单位在市区不同位置设立了科技服务点,每一个服务点的员工都通过宽带路由器进行共享上网,和单位网络保持联系。为了让每一个服务点能够高效上网,作为网络管理员的笔者常常需要打车到各个服务点去管理、维护宽带路由器设备,显然这样的管理维护不但效率不会很高,而且也非常累人。
为了减轻自己的工作量,同时有效提高网络管理效率,笔者想到了通过远程控制功能,来在单位对不同服务点的宽带路由器进行远程管理。但是,在享受远程控制功能给笔者带来便利的同时,安全问题也在时刻困扰着笔者,因为远程控制功能也给了那些“心术不正”者有了可趁之机,一旦这些人获得路由器的特权账号后,他们可能就会对宽带路由器进行各种非法攻击,后果是不堪设想的。
有鉴于此,本文下面就为各位贡献几则保护宽带路由器安全的秘籍,但愿这些内容能让各位朋友使用的路由器远离非法攻击!
从端口出发,保护宽带路由器
在默认状态下,宽带路由器的远程控制功能是没有启用的,为此要想对该设备进行远程管理与维护,我们首先需要使用手工方法来将该功能启用起来。虽然启用远程控制功能比较简单,但是要想防止其他人通过该功能入侵宽带路由器,我们还需要从端口出发,来让非法攻击者无法使用宽带路由器的远程控制功能,下面就是具体的设置方法:
首先以默认的系统管理员账号登录进宽带路由器后台管理界面,从中依次找到“安全设置”、“远端Web管理”参数选项,打开“远端Web管理”参数设置页面,在该页面中我们可以轻而易举地将宽带路由器的远程控制功能启用起来;
在缺省状态下,远程控制功能会通过宽带路由器的“80”端口来为我们提供远程管理服务,由于这个远程服务端口号码众所周知,所以非常不安全,很容易被非法攻击者猜中。所以,我们不妨在对应的设置页面中修改一下服务端口号码,使用一个陌生的服务端口来为用户提供远程管理服务;在修改端口号码时,我们只要从设置界面中找到“Web管理端口”选项,并将选项数值设置成其他不常用的端口号码就可以了,例如“8660”。如此一来,非法攻击者就不会轻易地猜中远程管理服务端口号码了。
下面,再从宽带路由器的“远端Web管理”页面中找到“远端Web管理IP地址”设置选项,并将该选项数值设置成能够对宽带路由器进行远程管理的工作站的公网IP地址,在这里笔者将该IP地址设置成自己办公室中的一台计算机公网IP地址了。
从账号出发,保护宽带路由器
万一网络管理员忘记了修改宽带路由器的远程控制服务端口号码,那么非法攻击者就很容易打开宽带路由器的后台登录界面,如果此时这些攻击者还知道该设备的初始账号和密码的话,那么他们就能进入到系统后台,来非法修改宽带路由器的上网参数,从而导致其无法正常工作了。
由于在缺省状态下,宽带路由器为用户提供的原始账号和密码信息往往比较简单,很容易被他人猜中,再加上启用了宽带路由器的远程控制功能后,Internet网络中的其他计算机更有机会远程访问到宽带路由器了。倘若我们不修改宽带路由器的原始账号,让它变得更复杂的话,那么宽带路由器的后台登录密码很容易被他人破解,从而会被非法攻击者利用。为了有效堵住这一安全漏洞,我们可以按照如下步骤来将宽带路由器的登录账号变得更复杂一些:
首先在宽带路由器所在的局域网中,任意登录进局域网中的一台工作站,并在该系统中打开IE浏览器窗口,然后在浏览器地址框中输入宽带路由器的默认IP地址,该地址可以从宽带路由器的操作说明书中找到 ,一般为“192.168.1.1/”,在确认IP地址输入正确后单击回车键,我们就能打开宽带路由器的后台登录界面;
其次在该后台界面中正确输入宽带路由器默认的账号名称和密码信息,单击“确定”按钮后,进入到路由器的后台管理界面。在该管理界面中依次找到“系统工具”、“修改登录口令”参数选项,然后打开修改登录口令设置页面,在这里我们必须将登录账号所对应的密码信息修改得尽可能复杂一些,最好同时包含数字、符号、字母等信息,这样一来Internet网络中的非法攻击者即使能够打开宽带路由器的后台登录页面,但由于无法破解登录密码,从而也就无法进入到宽带路由器的后台管理界面来对其进行非法攻击和破坏了。
从防火墙出发,保护宽带路由器
尽管采取上面的两项措施,能够有效地增强宽带路由器的远程管理安全性,但伴随着Internet网络中的病毒和黑客的疯狂肆虐,不少网络管理员对上面的几项安全措施还不很放心,作为网管的笔者自然也不例外,于是笔者打算再将宽带路由器自带的“防火墙”启用起来,以便让宽带路由器远离非法攻击的安全系数更高一些,下面就是启用宽带路由器自带防火墙的操作步骤:
首先按照前面的操作正确地登录进宽带路由器的后台管理界面中,并从中依次找到“安全设置”、“防火墙设置”设置选项,然后在对应的选项设置页面中将“开启防火墙”项目选中,再单击一下“保存”按钮,这样一来宽带路由器自带的防火墙功能就被正确地启用成功了。
其次在后台管理界面中,找到“高级安全设置”选项,在对应的选项设置页面中,我们会发现宽带路由器还为用户提供了不少具体的安全防范功能,比方说ICMP-FLOOD攻击过滤、TCP-SYN-FLOOD攻击过滤、防御DoS攻击等,有选择性地启用这些安全防范功能,我们可以更进一步地提高宽带路由器防范非法攻击的能力。