家庭網絡安全初探

方明英

摘要：隨著家庭網絡應用越來越普遍，其安全性問題也越發突顯。家庭網絡的安全需要從兩個方面進行考慮，一是防止非法設備接入家庭網絡，進而借助家庭網絡聯接互聯網，二是保障家庭網絡中存儲文件的安全，防止非法瀏覽和復制。本文從目前常見的三種家庭網絡組網模式探討家庭網絡的安全隱患和應該采取的安全措施。

關鍵詞：家庭網絡；無線網絡；網絡安全

中圖分類號：TN925 文獻標識碼：A 文章編號：1007-9416（2018）01-0187-02

家庭網絡（Home Network）已經從簡單的計算機設備共享上網，發展為家庭控制網絡和多媒體信息網絡于一體的家庭信息化平臺，是在家庭范圍內實現信息設備、通信設備、監控設備、娛樂設備等互連互通和管理，以及數據和多媒體信息共享的系統。隨著網絡技術的發展和制造技術與計算機技術的高度融合，接入家庭網絡的設備越來越多，家庭網絡安全問題就顯得越來越重要，本文試圖從目前常見的三種家庭網絡組網形式探討家庭網絡的安全隱患和應該采取的安全措施。

1 筆記本電腦和智能手機共享上網模式的家庭網絡

這是一種最簡單最常用的家庭網絡模式。家庭筆記本電腦通常用ADSL寬帶撥號或者使用無線網卡接入無線網絡以實現上網。實現上網后，在筆記本電腦上建立Wifi熱點（如360免費Wifi或者其它建立Wifi熱點的軟件），智能手機通過筆記本的Wifi熱點實現共享上網。

這種模式的網絡安全從Wifi熱點軟件并結合殺毒軟件工具套件兩個方面進行設置，以保障網絡安全。首先，Wifi熱點軟件的密碼設置應該采取數字+字母+符號的方式，字母可以大小寫結合，增強密碼的復雜性，密碼長度超過6位，增加暴力破解難度。其次，充分利用殺毒軟件工具套件的相關設置來阻止非常接入，如360安全衛士的流量防火墻和路由器衛士，能夠查看當前正在接入的上網設備并且可以設置黑名單，防止未經許可的設備再次接入。

2 通過路由器實現共享上網模式的家庭網絡

基于路由器的共享上網模式（圖1）能夠滿足一般家庭多個房間（不同樓層）、多種上網設備（包括有線、無線設備）同時共享上網的需求。目前中小型賓館大都是采用這種網絡拓撲結構，是一種被廣泛使用的共享上網模式。這種模式的網絡安全必須從拓撲結構中的路由器著手，充分利用路由器的功能來提供安全保障。

2.1 修改路由器的默認管理帳號

路由器提供了一個管理工具，用來設置設備的網絡地址以及帳號等信息。該管理工具設有登陸界面，輸入正確的用戶名和密碼才能進入管理頁面，以保證只有設備擁有者才能使用這個管理工具。在設備生產時，制造商給每一個設備設置的默認用戶名和密碼都是一樣的。很多家庭用戶購買這些設備后，一般都不會去修改設備默認的管理帳號，這就使得黑客們有機可乘。他們只要通過簡單的掃描工具就能找出這些設備的地址并嘗試用默認的管理帳號去登陸管理頁面，如果成功則可取得路由器的控制權。因此，家庭用戶應該采用復雜密碼策略主動修改管理賬號。

2.2 使用路由器的MAC地址過濾功能

網絡設備（無論是有線還是無線）都有一個獨一無二的標識稱之為物理地址或MAC地址，而路由器會跟蹤所有經過它的數據包源的MAC地址，通過建立準許通過MAC地址列表，來防止非法設備接入網絡。開啟路由器的MAC地址過濾功能并選擇缺省過濾規則，同時開啟“防火墻”功能，這時MAC地址過濾管理所有通過該路由器接入網絡的有線或者無線設備。也可以根據路由器的MAC地址過濾功能進行靈活設置，以達到最佳的網絡安全需要。

2.3 采用網絡設備靜態IP策略

DHCP服務容易建立并且使用十分方便，很多家庭網絡都喜歡使用DHCP服務來為網絡中的接入設備動態分配IP。由于是自動為接入設備動態分配IP，其它非法接入網絡的設備也很容易通過DHCP服務來得到一個合法的IP，網絡安全就得不到保障。因此，建議采用網絡設備靜態IP策略，即給每一個合法網絡設備指定一個固定的IP地址。靜態IP策略可以節省設備尋找IP的時間，不占用網絡帶寬，通過在路由器上設定允許接入設備的IP地址列表，從而有效地防止非法入侵，提高網絡安全。

2.4 使用無線網絡加密策略

無線網絡通過無線路由器、無線網卡等網絡設備實現，具有開放性的特點。無線網絡設備因其接入簡單、使用靈活和維護方便等特點，在實際中應用越來越廣泛。無線路由器都帶有加密傳送數據模式，目前常用的加密方式有WEP、WPA、WPA2和WPA+WPA2。WEP是Wired Equivalent Privacy（有線等效保密）的英文縮寫，是一種最老也是最不安全的加密方式，“密碼分析學家已經找出 WEP 好幾個弱點，現在已經出現了100%的破解方法”[1]，不建議采用。WPA/WPA2是WEP加密的改進版，“這種加密方式目前也逐步被黑客破解”[2]。考慮到設備兼容性，有WPA+WPA2混合加密選項的話一般選擇此項，加密性能好，兼容性也廣。

