摘要：該文根據(jù)家庭無(wú)線網(wǎng)絡(luò)的工作原理，探討了基于無(wú)線路由器和交換機(jī)的家庭無(wú)線網(wǎng)絡(luò)安全策略。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)安全；路由器；交換機(jī)

中圖分類號(hào)：TP392 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）29-0052-02

家庭網(wǎng)絡(luò)安全主要從兩個(gè)方面進(jìn)行考慮，一是防止非法設(shè)備接入家庭網(wǎng)絡(luò)，進(jìn)而借助家庭網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，二是保障家庭網(wǎng)絡(luò)中存儲(chǔ)文件的安全，防止非法瀏覽和復(fù)制[1]。當(dāng)前，家庭無(wú)線網(wǎng)絡(luò)一般都是采用Wifi方式，通過具有Wifi功能的無(wú)線網(wǎng)卡或者無(wú)線路由器來(lái)實(shí)現(xiàn)。根據(jù)硬件的功率不同，家庭無(wú)線網(wǎng)絡(luò)的覆蓋范圍在90米至200米之間，這個(gè)范圍已經(jīng)超出了一般家庭的居住范圍，為“蹭網(wǎng)”提供了可能，非法設(shè)備一旦“蹭網(wǎng)”成功，就進(jìn)入了家庭網(wǎng)絡(luò)，除了占用上網(wǎng)資源外，還可能非法瀏覽和復(fù)制家庭網(wǎng)絡(luò)當(dāng)中的共享文檔資料，造成隱私泄露。加之各類Wifi密碼破解工具和分享工具的流行，家庭無(wú)線網(wǎng)絡(luò)的安全問題日益凸顯。本文根據(jù)家庭無(wú)線網(wǎng)絡(luò)的工作原理，探討了在復(fù)雜家庭網(wǎng)絡(luò)需求情況下基于無(wú)線路由器和交換機(jī)的家庭無(wú)線網(wǎng)絡(luò)的安全策略。

1 家庭無(wú)線網(wǎng)絡(luò)的組建方式

1.1 單獨(dú)組建的家庭無(wú)線網(wǎng)絡(luò)

這種家庭無(wú)線網(wǎng)絡(luò)由一個(gè)通過寬帶撥號(hào)上網(wǎng)的無(wú)線路由器構(gòu)成，在無(wú)線路由器覆蓋的范圍內(nèi)，具有無(wú)線功能的所有設(shè)備，如電腦、手機(jī)、網(wǎng)絡(luò)攝像頭、智能電視、智能音箱都能夠?qū)崿F(xiàn)共享上網(wǎng)和共享文檔互訪，十分方便。在這種模式中，網(wǎng)絡(luò)的入口（無(wú)線設(shè)備接入網(wǎng)絡(luò)時(shí)的許可）和出口（已經(jīng)接入的無(wú)線設(shè)備需要訪問互聯(lián)網(wǎng)的許可和訪問網(wǎng)絡(luò)內(nèi)其他無(wú)線設(shè)備的許可）都是由無(wú)線路由器來(lái)管理的。很顯然，在這種單獨(dú)組建的家庭無(wú)線網(wǎng)絡(luò)中，無(wú)線路由器是整個(gè)網(wǎng)絡(luò)的核心，管理和設(shè)置網(wǎng)絡(luò)安全措施都必須由無(wú)線路由器來(lái)完成。

1.2 通過有線網(wǎng)絡(luò)組建的家庭無(wú)線網(wǎng)線

這種家庭無(wú)線網(wǎng)絡(luò)是家庭有線網(wǎng)絡(luò)的延伸和補(bǔ)充，擴(kuò)展了有線網(wǎng)絡(luò)的移動(dòng)性和接入設(shè)備的靈活性，能很好地滿足家庭中位置非固定的設(shè)備和移動(dòng)設(shè)備的上網(wǎng)需要。在這種模式中，網(wǎng)絡(luò)的入口包括有線設(shè)備的接入和無(wú)線設(shè)備的接入，有線設(shè)備的接入需要節(jié)點(diǎn)和網(wǎng)線，無(wú)線設(shè)備的接入只需要無(wú)線路由器的許可；網(wǎng)絡(luò)的出口（即已經(jīng)接入的無(wú)線設(shè)備訪問互聯(lián)網(wǎng)的許可）由無(wú)線路由器和有線路由器共同管理，整個(gè)網(wǎng)絡(luò)當(dāng)中的設(shè)備相互訪問由其所在的路由器管理和路由。由此可知，無(wú)論是有線路由器還是無(wú)線路由器都是整個(gè)網(wǎng)絡(luò)的核心，管理和設(shè)置網(wǎng)絡(luò)安全措施必須結(jié)合有線路由器和無(wú)線路由器來(lái)完成。

