随着Wi-Fi无线网络技术、产品和应用的普及和发展，越来越多的家庭和公共场所都需要为客人提供互联网接入服务。如果直接将私有的无线Wi-Fi密码共享出去，一来会有隐私暴露，客人手机可能有Wi-Fi共享软件、木马、病毒等，造成Wi-Fi密码泄露和病毒在内部网络的传播。二来可能会有安全隐患，客人的手机、电脑等终端直接接入内网，存在内网路由器、电脑等被攻击的风险。如何既能提供给客人便捷的互联网接入服务，同时又保证安全是一个现实的问题。

　　幸运的是，目前很多的中高端Wi-Fi无线路由器都内置、或者可以配置访客网络功能，方便我们对访客使用Wi-Fi进行安全管理。接下来我们就用ImmortalWrt/OpenWrt系统来演示如何在无线路由器系统中配置访客网络，从而实现对访客网络的管理。

　　创建访客网络无线Wi-Fi 接入点-- 设置访客网络接口及DHCP -- 配置防火墙 -- 设置防火墙安全措施。

　　从浏览器登录入OpenWrt后台， 点击 “网络” -- “无线G访客网络接入点。如下所示：

　　进入2.4G访客无线网络接口设置页面， 记住自动生成的2.4G无线，后面会用到。设置SSID为“Guest-2.4G”，认证模式选WPA2PSK，设置一个可以公开出去的Wi-Fi密码1234567890，勾选“启用AP隔离”，其他保持默认，应用&保存，退出。

　　同样的，进入5G访客无线网络接口设置页面， 记住自动生成的5G无线，后面也会用到。设置SSID为“Guest-5G”，认证模式选WPA2PSK，设置一个可以公开出去的Wi-Fi密码1234567890，勾选“启用AP隔离”，其他保持默认，应用&保存，退出。

　　进入“创建新接口”页面，新接口名称：Guest，新接口的协议选“静态地址”，勾选“在多个接口上创建桥接”，勾选接口列表里的ra1和rai1（就是上一步骤里创建的无线接口名字），提交进入下一步。

　　接口——GUEST——基本设置页面，协议选静态地址，IPv4地址用事先规划好的192.168.4.1，字网掩码255.255.255.0，网关192.168.4.1，自定义DNS服务器填入宽带运营商提供的DNS服务器IP地址。

　　高级设置页面，勾选“开机自动运行”、“使用内置的IPv6管理”、“强制链路”这3项，其他保持默认

　　DHCP服务器——IPv6设置，路由通告服务、DHCPv6服务、NDP代理均为混合模式，DHCPv6模式为“无状态+有准确无误”，保存应用，返回到接口总览。进入下一步骤。

　　防火墙——常规设置，名称guest，入站数据：拒绝，出站数据：接受，转发：拒绝。如果访客终端不能上网，请尝试将这3项调整为“接受”。涵盖的网络：勾选guest接口。

　　4）禁止访客网络访问路由器的端口： 21（FTP）、22（SSH）、23（Telnet）、 80(HTTP)、 443(HTTPS)、 137-139（网络共享和旧版的SMB服务）、445（新版的SMB服务）、455（勒索病毒常用的端口），如还有其他安全需要求自行设置。

　　D、创建第四条规则，禁止访客网络访问路由器的端口： 21（FTP）、22（SSH）、23（Telnet）、 80(HTTP)、 443(HTTPS)、 137-139（网络共享和旧版的SMB服务）、445（新版的SMB服务）代理服务器ip过滤、455（勒索病毒常用的端口），如还有其他安全需要求的参照自行设置。

　　2）访客网络不能访问路由器的telnet、ssh、FTP、网络共享、web管理页面等，也在一定程度上避免了勒索病毒的传播。

　　3）如果路由器上安装了$$(不可描述)等， 需要在$$中将guest添加为local区域。返回搜狐，查看更多