公司在郊區(qū)設(shè)立了營(yíng)銷點(diǎn),營(yíng)銷點(diǎn)的員工使用寬帶路由器共享上網(wǎng),和公司總部保持聯(lián)系。因此,網(wǎng)管時(shí)常坐兩個(gè)多小時(shí)的車到營(yíng)銷點(diǎn)對(duì)寬帶路由器進(jìn)行維護(hù),這讓網(wǎng)管非常疲憊。不過(guò),他想到了啟用寬帶路由器的“遠(yuǎn)程控制”功能,在總部對(duì)路由器進(jìn)行遠(yuǎn)程維護(hù)。
然而,安全問(wèn)題開始困擾他,在方便自己的同時(shí),這也方便了那些“不懷好意”者,一旦他們得到路由器的管理員賬號(hào),就能進(jìn)行各種破壞活動(dòng),后果是不 堪設(shè)想的。那么,如何才能增強(qiáng)遠(yuǎn)程控制的安全呢?
讓管理賬號(hào)更復(fù)雜
要想對(duì)營(yíng)銷點(diǎn)的寬帶路由器進(jìn)行管理,首先必須擁有路由器的管理員賬號(hào)。但默認(rèn)情況下,路由器的初始賬號(hào)和密碼都比較簡(jiǎn)單,特別是啟用了路由器的遠(yuǎn)程控制功能后,公網(wǎng)中的其他用戶就有機(jī)會(huì)訪問(wèn)到路由器。如果不對(duì)路由器的初始賬號(hào)進(jìn)行修改,使它變得更為復(fù)雜,讓不懷好意者難以猜測(cè)和破解,那么路由器就可能被他人利用。
為了堵住這一漏洞,必須讓路由器的管理賬號(hào)和密碼更復(fù)雜。下面網(wǎng)管以營(yíng)銷點(diǎn)的無(wú)線路由器“TL-WR541G”為例,介紹如何增強(qiáng)路由器遠(yuǎn)程管理的安全,此方法同樣對(duì)有線路由器有效。
在營(yíng)銷點(diǎn)局域網(wǎng)內(nèi)的客戶機(jī)上運(yùn)行IE瀏覽器,在地址欄中輸入“http://192.168.1.1/”后并回車(“192.168.1.1”為寬帶路由器的默認(rèn)地址),然后輸入路由器管理員賬號(hào)和密碼,登錄寬帶路由器管理界面。
依次展開“系統(tǒng)工具→修改登錄口令”,進(jìn)入“修改登錄口令”管理頁(yè)面,即可對(duì)賬號(hào)進(jìn)行修改。
提示:新的管理員賬號(hào)和密碼一定要足夠復(fù)雜才行,以免被攻擊者輕易破解。
安全啟用遠(yuǎn)程控制
網(wǎng)管已經(jīng)為寬帶路由器設(shè)置了復(fù)雜的訪問(wèn)賬號(hào),但這只是為遠(yuǎn)程安全管理路由器打下了好的基礎(chǔ)。然而,很多路由器默認(rèn)是沒(méi)有啟用“遠(yuǎn)程控制”功能的,因此還要手工啟用,而且在啟用過(guò)程中還有很多增強(qiáng)安全的技巧和方法。
在寬帶路由器管理界面中,依次點(diǎn)擊“安全設(shè)置→遠(yuǎn)端Web管理”,進(jìn)入“遠(yuǎn)端Web管理”設(shè)置界面。接下來(lái)網(wǎng)管就可啟用遠(yuǎn)程控制功能。
默認(rèn)情況下,路由器使用“80”端口來(lái)提供遠(yuǎn)程管理功能,但這非常不安全,容易被“不壞好意”者猜到。因此,可修改端口號(hào),使用一個(gè)不常用的端口來(lái)提供遠(yuǎn)程管理功能,在“Web管理端口”欄中修改遠(yuǎn)程管理使用的端口號(hào)(如“1648”)。現(xiàn)在,攻擊者就很難猜到端口號(hào)了。
接下來(lái),在“遠(yuǎn)端Web管理IP地址”欄中,輸入可對(duì)路由器進(jìn)行遠(yuǎn)程控制的公網(wǎng)計(jì)算機(jī)的IP地址。
最明智的辦法是允許某個(gè)使用特定IP地址的機(jī)器遠(yuǎn)程登錄路由器,網(wǎng)管將該參數(shù)設(shè)置為他在總部使用的IP地址(如“202.102.201.99”)。現(xiàn)在只有他能在公司總部的機(jī)器上遠(yuǎn)程登錄路由器,而其他公網(wǎng)機(jī)器則不行。
開啟路由器防火墻
通過(guò)以上設(shè)置,路由器遠(yuǎn)程管理的安全性大大增強(qiáng)了,但面對(duì)網(wǎng)絡(luò)中無(wú)時(shí)無(wú)刻都在涌現(xiàn)的病毒和黑客攻擊,網(wǎng)管還是有點(diǎn)不放心,他打算利用路由器內(nèi)置的“防火墻”為路由器的遠(yuǎn)程控制安全加上“雙保險(xiǎn)”。
在寬帶路由器管理界面中,依次點(diǎn)擊“安全設(shè)置→防火墻設(shè)置”,在右側(cè)的設(shè)置框中選中“開啟防火墻”選項(xiàng),點(diǎn)擊“保存”按鈕后啟用路由器的防火墻功能。
接著點(diǎn)擊“高級(jí)安全設(shè)置”,進(jìn)入“高級(jí)安全設(shè)置”頁(yè)面。這里提供了一些更具體的安全防御功能,如防御DoS攻擊、ICMP-FLOOD攻擊過(guò)濾和TCP-SYN-FLOOD攻擊過(guò)濾等。網(wǎng)管要做的就是啟用這些功能,進(jìn)一步增強(qiáng)路由器的防御能力。
完成以上操作后,網(wǎng)管就可在公司總部的機(jī)器上遠(yuǎn)程登錄營(yíng)銷點(diǎn)的路由器,進(jìn)行管理和維護(hù)操作,而公網(wǎng)中的其他機(jī)器是不能遠(yuǎn)程登錄路由器進(jìn)行破壞活動(dòng)的。現(xiàn)在路由器的遠(yuǎn)程管理就安全多了
