Mikrotik RouterOS安全性指南

• 序
  近日一个好友"包子"的Mikrotik的路由器被黑了，
  具体型号是RB2011UiAS-2HnD-IN，系统版本记不清了，反正有一年左右没更新了吧
  具体表现，IP Socks功能被启用，连接数30w，CPU一直占用100%（心疼路由器被日的这么惨）
  查了一下官方wiki，好像用socks代理能无视防火墙的规则？挺厉害的样子。
  废话不多说，谨以此篇文章记录一下。

使用 Mikrotik RouterOS 路由器的安全性措施

于 2019年1月9日 更新

更改管理端口

ip service中的port
大部分服务默认都是启用的，而且winbox的管理端口为8291。
因为我只用winbox管理，所以我关闭了其他服务，并且修改端口为8292，记得要在firewall中允许对应的端口通过。
各位童鞋按需修改哈，用什么服务开什么服务，修改默认端口号，关闭不用的服务。

用户管理

在system users中

修改默认的admin用户

用户名和密码一定要改成高强度的。

防火墙策略

在ip firewall设置

丢弃无效的入站连接

具体设置如下图

丢弃所有非LAN接口的入站连接

丢弃无效的转发连接

系统组件更新

在system packets中检查系统更新
更新频率建议每月一次！！！！Mikrotik更新还是很勤快的。

如果这里的Latest Version中有更新的版本，点击下载安装，RouterOS会自己下载安装重启。

PS: 需要帮助的童鞋可以加我微信，有空看到就回复，记得备注 csdn看到的。