公司在郊區設立了營銷點,營銷點的員工使用寬帶路由器共享上網,和公司總部保持聯繫。因此,小胖時常坐兩個多小時的車到營銷點對寬帶路由器進行維護,這讓小胖非常疲憊。不過,他想到了啓用寬帶路由器的“遠程控制”功能,在總部對路由器進行遠程維護。
然而,安全問題開始困擾他,在方便自己的同時,這也方便了那些“不懷好意”者,一旦他們得到路由器的管理員賬號,就能進行各種破壞活動,後果是不堪設想的。那麼,如何才能增強遠程控制的安全呢?
讓管理賬號更復雜
要想對營銷點的寬帶路由器進行管理,首先必須擁有路由器的管理員賬號。但默認情況下,路由器的初始賬號和密碼都比較簡單,特別是啓用了路由器的遠程控制功能後,公網中的其他用戶就有機會訪問到路由器。如果不對路由器的初始賬號進行修改,使它變得更爲複雜,讓不懷好意者難以猜測和破解,那麼路由器就可能被他人利用。
爲了堵住這一漏洞,必須讓路由器的管理賬號和密碼更復雜。下面小胖以營銷點的無線路由器“TL-WR541G”爲例,介紹如何增強路由器遠程管理的安全,此方法同樣對有線路由器有效。
在營銷點局域網內的客戶機上運行IE瀏覽器,在地址欄中輸入“[url]http://192.168.1.1/[/url]”後並回車(“192.168.1.1”爲寬帶路由器的默認地址),然後輸入路由器管理員賬號和密碼,登錄寬帶路由器管理界面。
依次展開“系統工具→修改登錄口令”,進入“修改登錄口令”管理頁面,即可對賬號進行修改。
提示:新的管理員賬號和密碼一定要足夠複雜才行,以免被***者輕易破解。
安全啓用遠程控制
小胖已經爲寬帶路由器設置了複雜的訪問賬號,但這只是爲遠程安全管理路由器打下了好的基礎。然而,很多路由器默認是沒有啓用“遠程控制”功能的,因此還要手工啓用,而且在啓用過程中還有很多增強安全的技巧和方法。
在寬帶路由器管理界面中,依次點擊“安全設置→遠端Web管理”,進入“遠端Web管理”設置界面。接下來小胖就可啓用遠程控制功能。
默認情況下,路由器使用“80”端口來提供遠程管理功能,但這非常不安全,容易被“不壞好意”者猜到。因此,可修改端口號,使用一個不常用的端口來提供遠程管理功能,在“Web管理端口”欄中修改遠程管理使用的端口號(如“1648”)。現在,***者就很難猜到端口號了。
接下來,在“遠端Web管理IP地址”欄中,輸入可對路由器進行遠程控制的公網計算機的IP地址。
最明智的辦法是允許某個使用特定IP地址的機器遠程登錄路由器,小胖將該參數設置爲他在總部使用的IP地址(如“202.102.201.99”)。現在只有他能在公司總部的機器上遠程登錄路由器,而其他公網機器則不行。
開啓路由器防火牆
通過以上設置,路由器遠程管理的安全性大大增強了,但面對網絡中無時無刻都在涌現的病毒和******,小胖還是有點不放心,他打算利用路由器內置的“防火牆”爲路由器的遠程控制安全加上“雙保險”。
在寬帶路由器管理界面中,依次點擊“安全設置→防火牆設置”,在右側的設置框中選中“開啓防火牆”選項,點擊“保存”按鈕後啓用路由器的防火牆功能。
接着點擊“高級安全設置”,進入“高級安全設置”頁面。這裏提供了一些更具體的安全防禦功能,如防禦DoS***、ICMP-FLOOD***過濾和TCP-SYN-FLOOD***過濾等。小胖要做的就是啓用這些功能,進一步增強路由器的防禦能力。
完成以上操作後,小胖就可在公司總部的機器上遠程登錄營銷點的路由器,進行管理和維護操作,而公網中的其他機器是不能遠程登錄路由器進行破壞活動的。現在路由器的遠程管理就安全多了。