首选:WPA3。这是目前最安全、最新的Wi-Fi加密标准。它引入了强大的“Simultaneous Authentication of Equals”,能有效防止离线密码猜测攻击,并提供更强的数据加密。
次选(如果设备不支持WPA3):WPA2-AES。这是之前的主流标准,使用CCMP/AES加密,目前仍然是安全的,但前提是使用强密码。绝对避免使用 WEP 和 WPA-TKIP,它们已被证明非常容易被破解。
2. 设置强密码:
Wi-Fi密码: 长度至少12-15个字符,包含大小写字母、数字和符号。避免使用字典单词、个人信息或简单序列。定期更换。
路由器管理密码: 必须更改默认管理员用户名和密码!这是防止攻击者控制你路由器的关键。
3. 更改默认SSID:
修改无线网络的名称(SSID)。虽然这不能隐藏网络,但避免使用默认名称(如“Linksys”或“NETGEAR”)可以避免暴露路由器型号,减少被针对性攻击的风险。
4. 禁用WPS:
Wi-Fi Protected Setup 本意是方便连接设备,但存在设计缺陷(尤其是PIN码方式),容易被暴力破解。强烈建议在路由器设置中禁用WPS功能。
5. 启用网络防火墙:
确保路由器内置的防火墙处于开启状态,以阻止来自互联网的恶意流量。
6. 禁用远程管理:
除非有特殊需求,否则关闭路由器设置界面的“远程管理”或“从互联网访问”功能。这样只能从你的内部网络访问管理界面。
7. 保持固件更新:
至关重要! 路由器制造商会发布固件更新来修复安全漏洞。定期检查并安装最新固件是维护网络安全的重要环节。
8. 启用客户端隔离(访客网络):
访客网络: 为访客创建一个独立的无线网络(使用不同的SSID和密码)。启用“客户端隔离”或“AP隔离”功能,防止访客设备访问你的主网络内部设备(如你的电脑、NAS)。
主网络隔离(可选): 一些高级路由器允许在主网络内部也启用设备间的隔离,增强内部安全性。
9. 关闭网络时:
如果长时间不使用网络(如外出度假),可以关闭无线路由器。
10. 谨慎使用公共Wi-Fi:
避免在公共Wi-Fi上进行敏感操作(如网银、登录重要账户)。如果必须使用,务必连接 VPN 来加密你的所有流量。
11. 高级企业级安全:
802.1X/EAP: 在企业环境中,使用基于证书或用户名/密码的强身份认证(如EAP-TLS, PEAP-MSCHAPv2),通常配合RADIUS服务器。
无线入侵检测/防御系统: 监控无线环境,检测并阻止恶意活动。