2.5 修改服務區標識符（SSID）策略

無線網絡都有一個服務區標識符（SSID），無線網絡設備加入該網絡時都要有一個相同的SSID，否則就會被拒絕。無線路由器在生產時設置了一個默認的相同的服務區標識符SSID。因此，如果只使用默認SSID的話，那么任何無線網線設備都可以進入該網絡，這就極大地增加了網絡風險，所以組建無線網絡時應該修改服務區標識符（SSID）。

2.6 啟用禁止SSID廣播策略

無線路由器具有服務區標識符廣播（即SSID廣播）功能，該功能在賓館、酒店、機場等公眾場合十分有用。SSID廣播功能開啟后，無線路由設備會自動向其有效范圍內的無線網絡設備廣播自己的SSID號，無線網絡設備接收到這個SSID號后，利用這個SSID號就可以使用這個網絡，十分方便地滿足經常變動的無線網絡設備接入。很顯然這個功能卻存在極大的安全隱患，為想進入該網絡的非法用戶打開了大門。在商業網絡里，為了滿足經常變動的無線網絡設備接入網絡的需要，通過犧牲網絡安全來開啟這項功能。但是，家庭無線網絡中無線網絡設備相對固定，關閉此項功能可以提高家庭網絡的安全性。

2.7 給無線路由器確定一個最佳安放位置

無線路由器是通過無線電波的形式傳播數據的，有一個有效數據傳遞范圍。如果覆蓋范圍遠遠超出家庭的范圍，就容易存在安全隱患：一是非法網絡設備很容易在有效數據傳遞范圍內接入家庭無線網絡；二是如果與其它的無線網絡（如鄰居）的有效數據傳遞范圍相重疊，會引起沖突，影響無線網絡數據傳輸速度和數據傳送的正確性。針對這種情況，可以為路由器設置一個不同于其它無線網絡的頻段（Channel）。根據家庭的具體情況和無線網絡設備經常使用的位置，選擇有效范圍合適的路由器和安放的位置，可以提高家庭網絡的安全性和穩定性。

3 具有存儲功能的家庭網絡

隨著數字技術的普及，家庭當中的數碼設備越來越多，隨身聽（MP3、MP4、MP5）、數碼相機、數碼攝像機、數碼學習機、數碼播放設備（VCD、DVD、EVD）等等，需要存儲的數字文件也越來越多，CD盤、DVD盤和移動硬盤等存儲設備遠遠不能滿足需要，且查詢和使用也不方便。在這一需求背景下，具有存儲功能的家庭網絡結構就應運而生了，特別是網絡攝像頭（WEB CAMERA）的廣泛使用而暴露出來的安全問題，應該引起重視。

網絡攝像頭是傳統攝像機與網絡視頻技術相結合的產物，通常有三種存儲方式：一是攝像頭本身的SD卡，這種方式安全，但容量小，在存儲卡容量用盡時，需要選擇覆蓋此前內容或是停止錄制，使用不方便；二是采用云存儲，這種方式借助云存儲自身固有的功能，使用十分方便，PC、移動電腦和智能手機等設備都可以隨時查看存儲內容，缺點是不安全，極容易造成隱私視頻泄露并且有的使用需要付費；三是采用NAS（Network Attached Storage，即網絡附屬存儲），目前不少路由器自帶存儲設備（如小米路由器），將前述第二種家庭網絡結構拓撲圖當中的路由器換成自帶存儲設備的路由器，即構成了具有存儲功能的家庭網絡結構。

采用NAS存儲方式，存儲易擴展，安全有保障，使用也十分方便。從安全的角度考慮，筆者最為推薦這種存儲方式。以小米路由器為例，NAS存儲方式至少有三種方法可以使PC、移動電腦和智能手機等設備隨時查看存儲內容：

（1）在PC、移動電腦和智能手機上安裝小米官方提供的路由器客戶端，利用客戶端訪問NAS存儲器。客戶端提供了極其簡單的操作方式，界面很人性化，就像操作電腦一樣簡單、方便。

（2）利用小米路由器提供的QQ綁定功能，在路由器上安裝QQ（需申請一個新的QQ號），并設定文件查看和共享功能，然后在PC、移動電腦和智能手機上運行自己的QQ，連接路由器上的QQ，就可以直接查看最近上傳的文件或者是全部文件。

（3）利用第三方遠程管理軟件，如遠程監控軟件TeamViewer、協通XT800免費遠程控制軟件、掌控局域網監控軟件等直接查看NAS存儲器上的文件。

4 結語

總的來說，家庭網絡安全主要從兩個方面進行考慮，一是防止非法設備接入家庭網絡，進而借助家庭網絡聯接互聯網，二是保障家庭網絡中存儲文件的安全，防止非法瀏覽和復制。在信息社會，家庭網絡安全是信息安全的重要組成部份，與每個人的生活息息相關，必須引起高度重視。

參考文獻

[1]李文堅.WiFi家庭網絡的安全防范[J].佳木斯職業學院學報，2017，（11）：399-402+404.

[2]沈祥修，李永忠.無線路由器安全性研究與優化[J].通信技術，2018，（1）：195-199.