SOHO一词意为Small Office Home Office，早已超脱了小型办公室、家庭办公室的原有含义，更代表了自由职业或自由职业者自由、开放、弹性而又高效的工作方式。网络基础建设的快速成长使得互联网在各个领域的广泛运用，电脑、传真机、打印机等办公设备的普及，SOHO成为越来越多的人可以尝试的一种工作方式，与此同时，无线网络也进入高速发展阶段，它"无处不在"、"随时随地"接入互联网的特点也与SOHO一族自由、开放的精神相匹配，越来越受到欢迎和关注，但"自由"幅度越大，也则意味着需要承担的风险越大，相对普通工作来说，SOHO办公更需要做足资料、文件的安全保密工作，防止被非法窃取。

　　无线网络的最大的优势之一在于其可扩展性，利用无线宽带路由器提供的无线数据传输控制功能，脱离了原有通过网线连接传输数据的模式，不再局限于端口数量等条件的限制以及网线长度的束缚，多个节点可随意加入到局域网中共享文件与信息，进入到网络内部的黑客最为可怕，微软系列操作系统对于局域网访问审核以简单和易用为准，如提供了默认共享等，方便文件共享，如果由于没有一个完整的接入控制措施导致任意接入，后果将不堪设想。因此有必要做一个全面和不易被攻破的安全设置策略。

　　常用的控制方式有WEP加密、SSID隐藏、MAC地址过滤等。在做所有的设置之前首先请修改无线带宽路由器的默认密码，否则如果有人可以物理接触到无线路由的时候，后文提到的相关设置将形同虚设。

　　一、修改无线带宽路由器默认密码

　　在与Internet接入设备连接之后，电脑可以先通过网线与无线带宽路由器连接来做相关配置，没有配置过的无线路由器还不能适应要求，一般主流的适合家庭或SOHO使用的无线路由器会有4个LAN端口，通过网线连接后，无线路由DHCP服务会分配计算机一个IP，此时计算机与无线路由建立了通信，参照说明书中在浏览器中访问路由器IP，通常为192.168.0.1或192.168.1.1。

　　输入默认用户名和密码（一般都为"admin"）管理界面被打开，一般路由器会提示修改默认密码，如果没有提示，则所做的第一步就是找到修改密码的选项把默认密码改掉，建议改为位数绝对够长，大小写字母、数字与特殊字符混合的强密码，防止恶意用户进入路由器管理界面做出任意修改。另可更改无线路由器的IP地址，改为一个不可猜测的较为隐蔽的地址，如192.168.0.56，防止用户手工探测。

　　跳过与互联网连接方式的设置和其它的部分，我们专门来看安全接入相关的知识。

　　二、SSID广播隐藏及WEP加密

　　SSID广播隐藏及WEP加密是无线接入安全中非常重要的两项设置，SSID是服务设置标志号，是用于无线接入时指向的一个名称，如我们在密集公司的写字楼里或家里常会搜到某某公司某某邻居的缩写或相关标志信息的无线列表，广播隐藏是把这个SSID名称关闭，使得具有无线功能的设备无法搜索到可供连接的无线列表，从而无法获知无线路由器的存在。在隐藏SSID广播之前，最好先给SSID改一个复杂一些的名称。

　　WEP是有线等效保密，它采用静态的保密密钥，各个接入终端使用相同的WEP密钥访问无线网络，当加密机制功能启用，客户端要尝试连接上路由器时，路由器会发出一个甄别的包给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。

　　简单地说WEP密码是路由器要求电脑加入网络时提供的一个密码，开启网络大门的一把钥匙，如果电脑用户不知道这一密码，则会遭到拒绝访问。防止未授权的用户访问网络。除此之外，WEP 加密算法也对数据进行加密，防止数据被攻击者窃听和防止数据被攻击者中途恶意纂改或伪造等。

　　如图所示，以D-Link DI-624+A的设置为例来说明这两项的设置方法。

　　在无线网络ID（SSID）框中输入SSID名称，笔者在这里输入的是"hello188"。上面无线端的"激活"与"关闭"则为控制SSID广播的显示与隐藏，默认激活状态下通过电脑的无线搜索功能可搜索到"hello188"这一名称，如果选择关闭，则不会被搜到，但这一广播仍存在，我们需要在用户电脑上手工输入这一名称。

　　信道默认为６，如果同一范围内无线路由器很多且都采用了默认信道可能会产生一定的干扰，为保证网络稳定建议更改信道为其它值。

　　接着WEP安全的设置，安全方式中选择"WBP"方式，笔者选择了64Bit方式加密，需要设置 10位密码，另可选128Bit加密，128Bit数据加密会加重路由器负荷，如果仅为防接入考虑，64Bit需要的10位密码已基本够用。128Bit需要输入26位密码。

　　三、DHCP服务设置

　　DHCP动态IP分配策略可以有两种设置方式，一种为普通开启方式，提供了WEP密码的计算机在经过路由器验证成功后，路由器会为其分配一个有效内网IP地址。可设置这一范围，建议根据节点数量设置相符范围，不要有多余IP数量分配，这样在全部客户端存在于网络中时，路由器不会多余分配IP给试图要进入网络范围的计算机，一定程度上可以防止被非法接入。

　　另外一种为固定IP绑定，可以为MAC地址绑定一个固定的IP地址，在关闭上述动态方式分配IP后，固定IP绑定更为一种安全和稳定的方法，不会产生IP冲突，同时由于关闭了动态分配，在没有出现在绑定列表中MAC地址无论如何也是不能获得有效IP，最直接有效地避免了非法用户获取网络资源。可以利用DHCP客户端克隆功能轻易地设置MAC地址与固定内网IP的绑定。此方法的弊端是需要在客户端电脑上设置相对应的IP，如果数量大或是客户端流动性比较强，常有新的计算机加入，路由器和客户端的设置都会非常繁琐。

　　四、MAC地址过滤

　　做完了上述几步操作，事实上无线路由器已经坚若堡垒，基本上可以杜绝非授权用户非法进入，但慎重起见，我们再通过MAC地址过滤手段提供一个更为苛刻的安全设置。

　　MAC地址过滤以无线网卡的MAC地址作为是否可以接入的过滤机制。每个无线工作站网卡都由唯一的物理地址标示。可以通过在无线路由器中设定一组允许访问的白名单或不允许访问的MAC地址的黑名单列表，而实现路由器的访问过滤。

　　如图所示，笔者在MAC地址过滤列表中，只允许了两个MAC地址可以访问网络。在启用了这个功能的情况下，除此以外的任何MAC地址无法活跃于网络中，这样在最大程度上保护了网络不被未授权访问。

　　经过如上设置，普通级别的用户将无法使用我们的无线网络资源，也不会渗入到网络内部非法获取到计算机上重要的资料。SOHO一族在充分利用无线网络自由便捷的同时，也应该重视无线网络安全应用的设置，以保证营造一个愉快、高效的工作环境。