不管您在 AP 上做什么，我相信我可以相当肯定地说，您会在某个时候发现您的无线数据正在“墙外”广播。

首先，您必须了解您的 AP 不是您家庭网络中唯一的无线发射器。您连接到 AP 的所有无线客户端也在传输，并且许多可能无法手动调整其功率。一些笔记本电脑和台式机的适配器可能有这个选项，但可能不是全部。如果您决定将任何游戏机、智能手机或其他此类专用设备放在您的无线网络上，它们也可能缺乏此功能。其中许多可能会在某一点或另一处靠近或非常靠近您的一堵墙，这实际上保证了信号泄漏，无论强度如何 - 毕竟，几乎所有客户端设备都是全向发射器。

其次，如果您正试图防御真正的战争驱动者或专门的威胁，那么您网络的信号输出对他们来说实际上并不重要。让他们能够很好地监听您的流量的是一个高质量的接收器，这完全超出了您的控制范围。高增益定向天线很容易购买或自制，并且通常可以用来从一个街区或更远的地方接收微弱的信号。唯一可以确保让他们听不到您的无线网络的方法是要么根本没有，要么将其放在法拉第房间内。

最后，使用信号衰减不会像对您一样给外部威胁带来太多不便。较低的信号意味着您的设备可能无法从网络环境的远端相互交谈或听到对方的声音，并且它们将无法与同一信道上或附近的相邻信号竞争。对于“单人间的连通性”，前者可能不是一个大问题，但在许多地方后者可能成为一个真正的问题。

绝对确定您没有在墙外广播任何实质性数据的唯一方法是坚持使用电线。如果您真的很担心信号泄漏，并且只需要覆盖一个房间，那么便利性的权衡就相当小了。

如果您真的热衷于使用无线网络，那么您可以采取以下措施来为您的网络提供一些实际的安全措施。

• 使用带有 AES 加密的 WPA2。这通常也称为 WPA2-CCMP 或 WPA2-RSNA。对于家庭网络，您可能会为此使用“个人”或“PSK”选项，可能称为“WPA2-Personal”或“WPA2-PSK”。如果您的网络更高级一些，并且您知道如何构建 RADIUS 服务器，那么您可能会寻找“WPA2-Enterprise”。
• 如果可以，请使用 RADIUS 服务器进行身份验证。不过，这仅适用于非常高级的用户。

• 创建强密码：

  • 12个字符或更多
  • 使用所有字符类型（大写、小写、数字、非字母数字）
  • 不要使用任何字典单词
  • 不要将密码与以下内容相关或类似：

    • 用户 ID
    • 网络的 SSID
    • 任何设备主机名
    • 彼此（没有两个用户密码应该相似，管理员帐户的密码不应与任何用户帐户相似）

• 如果您必须使用 PSK，请使其尽可能强大。 绝对最低要求是遵循上述密码指南。我个人的偏好是 63 个字符、随机生成的代码。

• 在您的 AP 上配置 MAC 地址过滤。虽然这是一个相对较小的障碍，但它也是一个相对轻松的障碍。唯一麻烦的是当您第一次将新设备加入网络时，或者在积累了大量访客设备后对路由器进行出厂重置。
• 如果可以选择，请将路由器的管理界面配置为仅使用 HTTPS。
• 如果可以，请禁止通过无线连接访问路由器的管理界面。这样，只有物理连接到路由器的人才能进行配置更改。
• 不使用无线设备（包括您的 AP）时，请关闭它们。这将限制您的 SSID、授权 MAC 地址和样本数据包（用于离线暴力攻击）对潜在攻击者的可用性 - 唯一听不见的信号是不存在的信号。
• 尽可能使用 HTTPS。这将为您的数据传输添加另一层加密，使您已经几乎不可能破解的信号变得更加不可能破解。
• 在无线时使用 VPN 服务。这将为您的数据传输添加另一层加密，使您已经不可能破解的信号需要上帝般的力量才能破解。

