手把手教你如何打造安全私家网络

编者按：随着一户人家拥有越来越多的上网设备（包括但是不限于台式机、笔记本电脑、智能手机等），自己打造一个安全的私家网络变得越来越重要的，其中的很多特意注意的地方值得大家留意，尤其是wifi的大量应用导致的很多安全隐患（比如说蹭网）。

网络安全，一个曾经离我们普通网络用户很遥远的名词。即使是在后来九十年代末网络开始普及的时候，一个杀毒软件或者一个防火墙就能够解决所有的问题。但是当我们的网络开始进入无线时代之后，我们才发现曾经无比高科技的无线信号竟然带着我们的隐私肆无忌惮的奔逃到了别人家的窗口。有勾的就有搭的，于是蹭网的就这样挽着咱家的信号勾勾搭搭的来到了你的面前。下面让我们用六步来打造安全的私家网络。

第一步：修改路由登录密码

首先说一下，这个密码并不是别人蹭我们的无线网络的时候所要破解的密码，而是我们在登录无线路由器的时候所使用的密码。按说蹭网的兄弟在破解了我们的无线网络密码之后，一般都会收手。不过，我们还是要防患于未然。

登录无线路由器

在IE浏览器的地址栏里面输入路由器的地址，就可登录路由器。当前我们市场上能够买到的路由器大部分都使用192.168.0.1或者192.168.1.1这两个地址，如果有特殊的，一般会在说明书中标注。

修改路由器登录密码

路由器都会有一个初始密码。目前市面上的路由器使用的最多的初始用户名和密码就是admin，因此我们必须改掉它。在路由器的系统设置页面中，我们可以更改它。当然，更改这个密码，并不能防止别人侵入我们的网络，但是我们更改这个密码，却是要防范别人在侵入我们的网络之后去更改我们的路由器设置。那么怎样才能防范别人侵入我们的网路呢？让我们进入下一个环节。

第二步：隐藏SSID

说到这里熟悉无线网络的人应该都会看出来了，这篇文章涉及的水平不深，使用的技术不高。嗯，你要知道在我们的周围仍然还有很多没有任何加密措施的路由器在敞开自己的怀抱，这篇文章就是写给他们看的。

SSID设置

所谓的SSID，其实就是我们这个无线网络的名称。一般的路由器默认SSID都是使用自身的品牌或者型号来进行命名，一目了然，针对性的破解起来自然很容易。那我们就改了它，选用一个跟品牌型号之类完全不沾边的名字，然后选择不进行广播SSID，然后选择隐藏。

Intel的无线管理程序很实在

但是很不幸。隐藏SSID并不像我们想象的那样，只要不露面人家就抓不到我们。例如，Intel的无线管理程序直接把隐藏了SSID的无线网络标示了出来。

WirelessMon的无线网络扫描结果

更专业的软件，不但能监测到隐藏了SSID的无线网络，甚至连路由器的MAC地址都识别了出来。这样看来，隐藏SSID对于破解，似乎无能为力。

所谓的组合拳，永远不是一招制敌。对待蹭网这个事情上，也是一样。我们需要一步步的来进行设置，从而让我们的无线网络来达到一个相对安全的状态。隐藏好你的SSID，让我们进入下一个环节。

第三步：MAC地址过滤

说实话，曾经我也以为这是无线网络安全的最终法宝。可惜，我有这个认识的时候还是五年前，随着身边无线网络越来越多，我终于发现，这招，并不对每个蹭网的人都有效。

MAC地址过滤设置

使用MAC地址过滤一直是各种有关网络安全中反复向大家推荐的一种保护网络安全的方法。因为要想突破这一关，那么这个蹭网的兄弟就需要一些相对来说比较高明的手段了。

MAC地址过滤，就是在路由器中设定好允许通过这台路由器访问网络的MAC地址。由于每台电脑中的网卡只有一个MAC地址，并且这个地址是刷在网卡固件之中，因此可以说MAC地址就是每一张网卡的身份证。拿其它的身份证想在这台路由器上网？门也没有！

查看自己电脑的MAC地址

要想使用MAC地址过滤，就必须知道自己的MAC地址。首先点击运行，然后输入CMD，回车后在命令行界面下输入“ipconfig/all”命令，图中红圈标示的位置，就是我们电脑的MAC地址。然后我们将这个数值填入路由器的MAC地址过滤中即可。

