浅析路由器防御

大纲
路由器安全
SSID广播
无线加密方式及加密算法
远程web管理
ACL(Access Control List)
ap隔离
虚拟服务器、DMZ
UPnP
-----------------------------------------

SSID广播

SSID(Service Set Identifier),服务集标识。简单来说，SSID的值就是这个路由器在无线局域网上的名称。详情请看百科
而SSID广播，就是把自己的路由器暴露在无线局域网内，供无线网卡扫描并识别
这样做的好处显而易见，只要别人的电脑有无线网卡，手机开启wifi功能，就能找到你的路由器，从而达到便于连接的目的
但是，这样做也会存在安全隐患，最明显的影响就是有机会被人蹭网，情况恶劣的，不仅蹭网，还可能开p2p工具抢占宽带等等。同时，也提供了被网络攻击和入侵的机会。
因此，关闭SSID广播是一个提高安全性又没什么损失的方法。唯一有影响的是，要连接到这个wifi，必须手动输入SSID和密码才能连接到此路由器
PS：当然， 通过持续攻击路由器所在的信道，是会把SSID暴露出来的，而且也有许多网络工具可以轻易扫描到对应的无线网络，即关闭SSID广播并不是万能的

无线加密方式

无线加密方式用于保护无线网络接入安全，目前来说，IEEE 802.11n标准已经支持WPA2（Wi-Fi Protected Access 2）的加密方式。而当今市面上大多数的路由都是支持IEEE 802.11n标准的。
无线加密方式主要有:WEP(Wired Equivalent Privacy)、WPA（Wi-Fi Protected Access）、WPA2（Wi-Fi Protected Access 2）
WEP加密方式因为年代早远，当前已基本弃用
而目前主要使用WPA\WPA2的加密方式，而WPA又分为这些认证方式：WPA-PSK(pre-shared key)、WPA企业版（采用802.1X认证），WPA2同上
WPA支持TKIP（Temporal Key Integrity Protocol）加密算法，而WPA2不仅支持TKIP，还支持AES（Advanced Encryption Standard）加密算法
AES加密算法的安全性比TKIP高，因此，一般用户在无线加密方式上，应尽量选用WAP2-PSK加密方式AES的加密算法

远程web管理

远程web管理即允许广域网中的所有主机对路由器的管理页面进行登陆，如果不需要局域网外的主机对路由器进行远程管理，建议关闭

ACL(Access Control List)

ACL用来控制端口进出的数据包，对数据流量进行控制和过滤，可以起到提高安全性的作用。
以水星MW325R路由为例，它的上网控制中的行为管理就是一个简化版的ACL，在这里，只需要设置受控主机（ip）、访问目标（ip/端口)、日程时间（生效日期）即可
在这里，如果不需要相应的服务，建议限制主机禁止访问SMTP（Simple Mail Transfer Protocol）、FTP（File Transfer Protocol）、POP3（Post Office Protocol - Version 3）、NNTP（Network News Transfer Protocol）、Telnet服务。

AP隔离

AP隔离（AP Isolation），指在局域网内将不同的无线客户端隔离起来，不能进行数据交换。简单来说，就是同一局域网内的主机是完全独立的。
这样做的优点是，如果当局域网中的一台主机中毒变成僵尸主机，也难以通过局域网对其他主机进行感染
因此，如果路由器允许，建议打开AP隔离功能

虚拟服务器、DMZ主机

虚拟服务器可以将局域网内的一台主机中的一个端口映射到广域网，DMZ主机则可以将主机映射到广域网，这样做的功能是可以使广域网的主机可以对局域网内的这台主机进行访问。DMZ主机可以隔离内网和外网的直接通信，是一种安全技术手段，但因为一般的路由器无法设置DMZ主机的访问控制策略，有可能会因为外网访问DMZ，DMZ访问内网而使得DMZ变成了一个入侵的突破口。
所以，在一般的家用路由器中，DMZ和虚拟服务器的使用更多的是为了让外网用户可以参与到局域网游戏中。那么，平常不需要的时候，可选择关闭。

UPnP

UPnP（Universal Plug and Play） 是各种各样的智能设备、无线设备和个人电脑等实现遍布全球的对等网络连接（P2P）的结构。

就目前而言，这个服务主要是给视频播放器和迅雷等p2p软件提供服务的，当迅雷开启了UPnP时，下载速度会有小幅度的提升。是个比较方便的功能，但其存在着安全隐患，当路由器开启了UPnP服务以后，就会在广域网上开放一个1900端口，而这一端口是有可能被骇客利用，从而达到入侵的目的。
因此，如果不需要UPnP功能，可以选择关闭