随着真正的问题得到解决，这是您实际问题的答案：

如果您想限制无线网络的一般访问覆盖范围，有几个选项。当然，这些不会阻止装备精良的战争司机或专门的攻击者，但它们是可用的。

您可以关闭 AP 以及笔记本电脑或台式机中大多数无线适配器的发射功率。您的 AP 可能会在其管理界面的某处有此选项，但此选项的可用性和位置会因设备而异。我不确定 Mac 或 *nix 系统有哪些可用选项，但对于 Windows，您可以在设备管理器的网络适配器属性页面的高级选项卡中找到该选项（如果存在）。 同样，在许多其他类型的客户端设备上，这可能不是一个选项，它们只会继续发送许多真正有价值的数据（用户名、密码、上传的文档等），只要它们的设计和/或配置为尖叫。

如果您的 AP 有可拆卸的天线，请尝试移除它们并查看其工作原理。令人惊讶的是，无线 AP 仍然可以仅通过其裸连接器 发射和接收足够的信号，以实现非常接近的操作。尽管如此，这可能不是您的客户端设备的一个选项，因此它们将继续发送许多真正有价值的数据（用户名、密码、上传的文档等），只要它们被设计和/或配置为尖叫。

如果您的 AP 有可拆卸的天线，您可能会发现一些有用的定向天线会有所帮助。这些可以使信号仅指向您希望它去的方向，如果这在您的环境中可以很好地工作的话。但是，这些也可能会导致您的 AP 范围超出您想要在该方向覆盖的距离。 而且，对于您的客户端设备，这可能不是一个选项，因此它们只会继续向各个方向发送许多真正有价值的数据（用户名、密码、上传的文档等）。

如果您的 AP 具有可拆卸的天线，并且最低功率设置对您来说不够安静，请尝试为其添加信号衰减器。 尽管如此，这可能不是您的客户端设备的一个选项，因此它们将继续发送许多真正有价值的数据（用户名、密码、上传的文档等），只要它们被设计和/或配置为尖叫。

TL;博士：

将无线网络的覆盖范围限制在一个房间内几乎是不可能真正实现的，因为许多无线设备（尤其是客户端）缺乏衰减信号的选项，并且大多数都是全向传输的。此外，它的价值很小，因为黑客通常拥有可以轻松获取微弱信号的专用设备。您可能会对无线网络的可用性造成更大的伤害，而不是实际带来的好处。

相反，您应该专注于使用真正的安全措施，例如 WPA2-AES、强密码和 PSK、MAC 地址过滤、保护您的 AP 管理界面、关闭未使用的设备以及使用 VPN。如果之后您仍然担心信号泄漏，您应该使用有线网络来避免它。

如果您绝对决心缩小无线网络的覆盖范围，仍有一些选择。大多数 AP 和笔记本电脑/台式机无线适配器使您能够降低其传输功率。定向天线或完全不使用天线可以帮助限制 AP 的覆盖范围。还提供用于 AP 和一些笔记本电脑/台式机网络适配器的信号衰减硬件。 尽管如此，您网络上无法使用这些选项的任何设备都将继续向远方发送它们的传输。

这是一个好主意，因为 WEP 非常损坏，而 WPA/WPA2 PSK 有点损坏。在 WPA 或 WPA2 的预共享密钥 (PSK) 模式下，共享密钥是使用 SSID 和“密码”生成的。cowpatty攻击是一个预先计算的常见密码和常见 SSID 的彩虹表。SSID 的列表是由大型战争驾驶数据库获得的。如果您选择一个奇怪的 SSID，那么它不会出现在免费的 33gb 彩虹表上。如果您的 SSID 不在 Rainowtable 中，那么攻击者将没有预计算的优势，将不得不发起新的暴力攻击。

英特尔正在开发一种安全系统，以出于安全原因人为地限制 WiFi 的范围。低技术版本只是为了降低 AP 的发射功率。另一个建议是将 AP 放在地下室。大部分信号会进入屋内，很难从外面获得视线。