扫描MAC地址

按理说，当我们只能凭借MAC地址来通过路由器上网后，我们的网络也就相对安全了。但是你再仔细的想想看，既然我们已经把MAC地址比喻成为了身份证，那自然就少不了办假证的。详细的方法我们就不在这里赘述了，反正大致的流程就是：监听无线路由器——发现连接到这台路由器的MAC地址——为自己网卡写入监听到的MAC地址——连接。不过这里我们说起来简单，真正做起来并不是那么回事。好了，如果你的无线网络在使用了MAC地址过滤之后，仍然没能浇灭蹭网兄弟们热情的话，那恭喜你，我们再进入下一个环节，去给这位兄弟设置更大的难题。

第四步：复杂的网络密码

我们会经常听说某处某地某人使用某简单密码给自己造成了某种损失的事情。人们都是喜欢偷懒的，信用卡、手机卡、银行卡、邮箱、QQ、论坛等等等等，一个简单的密码就通杀。于是，带着这种惯性，我们发现，越来越多的人在给自己的无线网络设置了种种加密手段之后，却使用了一个极为简单的密码，而这个密码可能就是他的银行卡、信用卡等等使用的密码。

WPA2-PSK级别的密码安全性较高

在设置我们无线网络密码的时候，我们强烈建议您使用WPA2级别或者更高级别的加密模式。因为，在目前的无线网络破解水平来说，对于WPA2级别的加密模式，暴力破解是破解这种密码的唯一方法。

复杂密码，大大增加了暴力破解的难度

我们先来看看对于WPA2密码的破解流程。要想破解一个WPA2的握手包，首先需要为破解软件加挂一本字典，这里面包含了我们常用的各种数字字符的排列组合，比如生日、纪念日、节假日、姓名拼音等等。然后利用电脑去一个一个的对照，直到对照成功，破解完成。对于简单的密码，比如你的生日，不管你是哪一年生人，只要你老老实实的用生日做密码，不出一分钟就会被破解。所以，我们一定要使用复杂的，难记的，和我们日常生活没有关系的数字字符的混合排列，才能加大对方的破解难度。让他的字典没有对应项，让他的计算机算到死机，那你的密码就设置成功了。

道高一尺魔高一丈

当我们的密码越来越复杂，CPU已经吃不消的情况下。另外一种暴力破解方式诞生了，动用你的GPU、CPU甚至你的主板芯片，全芯动员去破解你的密码。不过，没有金刚钻不揽瓷器活，如果准备蹭你网的兄弟没有一台好电脑的话，即使给他你的WPA2握手包，我想他也是无能为力。但是，要是他电脑配置好的话，怎么办？这场蹭网与被蹭网的游戏玩到这里，将开始进入一个更高的技术层次。如果你发现有蹭网的兄弟已经破解了你的无线密码，正偷偷分享着原本属于你的快乐，我们怎样夺回它？这个时候，我们之前曾经设置过的路由器登录密码就起到作用了。让我们进入下一个环节。

第五步：更改IP地址段

在我们平常使用的无线网络中，IP地址前三段字符一般都是192.168.1或者192.168.0。因此，在对方那位兄弟破解了我们的无线网络之后，我们的路由器分配给他的地址自然也是192.168.1或者192.168.0之类的，想想如果我们在路由器上更改了这个设置，是不是有一种釜底抽薪的感觉？

更改IP地址段设置

为什么我们更改了IP地址段之后，破解了我们网络的兄弟就不能再通过我们的路由器来上网呢？因为在一个局域网中，不同IP地址段之间是不能相互通信的，我们更改路由器所分配的IP地址段，正是为了利用TCP/IP的这个特点，来达到对方无法通过路由器来上网的效果。在上图中，我们只需要按照画面中的红字去更改IP地址即可，数字不用太大，随便更改一个数字即可达到我们想要的效果。

IP地址段扫描

但是很不幸，即使我们更改了IP地址段，在高手面前，一样有办法探测到我们更改之后的IP地址段。不过我们也大可不必灰心，因为还有一项功能可以让我们完全不接纳其它的IP地址来访问我们的无线网络。进入下一环节。

