随着智能手机的普及和网络共享风潮的兴起,现在几乎每一家企业,每一个家庭都会有一个家用的路由器,它支持多种的网络接入方式,配置相对灵活,可以满足对网络功能的要求,但是由于普通用户都不太熟悉网络安全知识,在设置路由器时往往使用了默认,甚至错误的参数,这就给路由器本身乃至网络安全埋下了隐患,这里我就哪一个版本为R1.96H12的路由器为例,给大家介绍一下如何安全地使用路由器。
1.DHCP服务的设置
登陆路由器后,选择基本设置中的DHCP服务器,并且打开这个服务器,打开了这个页面之后,我们就可以看到以这台路由器为核心的连接设备有哪些。在这里我建议停止DHCP服务,这样可以使你的局域网更加的安全,也更便于管理。当然,如果你这个局域网接入的电脑设备比较多的话,也可以开启这项服务。
2.修改路由器默认密码
现在几乎所有的路由器都存在默认密码,用户应该在第一次配置路由器时即将默认密码修改,否则这个密码很容易被黑客用来进行登录并拥有管理员权限,那样你的路由器会完全被他掌控,后果不堪设想。而且修改密码也很简单,选择基本设置里的密码修改输入旧密码并设置新密码就可以了。
3.慎用DMZ主机功能
在防火墙概念中,DMZ就是俗称停火区,这与防卫区和信任区是相对应的,处于内部网络与外部网络之间,其作用是把WEB.e-mail等允许外部访问的服务器单独连接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
在宽带路由器的实际应用中,DMZ主机功能是指指定一台主机作为能和外部双向通讯的非保护主题,主要是出于安全考虑对于一般家庭用户来说,无需启用这项功能。如果启用的话则应该配备好DMZ主机的防火墙和反病毒软件,并且指定非标准的FTP端口以避免恶意攻击。
4.报文过滤和MAC地址控制
报文过滤是指通过分析流入流出数据包来控制对网络的访问,目标的ip决定是否允许该数据包通过。流出过滤适用于由内而外的所有流出报文,而流入过滤只适用于目的网址为虚拟服务器或者DMZ主机的报文。具体的设置方法是,选择安全设置中的报文过滤,勾选流出过滤后面的启用,共有黑名单和白名单两个选项可以根据具体的过滤设置进行搭配,在过滤列表中分别输入源ip地址,目的ip地址及端口号,并勾选启用。流入过滤的操作方法也是一样的,只不过他们操作方向是相反的,这点需要注意一下。
5.域名过滤
域名过滤可以阻止用户访问特定的URL,比如恶意和有病毒的网站,以及不希望客户端浏览的其他站点。这个我们可以在安全设置中选择域名过滤来进行操作。然后通过勾选域名过滤和记录查询信息来进行启用。如果对某些客户端授权使之不受愚民过滤限制,可在特权,地址范围中输入IP或者IP范围,在域名后缀中输入受限制的url后缀,,也可以在动作中指定当客户端访问的网页负荷受限的域名后缀时采取丢弃或者禁止访问的行动,记录页面就是允许访问,但是要在访问日志中进行记录。
6.其他安全设置
第一点,远程管理主机端口设置。通常只有内部用户能够浏览路由器的WEB管理界面,使用远程管理主机端口这个功能我们就可以远程从主机上面来管理路由器,操作方法就是选择安全设置中的杂项,在设置框中指定远程管理主机的ip和端口并且启用它,需要注意的点是指定的ip地址,不能是四个零或者太过简单,否则任何的远程主机都能连接到这个路由器上面来对它进行远程管理.
第二点,管理员超时设置。如果登陆路由器之后,在一定时间内没有进行操作,则系统会自动注销这次登陆,这是为了防止因管理员忘记注销面可能出现的安全隐患,具体的操作方法就是在管理员重置页面框中输入秒数并且启用它就可以了。如果你想要禁用这个选项,就是让它的设置永不超时的话可以在可以把时间设置为零就可以了。
第三点,WAN口Ping包过滤。可将此功能看作一个最简单的防火墙,当启用该选项时,从外部网将无法,Ping通过帮路由器,这个功能在一定程度上拒绝了恶意探测和攻击。第四点,备份路由器配置。如果你不相信,辛苦做好了路由器的各项配置,却在一次意外中毁于一旦,那么,就在工具箱中选择备份设置吧!它可以将路由器的配置文件,保存到硬盘中,以防万一。
7.系统日志设置
只进行各种安全配置是不够的,我们还要记录好路由器的健康日记吧!了解每天都发生了什么?这样可以让我们知道我们的路由器有没有被攻击或者渗透。具体的操作方法是,选择高级设置中的系统日志,指定接受日志的服务器ip地址并勾选启用就可以了。启用之后,系统日志会定时传送到主机上面。或者你也可以使用邮件的方式来传送日志,只需要在外发邮件服务器ip地址中输入已经开启邮件服务的主机地址,然后填写日志信息接收者的名称,并勾选启用就可以了。
通过wap方式登陆路由器比较简单,但是绝不能因此而忽略了,各种各样的安全设置,因为没有经过系统全面的安全设置的路由器是不会安全的,另外还要注意对路由器进行版本升级,可以获得更强大的功能。