我們經(jīng)常會(huì)聽(tīng)到來(lái)自安全專(zhuān)家的警告，公共Wi-Fi不安全，請(qǐng)謹(jǐn)慎連接。
　　
　　這些警告確實(shí)都是正確的，有非常大比例的公共Wi-Fi點(diǎn)存在安全隱患。曾有一份抽樣安全調(diào)查顯示，全國(guó)8萬(wàn)個(gè)公共Wi-Fi中有21%存在風(fēng)險(xiǎn)。
　　
　　不過(guò)安全專(zhuān)家們對(duì)其中危害很少做原理性質(zhì)的說(shuō)明，大家只能知其然而不知其所以然。我們知道連上公共Wi-Fi后可能會(huì)被盜取各種賬號(hào)，但為什么會(huì)被盜號(hào)卻不太清楚。
　　
　　為什么呢？嗯，這就是一篇原理性質(zhì)的講解。下面TG-NET工程師就為您解答。通常來(lái)說(shuō)，連上公共Wi-Fi后，我們可能面臨兩類(lèi)攻擊。
　　
　　內(nèi)網(wǎng)jianting攻擊
　　
　　簡(jiǎn)單的說(shuō)，就是在一個(gè)共同的網(wǎng)絡(luò)內(nèi)，攻擊者可以很容易地竊聽(tīng)你上網(wǎng)的內(nèi)容，包括網(wǎng)盤(pán)上傳的照片、剛發(fā)的微博等等。
　　
　　有兩種方式，一種ARP攻擊，用過(guò)幾年前只有1Mb、2Mb寬帶的人會(huì)比較熟悉，有人開(kāi)迅雷下載了就馬上用p2p限速軟件，這種軟件就是用的ARP攻擊。它在你的手機(jī)/電腦和路由之間偽造成中轉(zhuǎn)站，不但可以看到所有經(jīng)過(guò)流量，還能對(duì)流量進(jìn)行限速。
　　
　　混雜模式j(luò)ianting
　　
　　另外一種是網(wǎng)卡的混雜模式監(jiān)聽(tīng)，它可以收到網(wǎng)內(nèi)所有的廣播流量。這個(gè)有條件限制，就是網(wǎng)絡(luò)內(nèi)有在廣播的設(shè)備，比如HUB。大家在公司或網(wǎng)吧經(jīng)?？梢钥吹紿UB，一個(gè)“一條網(wǎng)線進(jìn)，幾十條網(wǎng)線出”的擴(kuò)充設(shè)備。如果這個(gè)公共Wi-Fi內(nèi)有這類(lèi)設(shè)施，通常你上網(wǎng)的流量可能可以被竊聽(tīng)。
　　
　　針對(duì)以上兩種方式的攻擊，TG-NET工程師專(zhuān)程做出了“RE”系列路由器的功能防護(hù)。
　　
　　看TG-NET專(zhuān)家如何破解
　　
　　我們的“攻城獅”給大家?guī)?lái)了技術(shù)操作，給使用過(guò)或者即將使用我們產(chǎn)品的用戶(hù)，帶來(lái)一個(gè)關(guān)于TG路由器的安全管理。
　　
　　一、ARP攻擊解析
　　
　　ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。
　　
　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
　　
　　TG-NET路由器對(duì)此攻擊做了有效的防御措施
　　
　　1.ARP綁定
　　
　　ARP綁定，可以有效的防止內(nèi)網(wǎng)的攻擊，更有效的管理內(nèi)網(wǎng)電腦。只允許綁定的MAC和ip通過(guò)：只有一一綁定的ip才能正常通過(guò)?？梢渣c(diǎn)擊ARP掃描添加綁定列表；也可以手動(dòng)批量綁定，如下圖：
　　
　　之后可在設(shè)置下勾選只允許綁定的ip/mac通過(guò)；zui后點(diǎn)擊保存&應(yīng)用：完成此處配置且立即生效。如下圖所示：
　　
　　2.ARP欺騙
　　
　　在局域網(wǎng)中，黑客經(jīng)過(guò)收到的ARPRequest廣播包，能夠偷聽(tīng)到其它節(jié)點(diǎn)的(IP,MAC)地址,黑客就偽裝為A，告訴B(受害者)一個(gè)假地址，使得B在發(fā)送給A的數(shù)據(jù)包都被黑客截取，而A,B渾然不知。
　　
　　冒充網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)PC，使內(nèi)網(wǎng)PC掉線。
　　
　　冒充內(nèi)網(wǎng)PC，欺騙網(wǎng)關(guān)，結(jié)果也是內(nèi)網(wǎng)PC掉線。
　　
　　針對(duì)ARP欺騙RE路由器網(wǎng)絡(luò)安全設(shè)置下有ARP綁定，ARP安全設(shè)置，在ARP安全設(shè)置下勾選免費(fèi)arp發(fā)送，ARP攻擊防御，ARP欺騙檢測(cè)功能。在web管理界面下可以直接設(shè)置，如下圖所示：