2 路由器和交換機(jī)在網(wǎng)絡(luò)中的作用比較

對(duì)于簡(jiǎn)單的家庭無(wú)線網(wǎng)絡(luò)來(lái)說，如果僅僅是實(shí)現(xiàn)簡(jiǎn)單的電腦上網(wǎng)、手機(jī)wifi，那么使用無(wú)線路由器就可以了。但是，如果家庭物理空間較大，網(wǎng)絡(luò)中需要接入的設(shè)備除了電腦、手機(jī)，還包括智能電視、家庭影院、NAS網(wǎng)絡(luò)存儲(chǔ)器等，而且設(shè)備之間需要資源共享時(shí)，為了保障各種設(shè)備的聯(lián)網(wǎng)需求以及網(wǎng)絡(luò)中存儲(chǔ)資源的安全，需要引入一臺(tái)交換機(jī)，以建立多個(gè)獨(dú)立的網(wǎng)段，從而充分利用路由器和交換機(jī)的功能來(lái)進(jìn)一步保障普通家庭的網(wǎng)絡(luò)安全的。

目前網(wǎng)絡(luò)采用的是開放式通信系統(tǒng)互聯(lián)參考模型（即OSI參考模型），它是國(guó)際標(biāo)準(zhǔn)化組織提出的一種試圖讓各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。OSI模型共有7層結(jié)構(gòu)，從上到下分別是：應(yīng)用層7、表示層6、會(huì)話層5、傳輸層4、網(wǎng)絡(luò)層3、數(shù)據(jù)鏈路層2、物理層1。其中高層（即7、6、5、4四層）定義了應(yīng)用程序的功能，底層（即3、2、1三層）定義了面向通過網(wǎng)絡(luò)的端到端的數(shù)據(jù)流。

路由器和交換機(jī)處于不同的網(wǎng)絡(luò)層次，功能和作用完全不一樣（表1）?？偟膩?lái)說，路由器的功能是實(shí)現(xiàn)網(wǎng)間的路由轉(zhuǎn)發(fā)訪問，交換機(jī)則是擴(kuò)展網(wǎng)內(nèi)的網(wǎng)絡(luò)接口功能，擴(kuò)大局域網(wǎng)端口，增加接入點(diǎn)。根據(jù)路由器和交換機(jī)的不同特點(diǎn)和各自具有的功能，就可以設(shè)置家庭無(wú)線網(wǎng)絡(luò)的具體安全策略了。

3 家庭無(wú)線網(wǎng)絡(luò)中基于無(wú)線路由器和交換機(jī)的安全策略

3.1 設(shè)備的選用

選擇無(wú)線路由器時(shí)，路由器要具有WPS、VLAN、ACL、MAC過濾、上網(wǎng)管理等網(wǎng)絡(luò)管理功能，同時(shí)注意不需要太大的功耗，功耗大發(fā)熱也大，家庭當(dāng)中一般沒有專門的散熱裝置，時(shí)間一長(zhǎng)容易損壞。路由器的無(wú)線AP功能要能劃分3個(gè)SSID信號(hào)以上，現(xiàn)在家庭當(dāng)中的無(wú)線設(shè)備越來(lái)越多，選用支持802.11AC wave2無(wú)線傳輸協(xié)議的設(shè)備更好，這種協(xié)議的優(yōu)勢(shì)是支持多設(shè)備數(shù)據(jù)并發(fā)的處理功能，保障多設(shè)備的上網(wǎng)速度和互訪時(shí)的數(shù)據(jù)傳輸速度。交換機(jī)可選用二層交換機(jī)，具備VLAN功能。VLAN即虛擬局域網(wǎng)，其作用是將一組邏輯上的設(shè)備和用戶組織起來(lái)，使這些設(shè)備和用戶不受物理位置的限制，相互之間的通信如同在同一個(gè)網(wǎng)段中一樣，在家庭無(wú)線網(wǎng)絡(luò)當(dāng)中利用這一功能可以將接入網(wǎng)絡(luò)中的多種設(shè)備進(jìn)行分類，以便實(shí)施個(gè)性化安全策略，達(dá)到提高網(wǎng)絡(luò)安全性能的目的。

