路由技術:路由器遠程管理實例

公司在郊區設立了行銷點，行銷點的員工使用寬頻路由器共享上網，和公司總部保持聯繫。因此，網管時常坐兩個多小時的車到行銷點對寬頻路由器進行維護，這讓網管非常疲憊。不過，他想到了啟用寬頻路由器的“遠程控制”功能，在總部對路由器進行遠程維護。

然而，安全問題開始困擾他，在方便自己的同時，這也方便了那些“不懷好意”者，一旦他們得到路由器的管理員賬號，就能進行各種破壞活動，後果是不堪構想的。那么，如何才能增強遠程控制的安全呢？

讓管理賬號更複雜

要想對行銷點的寬頻路由器進行管理，首先必須擁有路由器的管理員賬號。但默認情況下，路由器的初始賬號和密碼都比較簡單，特別是啟用了路由器的遠程控制功能後，公網中的其他用戶就有機會訪問到路由器。如果不對路由器的初始賬號進行修改，使它變得更為複雜，讓不懷好意者難以猜測和破解，那么路由器就可能被他人利用。

為了堵住這一漏洞，必須讓路由器的管理賬號和密碼更複雜。下面網管以行銷點的無線路由器“tl-wr541g”為例，介紹如何增強路由器遠程管理的安全，此方法同樣對有線路由器有效。

在行銷點區域網路內的客戶機上運行ie瀏覽器，在地址欄中輸入“http://192.168.1.1/”後並回車（“192.168.1.1”為寬頻路由器的默認地址），然後輸入路由器管理員賬號和密碼，登錄寬頻路由器管理界面。

依次展開“系統工具→修改登錄口令”，進入“修改登錄口令”管理頁面，即可對賬號進行修改。

提示：新的管理員賬號和密碼一定要足夠複雜才行，以免被攻擊者輕易破解。

安全啟用遠程控制

網管已經為寬頻路由器設定了複雜的訪問賬號，但這只是為遠程安全管理路由器打下了好的基礎。然而，很多路由器默認是沒有啟用“遠程控制”功能的，因此還要手工啟用，而且在啟用過程中還有很多增強安全的技巧和方法。

在寬頻路由器管理界面中，依次點擊“安全設定→遠端web管理”，進入“遠端web管理”設定界面。接下來網管就可啟用遠程控制功能。

默認情況下，路由器使用“80”連線埠來提供遠程管理功能，但這非常不安全，容易被“不壞好意”者猜到。因此，可修改連線埠號，使用一個不常用的連線埠來提供遠程管理功能，在“web管理連線埠”欄中修改遠程管理使用的連線埠號（如“1648”）。現在，攻擊者就很難猜到連線埠號了。

接下來，在“遠端web管理ip地址”欄中，輸入可對路由器進行遠程控制的公網計算機的ip地址。

最明智的辦法是允許某個使用特定ip地址的機器遠程登錄路由器，網管將該參數設定為他在總部使用的ip地址（如“202.102.201.99”）。現在只有他能在公司總部的機器上遠程登錄路由器，而其他公網機器則不行。

開啟路由器防火牆

通過以上設定，路由器遠程管理的安全性大大增強了，但面對網路中無時無刻都在湧現的病毒和黑客攻擊，網管還是有點不放心，他打算利用路由器內置的“防火牆”為路由器的遠程控制安全加上“雙保險”。

在寬頻路由器管理界面中，依次點擊“安全設定→防火牆設定”，在右側的設定框中選中“開啟防火牆”選項，點擊“保存”按鈕後啟用路由器的防火牆功能。

接著點擊“高級安全設定”，進入“高級安全設定”頁面。這裡提供了一些更具體的安全防禦功能，如防禦dos攻擊、icmp-flood攻擊過濾和tcp-syn-flood攻擊過濾等。網管要做的就是啟用這些功能，進一步增強路由器的防禦能力。

完成以上操作後，網管就可在公司總部的機器上遠程登錄行銷點的路由器，進行管理和維護操作，而公網中的其他機器是不能遠程登錄路由器進行破壞活動的。現在路由器的遠程管理就安全多了。

讓管理賬號更複雜

依次展開“系統工具→修改登錄口令”，進入“修改登錄口令”管理頁面，即可對賬號進行修改。

提示：新的管理員賬號和密碼一定要足夠複雜才行，以免被攻擊者輕易破解。