本章目的:為了保護(hù)路由器。防止被惡意登錄荤堪,我們需要對路由器進(jìn)行安全加固谜喊。那在Router OS里面有哪些需要加固的呢?
分為4個方向:
1.修改你的登錄賬號和密碼朋其。
2.修改你的登錄端口王浴。
3.關(guān)閉不需要的端口脆炎。
4.限制登錄方式和登錄的IP。
—————————————————————————————————————————————————
1.修改你的登錄賬號和密碼
A.創(chuàng)建新賬戶
ROS默認(rèn)的登錄賬號是admin氓辣,所以網(wǎng)絡(luò)上有許多腳本秒裕,都是基于admin進(jìn)行暴力破解。所以钞啸,我們第一個就是修改我們的賬號几蜻。
點擊System>Users:
點擊+號,新增加一個賬戶体斩,輸入你喜歡的賬戶名和密碼梭稚,最后點擊OK即可。(ROS已經(jīng)不能直接修改默認(rèn)的admin絮吵,只能新增哨毁,然后刪除或禁用admin,在本例我將直接刪除admin)
B.刪除admin賬戶
點選admin源武,然后點擊-號扼褪,刪除admin
最終效果:
此時關(guān)閉winbox,用新的賬號和密碼登錄即可粱栖。
2.修改登錄端口
我們可供登錄的端口有很多话浇,也在一定的方式上造成安全問題,點擊IP>Services就可以看到可以用來登錄端口:
本例中我們修改winbox和SSH的端口闹究。
點選一個名稱幔崖,雙擊即可修改端口。
效果如下:
3.禁用不必要的端口
上面的圖片中渣淤,我們在API和API-SSL赏寇,F(xiàn)TP,Telnet价认,WWW等這些類目我們?nèi)绻麤]有使用的話嗅定,可以實現(xiàn)禁用。
點選用踩,然后點擊左上角的紅X即可渠退,點擊后會變成灰色。
效果如下:
附:
API:用API接口登錄服務(wù)脐彩。
API-SSL:用需要SSL加密的API接口登錄服務(wù)碎乃。
FTP:FTP服務(wù),用于上傳文件到ROS里面惠奸,或者從ROS下載文件梅誓。
SSH:使用SSH登錄配置或者SCP傳輸文件。
Telnet:使用telnet來進(jìn)行登錄配置。
Winbox:winbox登錄服務(wù)梗掰。
www:使用網(wǎng)頁版登錄配置嵌言。
www-ssl:基于ssl加密的網(wǎng)頁版登錄配置。
4.限制登錄方式和登錄的IP
登錄限制就是分為服務(wù)限制和賬戶限制愧怜。
A.服務(wù)限制
就是在我們上面所說的呀页,我們可以使用Available From來去限制服務(wù)的登錄ip范圍。這樣可以有效的攔截非法地址的登錄拥坛。限制的地址可以是單個IP蓬蝶,也可以是網(wǎng)段。
配置完成效果如下:
B.限制賬戶登錄IP
限制賬戶登錄IP猜惋,就是在IP>Users丸氛,雙擊你要限制的賬戶,然后同樣的在Available From里面輸入你的IP或網(wǎng)段即可著摔,和服務(wù)限制一樣缓窜。
點擊System>Users
最后,我們因為修改了Winbox服務(wù)的端口谍咆,那么下次我們winbox登錄時候的方式應(yīng)該要IP:端口形式
如果你使用的MAC地址登錄的話禾锤,不需要輸入端口。
大家切記要保管好端口摹察,賬戶和密碼恩掷。
PS:如果你是用的是原廠的路由器,那么出廠的默認(rèn)設(shè)置已經(jīng)在防火墻里面限制了我們登錄只能內(nèi)網(wǎng)登錄供嚎,公網(wǎng)是無法登錄的黄娘。但是還是建議按照以上操作修改一遍路由器,最大程度保證路由安全克滴。
