本章目的:为了保护路由器。防止被恶意登录,我们需要对路由器进行安全加固。那在Router OS里面有哪些需要加固的呢?

分为4个方向:

1.修改你的登录账号和密码。

2.修改你的登录端口。

3.关闭不需要的端口。

4.限制登录方式和登录的IP。

——————————————————————————————————————————————————————————————————————————————

1.修改你的登录账号和密码

A.创建新账户

ROS默认的登录账号是admin,所以网络上有许多脚本,都是基于admin进行暴力破解。所以,我们第一个就是修改我们的账号。

点击System>Users:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第1张图片

点击+号,新增加一个账户,输入你喜欢的账户名和密码,最后点击OK即可。(ROS已经不能直接修改默认的admin,只能新增,然后删除或禁用admin,在本例我将直接删除admin)

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第2张图片

B.删除admin账户

点选admin,然后点击-号,删除admin

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第3张图片

最终效果:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第4张图片

此时关闭winbox,用新的账号和密码登录即可。

2.修改登录端口

我们可供登录的端口有很多,也在一定的方式上造成安全问题,点击IP>Services就可以看到可以用来登录端口:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第5张图片

本例中我们修改winbox和SSH的端口。

点选一个名称,双击即可修改端口。

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第6张图片

效果如下:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第7张图片

3.禁用不必要的端口

上面的图片中,我们在API和API-SSL,FTP,Telnet,WWW等这些类目我们如果没有使用的话,可以实现禁用。

点选,然后点击左上角的红X即可,点击后会变成灰色。

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第8张图片

效果如下:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第9张图片

附:

API:用API接口登录服务。

API-SSL:用需要SSL加密的API接口登录服务。

FTP:FTP服务,用于上传文件到ROS里面,或者从ROS下载文件。

SSH:使用SSH登录配置或者SCP传输文件。

Telnet:使用telnet来进行登录配置。

Winbox:winbox登录服务。

www:使用网页版登录配置。

www-ssl:基于ssl加密的网页版登录配置。

4.限制登录方式和登录的IP

登录限制就是分为服务限制和账户限制。

A.服务限制

就是在我们上面所说的,我们可以使用Available From 来去限制服务的登录ip范围。这样可以有效的拦截非法地址的登录。限制的地址可以是单个IP,也可以是网段。

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第10张图片

配置完成效果如下:

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第11张图片

B.限制账户登录IP

限制账户登录IP,就是在IP>Users,双击你要限制的账户,然后同样的在Available From里面输入你的IP或网段即可,和服务限制一样。

点击System>Users

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第12张图片

最后,我们因为修改了Winbox服务的端口,那么下次我们winbox登录时候的方式应该要IP:端口形式

安全-路由安全(账号密码和登录权限)-从零开始学RouterOS系列19_第13张图片

如果你使用的MAC地址登录的话,不需要输入端口。

大家切记要保管好端口,账户和密码。

PS:如果你是用的是原厂的路由器,那么出厂的默认设置已经在防火墙里面限制了我们登录只能内网登录,公网是无法登录的。但是还是建议按照以上操作修改一遍路由器,最大程度保证路由安全。