我們經常會聽到來自安全專家的警告，公共Wi-Fi不安全，請謹慎連接。
　　
　　這些警告確實都是正確的，有非常大比例的公共Wi-Fi點存在安全隱患。曾有一份抽樣安全調查顯示，全國8萬個公共Wi-Fi中有21%存在風險。
　　
　　不過安全專家們對其中危害很少做原理性質的說明，大家只能知其然而不知其所以然。我們知道連上公共Wi-Fi后可能會被盜取各種賬號，但為什么會被盜號卻不太清楚。
　　
　　為什么呢？嗯，這就是一篇原理性質的講解。下面TG-NET工程師就為您解答。通常來說，連上公共Wi-Fi后，我們可能面臨兩類攻擊。
　　
　　內網jianting攻擊
　　
　　簡單的說，就是在一個共同的網絡內，攻擊者可以很容易地竊聽你上網的內容，包括網盤上傳的照片、剛發的微博等等。
　　
　　有兩種方式，一種ARP攻擊，用過幾年前只有1Mb、2Mb寬帶的人會比較熟悉，有人開迅雷下載了就馬上用p2p限速軟件，這種軟件就是用的ARP攻擊。它在你的手機/電腦和路由之間偽造成中轉站，不但可以看到所有經過流量，還能對流量進行限速。
　　
　　混雜模式jianting
　　
　　另外一種是網卡的混雜模式監聽，它可以收到網內所有的廣播流量。這個有條件限制，就是網絡內有在廣播的設備，比如HUB。大家在公司或網吧經常可以看到HUB，一個“一條網線進，幾十條網線出”的擴充設備。如果這個公共Wi-Fi內有這類設施，通常你上網的流量可能可以被竊聽。
　　
　　針對以上兩種方式的攻擊，TG-NET工程師專程做出了“RE”系列路由器的功能防護。
　　
　　看TG-NET專家如何破解
　　
　　我們的“攻城獅”給大家帶來了技術操作，給使用過或者即將使用我們產品的用戶，帶來一個關于TG路由器的安全管理。
　　
　　一、ARP攻擊解析
　　
　　ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。
　　
　　ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。
　　
　　TG-NET路由器對此攻擊做了有效的防御措施
　　
　　1.ARP綁定
　　
　　ARP綁定，可以有效的防止內網的攻擊，更有效的管理內網電腦。只允許綁定的MAC和ip通過：只有一一綁定的ip才能正常通過。可以點擊ARP掃描添加綁定列表；也可以手動批量綁定，如下圖：
　　
　　之后可在設置下勾選只允許綁定的ip/mac通過；zui后點擊保存&應用：完成此處配置且立即生效。如下圖所示：
　　
　　2.ARP欺騙
　　
　　在局域網中，黑客經過收到的ARPRequest廣播包，能夠偷聽到其它節點的(IP,MAC)地址,黑客就偽裝為A，告訴B(受害者)一個假地址，使得B在發送給A的數據包都被黑客截取，而A,B渾然不知。
　　
　　冒充網關，欺騙內網PC，使內網PC掉線。
　　
　　冒充內網PC，欺騙網關，結果也是內網PC掉線。
　　
　　針對ARP欺騙RE路由器網絡安全設置下有ARP綁定，ARP安全設置，在ARP安全設置下勾選免費arp發送，ARP攻擊防御，ARP欺騙檢測功能。在web管理界面下可以直接設置，如下圖所示：

　　
　　二、多重設置防流量qieting
　　
　　RE500和WR100路由器支持無線上網，其無線網絡設置如下：
　　
　　無線加密，設置加密類型和無線網絡的密碼
　　
　　加密類型：支持WEP、WPA-ESP、WPA2-ESP、WPA-ESP/WPA2-ESP多種類型
　　
　　WEP是WiredEquivalentPrivacy的簡稱，有線等效保密（WEP）協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。
　　
　　WPA全名為Wi-FiProtectedAccess，有WPA和WPA2兩個標準，是一種保護無線電腦網絡(Wi-Fi)安全的系統，它是應研究者在前一代的系統有線等效加密（WEP）中找到的幾個嚴重的弱點而產生的。
　　
　　WPA2是經由Wi-Fi聯盟驗證過的IEEE802.11i標準的認證形式。

　　
　　綁定的LAN接口：可根據你的無線接入的lan口做相應的綁定。比如內網無線網絡數據是從lan2口接入，則可綁定為Lan2
　　
　　保存&應用
　　
　　1、無線安全設置
　　
　　1、勾選隱藏SSID：可將無線網絡隱藏，防止未被*的用戶進入本網絡出現蹭網情況。
　　
　　2、建議勾選隔離接入用戶：讓各個接入無線網絡的客戶端保持相互隔離，提供彼此間更加安全的接入，和防止病毒的傳播。
　　
　　3、設置zui大接入用戶數：可對無線接入用戶數進行限制。
　　
　　4、設置MAC過濾，添加mac列表：僅允許列表內的用戶上網，實現對接入用戶的上網控制；勾選禁用：則對接入用戶不做上網限制。

       客人網絡
　　
　　RE500和WR100路由器支持客人網絡模式，可選擇不加密，使外訪人員直接接入無線網
　　
　　建議勾選孤立客人網絡，禁止客人網絡的用戶與主網絡、有線網絡通信，保持主網絡與客人網絡間的隔離，可有效避免主網絡信息泄漏。
　　
　　為進一步保證整個無線網絡的安全性可對路由器做以下設置
　　
　　1、白名單
　　
　　啟用白名單，可使添加的不受上網行為禁止的控制，在在線列表中可查看當前狀態，是否手機登入都可以看見，如下圖
　　
　　2、過濾
　　
　　設置過濾可禁止內網IP訪問不良，以便防止訪問不良后產生病毒在內網傳播

　　
　　3、啟用防火墻規則
　　
　　設置防火墻規則可對內網IP訪問某網絡做控制。
　　
　　比如源IP組：辦公網ip地址組不允許訪問目的IP組：財務ip地址組可設置入接口為源IP組的網絡接口，出接口可設置為目的IP組的網絡接口；協議為所有協議，動作為禁止，可設優先級為高，越高越優先匹配