在CCNA安全考试中,
有一个考试项目叫二层网络安全防护,
二层网络即我们平时说的局域网,
是由交换机和用户终端构成的网络体系,
也叫内网!
中国有句俗话叫家贼难防,现在的防火墙功能非常强大,想轻易从外网攻破攻击内部设备还是比较困难的。但如果有“内鬼”在局域网内登录并攻击设备却非常容易,因此,在二层网络安全防护考试的第一个学习项目就是保护网络设备。
上升到三层网络,最重要的设备就是路由器,路由器关系着内网用户能否正常访问互联网,如果路由器被攻击或者配置被修改,上不了网那是分分钟的事,因此保护边界路由非常关键,而限制用户对路由器的访问是最直接的一种保护手段。
我是步骤分割线
1.访问设备的用户名和密码
首先,登录路由器的用户名和密码非常重要。
而现在很多路由厂商为了让用户购买后能够方便配置,都固化了默认的用户名和密码,比如维盟设备默认管理员的用户名和密码是root和admin,这个密码只要百度一下很容易就能找到,如果有人远程接入了你的路由器,而你的用户名和密码没有修改过,那么很容易就可以登录进去任意修改配置。
因此,路由器买回来之后,应该第一时间修改访问路由器的用户名和密码,且密码不能太过简单,比如123456,111111等这样的简单密码,这样的密码很容易被黑客跑词典破解。在维盟路由器中,登录路由器之后,依次点击高级配置-WEB访问设置,在这里可以设置访问路由器的管理员用户名和密码:
图1 修改访问路由器的管理员用户名和密码
2.启用来宾账户
维盟路由器的账户级别分为3种:超级管理员,管理员和来宾用户。
超级管理员只有部分型号支持,大部分型号只支持管理员,超级管理员能对所有功能和参数进行配置和修改,管理员能对大部分功能和参数进行配置和修改,而来宾用户只能对小部分功能和参数进行配置和修改。
登录路由器之后,依次点击高级配置-WEB访问设置,在这里可以启用并设置来宾用户的用户名和密码:
图2 启用来宾用户
图3 来宾用户只有小部分功能权限
3.更改http访问端口号
可通过更改端口来限制用户访问路由器。
访问时路由器IP地址时,登录维盟路由器时我们只需要输入192.168.1.1即可,这是因为http协议的端口号是80,当你输入192.168.1.1时,浏览器会默认帮你在地址后面加上80端口,而维盟路由器的远程访问端口默认是80,因此不需要填写端口号就可以打开路由器的登录界面。
但是,一旦将访问路由器的端口号改了,那么下次登录路由器的时候就不单单只是输入IP地址了,同时还要加上对应的端口号。登录路由器之后,依次点击高级配置-WEB访问设置,在这里可以设置登录路由器的端口号:
图4 修改路由器的访问端口
4.关闭远程访问或修改远程访问端口号
远程访问和http访问的区别在于:如果你的广域网地址是公网IP,开启了远程访问之后,可以通过公网IP+端口号的方式访问,如果关闭则不行;http访问指的是内网用户可以通过局域网的IP地址登录路由器,需要注意的是这两个访问方式是不一样的,主要区别为一个是外网访问,一个是内网访问。
登录路由器之后,依次点击高级配置-WEB访问设置,在这里可以开启或关闭远程访问、修改远程访问的端口号。
图5 开启远程访问,并修改远程访问端口号
小结一下
▼▼
简言之,路由器是一种非常重要而又比较脆弱的网络设备,功能强大毋容置疑,但即使再强大,也不能挡住以合法用户名和密码登录路由器之后进行的相关攻击,因此,使用各种手段以保护路由器的安全是非常有必要的。