第六步：关闭DHCP

在上面的一个环节中，我们设定的IP地址段，即是路由器为每一台连入这个无线网络的电脑分配IP地址时的范围。但是，如果别人探测到了我们更改之后的IP地址段，然后再进行连接怎么办？首先记好你刚才设置的IP地址段，然后我们开始另外一项设置。

停止DHCP

关闭路由器的DHCP，让路由器不再自动为每一个登录无线局域网的电脑分配IP地址。这就类似于将我们的路由器变成了一个会员制的会所，有会员证你就来，这个会员证就是IP地址。

设置固定IP

记住你路由器所支持的IP地址段，然后在网络邻居的网络链接图标上点击右键，选择属性，再选择TCP/IP协议，点击属性，进入IP地址设置页面。如果刚才你设置的IP网段是192.168.5.1到192.168.5.100的话，那你就在IP地址里面填上这两个IP地址之间的任意一个数字就可，然后再子网掩码以及默认网关等框中，比照路由器上的数值填入即可。确定，退出，固定IP设置完毕。这样，当有电脑想要登录网络的时候，路由器不再为这台电脑分配IP地址，如果你电脑中的IP地址与这台路由器支持的IP网段相符，那自动登录。如果不相符，那只能说非请莫入。

固定IP并不等同于MAC地址与IP地址的静态指定

有很多朋友都会觉得MAC地址与IP地址的静态指定，就相当于使用固定IP，其实这里面是有误解的。如上图所标示的，这里的MAC地址与IP地址的静态指定，是表示只有某个MAC地址才能分配某个IP地址，其它的MAC地址则不会分配这个IP地址。鉴于很多同志都对这一概念存在误解，所以我们特意提一下。

说句老实话，如果你的无线网络在经过了隐藏SSID、MAC地址过滤、使用复杂的WPA密码、修改IP地址网段以及关闭DHCP之后，仍然难以招架你邻居家那位兄弟的进攻，那你应该感到庆幸，因为你遇见了一个技术不错韧性很强的人。但是这样的人，在我们的生活中已经是少之又少了。

看了上面，也许你会觉得自己的无线网络很不安全。其实不然，在某些小区，虽然身边有很多无线网络，但是目前还没有发现蹭网现象，大家相安无事，其乐融融。因此我们在日常的设置中，按照上面的介绍对自己的网络适当设置之后即可抵御绝大多数蹭网的兄弟。

变招：使用电力线网络

有线局域网安全，传输效率高，但是布线复杂，影响美观，使用也不方便。无线我们也看到了，按照前面我们介绍的方法，不但会把蹭网的折腾坏，同样也会把我们自己折腾坏。鱼和熊掌怎样才能兼得？

电力线网络

这不是曾经的电力猫。普通的ADSL接到家里之后，将ADSL MODEM直接插在家中的插座上，于是，我们家中所有的电线，都会成为网线。然后，不管是在哪个位置，只要有插座，我们就可以插一个小功率的无线AP上去，即能保证我们上网速率的稳定，又不至于发生由于信号泄露引来蹭网兄弟的事情。而家中的电表，则成为了我们整个家庭局域网的物理闸刀，网络信号无论如何是穿不破电表。

但是，这样的网络，看起来很好，只是在目前造价已然较高，一套网络设备下来，怎么着也得花到千元水准了，因此，这里我们只是附带的向大家推荐一下。

后话：

无线网络是随着笔记本的普及而逐渐的成为当今家庭网络的主流组网方式的。但是即使发展到现在这个看起来已经非常成熟的阶段，无线网络在安全性以及使用的方便程度上还是不能够让我们满意。仅仅从蹭网这一件事上我们就能够看出无线网络在使用的简易程度以及它的安全性方面距离我们的理想状态还是有很长的一段路要走。

应该怎么办？无线网络的硬件基础已经构筑的足够强悍了。因此，我们需要的是更加方便以及安全的应用，我们需要更多的无线网络设备厂商在应用方面能够为我们提供更加方便的实用程序，为我们创造更为简便的使用方法，为我们设计更为高效的安全措施。从而，让无线网络真正像我们使用手机，使用电视那样方便、快捷，并且拥有不错的安全性。