络的最简单方法。
更先进的路由器允许您通过在设置中更改发射功率来限制您的网络范围,但您也可以通过更改路由器的位置来影响网络范围。我们建议您使用 NetSpot 的测量模式来创建您的 WiFi 覆盖范围可视化地图。
该地图将使您能够轻松查看您的信号可以覆盖多远,以及在哪些地方信号最强。
10步. 物理上保护您的路由器
物理安全常常被忽视,但这并不意味着其不重要。除非你的路由器放置在陌生人无法轻易进入的地方,并且由强大的管理员密码保护,否则有心的攻击者可能会用他们自己的路由器替换你的路由器,将他们的笔记本电脑连接到路由器并更改其设置,甚至可能感染恶意软件。
使用 iOS 版 NetSpot 检查您网络上的设备
即使是最强的密码,如果陌生人已经在蹭你的带宽也毫无意义。使用 NetSpot 免费的设备发现工具十秒钟即可审查,直接在你的 iPhone 上显示每一个连接到你 Wi-Fi 的设备。
- 打开 NetSpot 并点击设备发现。
- 等待几秒钟,扫描完成后会显示一个包含 IP、MAC、厂商名称和设备类别的实时列表。
- 查找异常。任何你不认识的设备—不是你的手机、从未买过的智能摄像头—都可能是入侵者。
- 复制每个可疑设备的 MAC 地址,然后将其粘贴到路由器的访问控制或 MAC 过滤列表中进行阻止。
- 重新运行设备发现,确认恶意客户端是否已经消失。
💡专家提示:升级到WPA2/WPA3可以保护未来的登录安全,但在旧设置下已认证的设备在断开连接前仍可保持在线。切换后请立即运行NetSpot的设备发现功能,及时发现并清理任何旧版蹭网设备,防止它们安然无恙地继续使用。
结语
保护您的WiFi网络并不需要很复杂。只需做出一些明智的更改—强加密、独特密码、固件更新,以及像NetSpot这样的工具—您就可以保护您的数字生活和设备免受网络威胁。
保持主动,保护隐私。别忘了定期扫描您的网络—WiFi安全不是一次性的设置,而是一个持续的习惯。
常见问题解答:Wi-Fi 安全常见问题
为了最大限度地保障 Wi-Fi 安全,最佳做法是每三到六个月更改一次您的 Wi-Fi 密码,尤其是在您经常与客人共享网络访问权限或遇到可疑活动时。
如何快速查看我Wi-Fi上的所有设备?
NetSpot for iOS 提供了免费的设备发现工具—打开应用程序,运行扫描,您将立即看到所有已连接客户端的列表。将任何不熟悉的 MAC 地址复制到路由器的阻止列表中并重新扫描以确认它已被移除。
隐藏我的SSID能完全保护我的Wi-Fi网络免受黑客攻击吗?
不可以。虽然隐藏您的SSID可以帮助防止被随意发现,但黑客仍然可以使用专业工具检测到隐藏的网络。始终将隐藏SSID与强大的WPA3加密和强大、独特的密码结合使用,以增强您的Wi-Fi安全性。
您需要做些什么来保护您的无线网络?
使用独特的密码和适当的网络加密措施来保护您的无线网络。保护资产并正确组织网络拓扑结构非常重要。确保您的无线信号覆盖所需范围,并尝试使用VPN为您的网络提供更高级的功能。
路由器是网络安全设备吗?
现代路由器是功能极其强大且高效的设备,其性能可与老式个人电脑相媲美。得益于其强大的性能,路由器能够充当网络安全设备,提供防火墙、VPN 及其他功能。
免费获取NetSpot
Wi-Fi 站点调查、分析、故障排除 运行在 MacBook (macOS 11+) 或任何带有标准 802.11be/ax/ac/n/g/a/b 无线网络适配器的笔记本电脑 (Windows 7/8/10/11) 上。相关 802.11be 支持的详细信息请点击 这里。