摘要：该文根据家庭无线网络的工作原理，探讨了基于无线路由器和交换机的家庭无线网络安全策略。

关键词：无线网络安全；路由器；交换机

中图分类号：TP392 文献标识码：A 文章编号：1009-3044（2018）29-0052-02

家庭网络安全主要从两个方面进行考虑，一是防止非法设备接入家庭网络，进而借助家庭网络连接互联网，二是保障家庭网络中存储文件的安全，防止非法浏览和复制[1]。当前，家庭无线网络一般都是采用Wifi方式，通过具有Wifi功能的无线网卡或者无线路由器来实现。根据硬件的功率不同，家庭无线网络的覆盖范围在90米至200米之间，这个范围已经超出了一般家庭的居住范围，为“蹭网”提供了可能，非法设備一旦“蹭网”成功，就进入了家庭网络，除了占用上网资源外，还可能非法浏览和复制家庭网络当中的共享文档资料，造成隐私泄露。加之各类Wifi密码破解工具和分享工具的流行，家庭无线网络的安全问题日益凸显。本文根据家庭无线网络的工作原理，探讨了在复杂家庭网络需求情况下基于无线路由器和交换机的家庭无线网络的安全策略。

1 家庭无线网络的组建方式

1.1 单独组建的家庭无线网络

这种家庭无线网络由一个通过宽带拨号上网的无线路由器构成，在无线路由器覆盖的范围内，具有无线功能的所有设备，如电脑、手机、网络摄像头、智能电视、智能音箱都能够实现共享上网和共享文档互访，十分方便。在这种模式中，网络的入口（无线设备接入网络时的许可）和出口（已经接入的无线设备需要访问互联网的许可和访问网络内其他无线设备的许可）都是由无线路由器来管理的。很显然，在这种单独组建的家庭无线网络中，无线路由器是整个网络的核心，管理和设置网络安全措施都必须由无线路由器来完成。

1.2 通过有线网络组建的家庭无线网线

这种家庭无线网络是家庭有线网络的延伸和补充，扩展了有线网络的移动性和接入设备的灵活性，能很好地满足家庭中位置非固定的设备和移动设备的上网需要。在这种模式中，网络的入口包括有线设备的接入和无线设备的接入，有线设备的接入需要节点和网线，无线设备的接入只需要无线路由器的许可；网络的出口（即已经接入的无线设备访问互联网的许可）由无线路由器和有线路由器共同管理，整个网络当中的设备相互访问由其所在的路由器管理和路由。由此可知，无论是有线路由器还是无线路由器都是整个网络的核心，管理和设置网络安全措施必须结合有线路由器和无线路由器来完成。

2 路由器和交换机在网络中的作用比较

对于简单的家庭无线网络来说，如果仅仅是实现简单的电脑上网、手机wifi，那么使用无线路由器就可以了。但是，如果家庭物理空间较大，网络中需要接入的设备除了电脑、手机，还包括智能电视、家庭影院、NAS网络存储器等，而且设备之间需要资源共享时，为了保障各种设备的联网需求以及网络中存储资源的安全，需要引入一台交换机，以建立多个独立的网段，从而充分利用路由器和交换机的功能来进一步保障普通家庭的网络安全的。

目前网络采用的是开放式通信系统互联参考模型（即OSI参考模型），它是国际标准化组织提出的一种试图让各种计算机在世界范围内互连为网络的标准框架。OSI模型共有7层结构，从上到下分别是：应用层7、表示层6、会话层5、传输层4、网络层3、数据链路层2、物理层1。其中高层（即7、6、5、4四层）定义了应用程序的功能，底层（即3、2、1三层）定义了面向通过网络的端到端的数据流。

路由器和交换机处于不同的网络层次，功能和作用完全不一样（表1）。总的来说，路由器的功能是实现网间的路由转发访问，交换机则是扩展网内的网络接口功能，扩大局域网端口，增加接入点。根据路由器和交换机的不同特点和各自具有的功能，就可以设置家庭无线网络的具体安全策略了。

3 家庭无线网络中基于无线路由器和交换机的安全策略

3.1 设备的选用

选择无线路由器时，路由器要具有WPS、VLAN、ACL、MAC过滤、上网管理等网络管理功能，同时注意不需要太大的功耗，功耗大发热也大，家庭当中一般没有专门的散热装置，时间一长容易损坏。路由器的无线AP功能要能划分3个SSID信号以上，现在家庭当中的无线设备越来越多，选用支持802.11AC wave2无线传输协议的设备更好，这种协议的优势是支持多设备数据并发的处理功能，保障多设备的上网速度和互访时的数据传输速度。交换机可选用二层交换机，具备VLAN功能。VLAN即虚拟局域网，其作用是将一组逻辑上的设备和用户组织起来，使这些设备和用户不受物理位置的限制，相互之间的通信如同在同一个网段中一样，在家庭无线网络当中利用这一功能可以将接入网络中的多种设备进行分类，以便实施个性化安全策略，达到提高网络安全性能的目的。

3.2用户资源权限配置策略

利用无线路由器的3个SSID信号，分别接入交换机的3个不同的VLAN网段，每个VLAN网段相互隔离，独立管理，根据具体需要为每个VLAN网段制定不同的安全管理措施。

家庭无线网络的用户大致分为三类：一是管理者，负责制定不同用户的安全策略；二是家庭成员，属于固定用户；三是来访的亲戚朋友，属于临时用户。家庭网络当中的资源大致分为上网、家庭NAS（网络附属存储）上的各类数据共享、DHCP服务和MAC地址绑定服务等四大方面。每类用户对家庭网络资源的需求是不一样的（表2）。根据表2的权限分配，很容易配置好家庭无线网络的安全策略。管理者用户，使用路由器的SSID1信号，接入到交换机的VLAN1网段，设置好信号名称和密码后，选择隐藏选项将该信号隐藏起来，权限为全部四项，以方便对网络的全面管理。家庭固定用户，使用路由器的SSID2信号，接入到交换机的VLAN2网段。如果家庭用户的移动设备相对固定，可以将MAC服务赋予给家庭用户以增强安全性。临时用户只需赋予上网和DHCP服务两项权利就行，仅可以通过VLAN3上网，与VLAN1和VLAN2两个网段完全隔离，不共享家庭NAS数据，以保证家庭共享数据的安全。对于临时用户，还可以设置流量控制和有限时长的验证码上网两项限制。流量控制防止临时用户使用BT下载之类下载大容量数据，拖慢整个网速；有限时长的验证码上网可以设置为12个小时，过了时效就需要重新连接。

3.3 密码策略

在无线路由器和交换机的设置过程中，合理设置密码的类型和长度可以有效提高家庭网络的安全性。根据LockDown.com公布的暴力破解密码测试数据，密码被暴力破解的时间表如表3[2]。

可以看出，密码不要单纯用英文单词或生日，也不能用姓名加生日的方式，以防止密码字典破解法。为了增强网络的安全性，密码的形式最好采用“数字+大小写字母混杂+标点”的方式，采用多种字符、大小写、特殊字符等来增加密码强度，且密码长度至少超过8位。

参考文献：

[1] 方明英.家庭网络安全初探[J].数字技术与应用，2018（1）：187-188.

[2] 密码被暴力破解时间表全面披露. https：//wenku.baidu.com/view/74fc1a91a300a6c30d229f24.html.[2018-05-08].

【通联编辑：代影】