公司在郊区设立了营销点,营销点的员工使用宽带路由器共享上网,和公司总部保持联系。因此,网管时常坐两个多小时的车到营销点对宽带路由器进行维护,这让网管非常疲惫。不过,他想到了启用宽带路由器的“远程控制”功能,在总部对路由器进行远程维护。
然而,安全问题开始困扰他,在方便自己的同时,这也方便了那些“不怀好意”者,一旦他们得到路由器的管理员账号,就能进行各种破坏活动,后果是不堪设想的。那么,如何才能增强远程控制的安全呢?
让管理账号更复杂
要想对营销点的宽带路由器进行管理,首先必须拥有路由器的管理员账号。但默认情况下,路由器的初始账号和密码都比较简单,特别是启用了路由器的远程控制功能后,公网中的其他用户就有机会访问到路由器。如果不对路由器的初始账号进行修改,使它变得更为复杂,让不怀好意者难以猜测和破解,那么路由器就可能被他人利用。
为了堵住这一漏洞,必须让路由器的管理账号和密码更复杂。下面网管以营销点的无线路由器“TL-WR541G”为例,介绍如何增强路由器远程管理的安全,此方法同样对有线路由器有效。
在营销点局域网内的客户机上运行IE浏览器,在地址栏中输入“http://192.168.1.1/”后并回车(“192.168.1.1”为宽带路由器的默认地址),然后输入路由器管理员账号和密码,登录宽带路由器管理界面。
依次展开“系统工具→修改登录口令”,进入“修改登录口令”管理页面,即可对账号进行修改。
提示:新的管理员账号和密码一定要足够复杂才行,以免被攻击者轻易破解。
安全启用远程控制
网管已经为宽带路由器设置了复杂的访问账号,但这只是为远程安全管理路由器打下了好的基础。然而,很多路由器默认是没有启用“远程控制”功能的,因此还要手工启用,而且在启用过程中还有很多增强安全的技巧和方法。
在宽带路由器管理界面中,依次点击“安全设置→远端Web管理”,进入“远端Web管理”设置界面。接下来网管就可启用远程控制功能。
默认情况下,路由器使用“80”端口来提供远程管理功能,但这非常不安全,容易被“不坏好意”者猜到。因此,可修改端口号,使用一个不常用的端口来提供远程管理功能,在“Web管理端口”栏中修改远程管理使用的端口号(如“1648”)。现在,攻击者就很难猜到端口号了。
接下来,在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制的公网计算机的IP地址。
最明智的办法是允许某个使用特定IP地址的机器远程登录路由器,网管将该参数设置为他在总部使用的IP地址(如“202.102.201.99”)。现在只有他能在公司总部的机器上远程登录路由器,而其他公网机器则不行。
开启路由器防火墙
通过以上设置,路由器远程管理的安全性大大增强了,但面对网络中无时无刻都在涌现的病毒和黑客攻击,网管还是有点不放心,他打算利用路由器内置的“防火墙”为路由器的远程控制安全加上“双保险”。
在宽带路由器管理界面中,依次点击“安全设置→防火墙设置”,在右侧的设置框中选中“开启防火墙”选项,点击“保存”按钮后启用路由器的防火墙功能。
接着点击“高级安全设置”,进入“高级安全设置”页面。这里提供了一些更具体的安全防御功能,如防御DoS攻击、ICMP-FLOOD攻击过滤和TCP-SYN-FLOOD攻击过滤等。网管要做的就是启用这些功能,进一步增强路由器的防御能力。
完成以上操作后,网管就可在公司总部的机器上远程登录营销点的路由器,进行管理和维护操作,而公网中的其他机器是不能远程登录路由器进行破坏活动的。现在路由器的远程管理就安全多了。
更多内容请看路由器设置专题、交换机与路由器密码恢复、路由故障处理手册专题,或进入讨论组讨论。
相关专题
- 路由器设置专题 (2378篇文章)
- 交换机与路由器密码恢复 (3933篇文章)
- 路由故障处理手册 (2441篇文章)
- 路由安全配置专题 (11761篇文章)
- Cisco路由器配置手册 (4742篇文章)
- 无线宽带路由器 (7351篇文章)
- 网络管理实用手册 (22421篇文章)
- Linux下的路由的配置与应用 (11721篇文章)
- 交换路由知识答疑 (331篇文章)
- 路由器问题 (212篇文章)
- 双路由器引起的地址竞争故障 (436次浏览)
- 全向VPN宽带路由器网络方案 (331次浏览)
- 无法上网 路由器设置变动惹的祸? (140次浏览)
- 3640路由器拨号设置 (132次浏览)
- 网络打印用途宽带路由器选购指南 (120次浏览)
- 给路由器重新分配路由 (114次浏览)
- 如何用好双WAN路由器 (109次浏览)
- 拒绝遗忘 路由器密码轻松恢复 (105次浏览)
- CISCO学习问题之OSPF如何做路由总结? (101次浏览)
- Cisco路由器安装向导 (91次浏览)
