本章目的:爲了保護路由器。防止被惡意登錄,我們需要對路由器進行安全加固。那在Router OS裏面有哪些需要加固的呢?
分爲4個方向:
1.修改你的登錄賬號和密碼。
2.修改你的登錄端口。
3.關閉不需要的端口。
4.限制登錄方式和登錄的IP。
——————————————————————————————————————————————————————————————————————————————
1.修改你的登錄賬號和密碼
A.創建新賬戶
ROS默認的登錄賬號是admin,所以網絡上有許多腳本,都是基於admin進行暴力破解。所以,我們第一個就是修改我們的賬號。
點擊System>Users:
點擊+號,新增加一個賬戶,輸入你喜歡的賬戶名和密碼,最後點擊OK即可。(ROS已經不能直接修改默認的admin,只能新增,然後刪除或禁用admin,在本例我將直接刪除admin)
B.刪除admin賬戶
點選admin,然後點擊-號,刪除admin
最終效果:
此時關閉winbox,用新的賬號和密碼登錄即可。
2.修改登錄端口
我們可供登錄的端口有很多,也在一定的方式上造成安全問題,點擊IP>Services就可以看到可以用來登錄端口:
本例中我們修改winbox和SSH的端口。
點選一個名稱,雙擊即可修改端口。
效果如下:
3.禁用不必要的端口
上面的圖片中,我們在API和API-SSL,FTP,Telnet,WWW等這些類目我們如果沒有使用的話,可以實現禁用。
點選,然後點擊左上角的紅X即可,點擊後會變成灰色。
效果如下:
附:
API:用API接口登錄服務。
API-SSL:用需要SSL加密的API接口登錄服務。
FTP:FTP服務,用於上傳文件到ROS裏面,或者從ROS下載文件。
SSH:使用SSH登錄配置或者SCP傳輸文件。
Telnet:使用telnet來進行登錄配置。
Winbox:winbox登錄服務。
www:使用網頁版登錄配置。
www-ssl:基於ssl加密的網頁版登錄配置。
4.限制登錄方式和登錄的IP
登錄限制就是分爲服務限制和賬戶限制。
A.服務限制
就是在我們上面所說的,我們可以使用Available From 來去限制服務的登錄ip範圍。這樣可以有效的攔截非法地址的登錄。限制的地址可以是單個IP,也可以是網段。
配置完成效果如下:
B.限制賬戶登錄IP
限制賬戶登錄IP,就是在IP>Users,雙擊你要限制的賬戶,然後同樣的在Available From裏面輸入你的IP或網段即可,和服務限制一樣。
點擊System>Users
最後,我們因爲修改了Winbox服務的端口,那麼下次我們winbox登錄時候的方式應該要IP:端口形式
如果你使用的MAC地址登錄的話,不需要輸入端口。
大家切記要保管好端口,賬戶和密碼。
PS:如果你是用的是原廠的路由器,那麼出廠的默認設置已經在防火牆裏面限制了我們登錄只能內網登錄,公網是無法登錄的。但是還是建議按照以上操作修改一遍路由器,最大程度保證路由安全。