RouterOS(ROS)软路由安全性配置指南

为了保护RouterOS和我们的网络安全,我们需要对ROS做一些安全设置措施,以防止RouterOS被黑客渗透和入侵,通过以下的安全设置尽可能避免攻击。

一、设置ROS密码

RouterOS(ROS)软路由安全性配置指南_第1张图片

1、使用WInBox登录ROS,点击“system” -- “password”,在对话框中设置要修改的密码,在Old Password后面输入旧密码(ROS初始密码为空),New Password后面输入新密码,Confirm Password后面输入新密码。

 

二、禁用不必要的服务

RouterOS(ROS)软路由安全性配置指南_第2张图片

1、点击“IP” -- “Services”,选中要禁用的服务,并点击左上角红色“X”号,即可禁用相关服务,禁用后服务将置灰,建议仅保留WinBox服务即可。

服务说明

API:用API接口登录服务。

API-SSL:用需要SSL加密的API接口登录服务。

FTP:FTP服务,用于上传文件到ROS里面,或者从ROS下载文件。

SSH:使用SSH登录配置或者SCP传输文件。

Telnet:使用telnet来进行登录配置。

Winbox:winbox登录服务。

www:使用网页版登录配置。

www-ssl:基于ssl加密的网页版登录配置。

 

三、修改服务端口

RouterOS(ROS)软路由安全性配置指南_第3张图片

1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,本文以SSH服务为例,双击SSH服务,在弹出的Port文本框内填入要使用的端口,修改完成后点击Apply,OK,即可完成服务端口修改。

 

四、限制服务登录的IP

我们可以通过限制IP的方式有效的拦截非法IP地址的登录,这个限制可以是单个IP地址,也可以是网段。

RouterOS(ROS)软路由安全性配置指南_第4张图片

RouterOS(ROS)软路由安全性配置指南_第5张图片

1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,以WinBox服务为例仅允许内网地址通过WinBox登录ROS,双击WinBox服务,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成服务IP限制。

 

五、创建新用户

ROS已经不能直接修改默认的admin用户,只能新增,删除或禁用admin。

RouterOS(ROS)软路由安全性配置指南_第6张图片

1、点击“system” -- “users”,将显示ROS所有用户列表,点击左上角蓝色“+”号,新增用户,在弹出的界面中填入新用户名、权限组、密码、确认密码,完成后点击OK保存,注意Group需选择“Full”,代表所有权限。

2、如需禁用admin,则选中admin用户后点击左上角红色“X”号禁用,禁用后admin用户将置灰。

 

六、限制用户登录的IP

RouterOS(ROS)软路由安全性配置指南_第7张图片

1、点击“system” -- “users”,将显示ROS所有用户列表,以admin为例仅允许通过内网地址登录ROS,双击admin用户,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成用户IP登录限制。

 

七、关闭公网DNS查询(防止ROS被作为DDOS放大攻击器)

RouterOS(ROS)软路由安全性配置指南_第8张图片

RouterOS(ROS)软路由安全性配置指南_第9张图片

1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Protocol选udp、Dst.port填入53、In.interface选择ROS的WAN口(例如ether0-wan),切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止你的ROS被用来做ddos的放大攻击工具,设置完成后如下图。

RouterOS(ROS)软路由安全性配置指南_第10张图片

 

八、禁止外网Ping

 

1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Src-address将方框选中并填入自己的内网IP段(如10.10.10.0/24,/24表示255.255.255.0)、Protocol选icmp,切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止ROS被外网Ping扫描,设置完成后如下图。

RouterOS(ROS)软路由安全性配置指南_第11张图片

相关阅读:

ESXI安装Mikrotik RouterOS(ROS)软路由部署指南(附授权镜像下载)

如您认为文章对您有用,欢迎打赏,谢谢~

 

转载请保留原文地址:https://blog.qiaohewei.cc/2020/08/23/ros_security_config/

你可能感兴趣的:(RouterOS,路由器,安全,信息安全)