　　
　　二、多重設(shè)置防流量qieting
　　
　　RE500和WR100路由器支持無(wú)線上網(wǎng)，其無(wú)線網(wǎng)絡(luò)設(shè)置如下：
　　
　　無(wú)線加密，設(shè)置加密類(lèi)型和無(wú)線網(wǎng)絡(luò)的密碼
　　
　　加密類(lèi)型：支持WEP、WPA-ESP、WPA2-ESP、WPA-ESP/WPA2-ESP多種類(lèi)型
　　
　　WEP是WiredEquivalentPrivacy的簡(jiǎn)稱(chēng)，有線等效保密（WEP）協(xié)議是對(duì)在兩臺(tái)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式，用以防止非法用戶(hù)竊聽(tīng)或侵入無(wú)線網(wǎng)絡(luò)。
　　
　　WPA全名為Wi-FiProtectedAccess，有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，是一種保護(hù)無(wú)線電腦網(wǎng)絡(luò)(Wi-Fi)安全的系統(tǒng)，它是應(yīng)研究者在前一代的系統(tǒng)有線等效加密（WEP）中找到的幾個(gè)嚴(yán)重的弱點(diǎn)而產(chǎn)生的。
　　
　　WPA2是經(jīng)由Wi-Fi聯(lián)盟驗(yàn)證過(guò)的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式。

　　
　　綁定的LAN接口：可根據(jù)你的無(wú)線接入的lan口做相應(yīng)的綁定。比如內(nèi)網(wǎng)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)是從lan2口接入，則可綁定為L(zhǎng)an2
　　
　　保存&應(yīng)用
　　
　　1、無(wú)線安全設(shè)置
　　
　　1、勾選隱藏SSID：可將無(wú)線網(wǎng)絡(luò)隱藏，防止未被*的用戶(hù)進(jìn)入本網(wǎng)絡(luò)出現(xiàn)蹭網(wǎng)情況。
　　
　　2、建議勾選隔離接入用戶(hù)：讓各個(gè)接入無(wú)線網(wǎng)絡(luò)的客戶(hù)端保持相互隔離，提供彼此間更加安全的接入，和防止病毒的傳播。
　　
　　3、設(shè)置zui大接入用戶(hù)數(shù)：可對(duì)無(wú)線接入用戶(hù)數(shù)進(jìn)行限制。
　　
　　4、設(shè)置MAC過(guò)濾，添加mac列表：僅允許列表內(nèi)的用戶(hù)上網(wǎng)，實(shí)現(xiàn)對(duì)接入用戶(hù)的上網(wǎng)控制；勾選禁用：則對(duì)接入用戶(hù)不做上網(wǎng)限制。

       客人網(wǎng)絡(luò)
　　
　　RE500和WR100路由器支持客人網(wǎng)絡(luò)模式，可選擇不加密，使外訪人員直接接入無(wú)線網(wǎng)
　　
　　建議勾選孤立客人網(wǎng)絡(luò)，禁止客人網(wǎng)絡(luò)的用戶(hù)與主網(wǎng)絡(luò)、有線網(wǎng)絡(luò)通信，保持主網(wǎng)絡(luò)與客人網(wǎng)絡(luò)間的隔離，可有效避免主網(wǎng)絡(luò)信息泄漏。
　　
　　為進(jìn)一步保證整個(gè)無(wú)線網(wǎng)絡(luò)的安全性可對(duì)路由器做以下設(shè)置
　　
　　1、白名單
　　
　　啟用白名單，可使添加的不受上網(wǎng)行為禁止的控制，在在線列表中可查看當(dāng)前狀態(tài)，是否手機(jī)登入都可以看見(jiàn)，如下圖
　　
　　2、過(guò)濾
　　
　　設(shè)置過(guò)濾可禁止內(nèi)網(wǎng)IP訪問(wèn)不良，以便防止訪問(wèn)不良后產(chǎn)生病毒在內(nèi)網(wǎng)傳播

　　
　　3、啟用防火墻規(guī)則
　　
　　設(shè)置防火墻規(guī)則可對(duì)內(nèi)網(wǎng)IP訪問(wèn)某網(wǎng)絡(luò)做控制。
　　
　　比如源IP組：辦公網(wǎng)ip地址組不允許訪問(wèn)目的IP組：財(cái)務(wù)ip地址組可設(shè)置入接口為源IP組的網(wǎng)絡(luò)接口，出接口可設(shè)置為目的IP組的網(wǎng)絡(luò)接口；協(xié)議為所有協(xié)議，動(dòng)作為禁止，可設(shè)優(yōu)先級(jí)為高，越高越優(yōu)先匹配