3.2用戶資源權(quán)限配置策略

利用無(wú)線路由器的3個(gè)SSID信號(hào)，分別接入交換機(jī)的3個(gè)不同的VLAN網(wǎng)段，每個(gè)VLAN網(wǎng)段相互隔離，獨(dú)立管理，根據(jù)具體需要為每個(gè)VLAN網(wǎng)段制定不同的安全管理措施。

家庭無(wú)線網(wǎng)絡(luò)的用戶大致分為三類：一是管理者，負(fù)責(zé)制定不同用戶的安全策略；二是家庭成員，屬于固定用戶；三是來(lái)訪的親戚朋友，屬于臨時(shí)用戶。家庭網(wǎng)絡(luò)當(dāng)中的資源大致分為上網(wǎng)、家庭NAS（網(wǎng)絡(luò)附屬存儲(chǔ)）上的各類數(shù)據(jù)共享、DHCP服務(wù)和MAC地址綁定服務(wù)等四大方面。每類用戶對(duì)家庭網(wǎng)絡(luò)資源的需求是不一樣的（表2）。根據(jù)表2的權(quán)限分配，很容易配置好家庭無(wú)線網(wǎng)絡(luò)的安全策略。管理者用戶，使用路由器的SSID1信號(hào)，接入到交換機(jī)的VLAN1網(wǎng)段，設(shè)置好信號(hào)名稱和密碼后，選擇隱藏選項(xiàng)將該信號(hào)隱藏起來(lái)，權(quán)限為全部四項(xiàng)，以方便對(duì)網(wǎng)絡(luò)的全面管理。家庭固定用戶，使用路由器的SSID2信號(hào)，接入到交換機(jī)的VLAN2網(wǎng)段。如果家庭用戶的移動(dòng)設(shè)備相對(duì)固定，可以將MAC服務(wù)賦予給家庭用戶以增強(qiáng)安全性。臨時(shí)用戶只需賦予上網(wǎng)和DHCP服務(wù)兩項(xiàng)權(quán)利就行，僅可以通過VLAN3上網(wǎng)，與VLAN1和VLAN2兩個(gè)網(wǎng)段完全隔離，不共享家庭NAS數(shù)據(jù)，以保證家庭共享數(shù)據(jù)的安全。對(duì)于臨時(shí)用戶，還可以設(shè)置流量控制和有限時(shí)長(zhǎng)的驗(yàn)證碼上網(wǎng)兩項(xiàng)限制。流量控制防止臨時(shí)用戶使用BT下載之類下載大容量數(shù)據(jù)，拖慢整個(gè)網(wǎng)速；有限時(shí)長(zhǎng)的驗(yàn)證碼上網(wǎng)可以設(shè)置為12個(gè)小時(shí)，過了時(shí)效就需要重新連接。

3.3 密碼策略

在無(wú)線路由器和交換機(jī)的設(shè)置過程中，合理設(shè)置密碼的類型和長(zhǎng)度可以有效提高家庭網(wǎng)絡(luò)的安全性。根據(jù)LockDown.com公布的暴力破解密碼測(cè)試數(shù)據(jù)，密碼被暴力破解的時(shí)間表如表3[2]。

可以看出，密碼不要單純用英文單詞或生日，也不能用姓名加生日的方式，以防止密碼字典破解法。為了增強(qiáng)網(wǎng)絡(luò)的安全性，密碼的形式最好采用“數(shù)字+大小寫字母混雜+標(biāo)點(diǎn)”的方式，采用多種字符、大小寫、特殊字符等來(lái)增加密碼強(qiáng)度，且密碼長(zhǎng)度至少超過8位。

參考文獻(xiàn)：

[1] 方明英.家庭網(wǎng)絡(luò)安全初探[J].數(shù)字技術(shù)與應(yīng)用，2018（1）：187-188.

[2] 密碼被暴力破解時(shí)間表全面披露. https：//wenku.baidu.com/view/74fc1a91a300a6c30d229f24.html.[2018-05-08].

【通聯(lián)編輯：代影】