• 首页
  • 网络
    • RouterOS
    • OpenWRT
  • 虚拟化
    • ESXI
  • 产品
  • 会员中心
    • 登录
    • 注册
    • 商务合作
    • 隐私政策
    • 版权声明
Hewitt's Blog
记录兴趣·发现美好 互联网IT日志
  1. 首页
  2. 网络
  3. RouterOS
  4. 正文

RouterOS(ROS)软路由安全性配置指南

2020年08月23日 15299点热度 3人点赞 0条评论

为了保护RouterOS和我们的网络安全,我们需要对ROS做一些安全设置措施,以防止RouterOS被黑客渗透和入侵,通过以下的安全设置尽可能避免攻击。

文章目录 隐藏
一、设置ROS密码
二、禁用不必要的服务
三、修改服务端口
四、限制服务登录的IP
五、创建新用户
六、限制用户登录的IP
七、关闭公网DNS查询(防止ROS被作为DDOS放大攻击器)
八、禁止外网Ping

一、设置ROS密码

%title插图%num

1、使用WInBox登录ROS,点击“system” -- “password”,在对话框中设置要修改的密码,在Old Password后面输入旧密码(ROS初始密码为空),New Password后面输入新密码,Confirm Password后面输入新密码。

二、禁用不必要的服务

%title插图%num

1、点击“IP” -- “Services”,选中要禁用的服务,并点击左上角红色“X”号,即可禁用相关服务,禁用后服务将置灰,建议仅保留WinBox服务即可。

服务说明

API:用API接口登录服务。

API-SSL:用需要SSL加密的API接口登录服务。

FTP:FTP服务,用于上传文件到ROS里面,或者从ROS下载文件。

SSH:使用SSH登录配置或者SCP传输文件。

Telnet:使用telnet来进行登录配置。

Winbox:winbox登录服务。

www:使用网页版登录配置。

www-ssl:基于ssl加密的网页版登录配置。

三、修改服务端口

%title插图%num

1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,本文以SSH服务为例,双击SSH服务,在弹出的Port文本框内填入要使用的端口,修改完成后点击Apply,OK,即可完成服务端口修改。

四、限制服务登录的IP

我们可以通过限制IP的方式有效的拦截非法IP地址的登录,这个限制可以是单个IP地址,也可以是网段。

%title插图%num %title插图%num

1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,以WinBox服务为例仅允许内网地址通过WinBox登录ROS,双击WinBox服务,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成服务IP限制。

五、创建新用户

ROS已经不能直接修改默认的admin用户,只能新增,删除或禁用admin。

%title插图%num

1、点击“system” -- “users”,将显示ROS所有用户列表,点击左上角蓝色“+”号,新增用户,在弹出的界面中填入新用户名、权限组、密码、确认密码,完成后点击OK保存,注意Group需选择“Full”,代表所有权限。

2、如需禁用admin,则选中admin用户后点击左上角红色“X”号禁用,禁用后admin用户将置灰。

六、限制用户登录的IP

%title插图%num

1、点击“system” -- “users”,将显示ROS所有用户列表,以admin为例仅允许通过内网地址登录ROS,双击admin用户,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成用户IP登录限制。

七、关闭公网DNS查询(防止ROS被作为DDOS放大攻击器)

%title插图%num

%title插图%num

1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Protocol选udp、Dst.port填入53、In.interface选择ROS的WAN口(例如ether0-wan),切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止你的ROS被用来做ddos的放大攻击工具,设置完成后如下图。

%title插图%num

八、禁止外网Ping

%title插图%num %title插图%num

1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Src-address将方框选中并填入自己的内网IP段(如10.10.10.0/24,/24表示255.255.255.0)、Protocol选icmp,切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止ROS被外网Ping扫描,设置完成后如下图。

%title插图%num

相关阅读:

ESXI安装Mikrotik RouterOS(ROS)软路由部署指南(附授权镜像下载)

如您认为文章对您有用,欢迎打赏,谢谢~

本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可
标签: Mikrotik ROS ROS下载 ROS安全 ROS配置 RouterOS RouterOS安全 软路由
最后更新:2020年11月10日

Hewitt

保持对知识的渴望,记录兴趣·发现美好。
让兴趣成就一生!

打赏 点赞
下一篇 >

保持对知识的渴望,记录兴趣·发现美好。
让兴趣成就一生!

商务合作
最新 热点 随机
最新 热点 随机
RouterOS(ROS)自定义设定终端IP、网关、DNS,DHCP静态地址和Options配置 100个网络基础知识,看完变半个网络高手 从灵感到产品,设计思维的作用 OpenWRT&LEDE x86 2023 [Stable] 精品稳定版软路由固件下载 完美移除ESXI 7.0默认虚拟闪存,并支持自由调整,释放被占用的磁盘空间 OpenWRT&LEDE x86 软路由精品稳定版固件下载 Mikrotik RouterOS(ROS) 7.1.1 稳定版L6 Licenes授权镜像下载 ESXI安装RouterOS部署指南 PHPCMS V9新增自定义全局变量,模版统一调用与修改 RouterOS(ROS)软路由PPPOE拨号上网配置指南(附授权镜像下载) ESXI安装Mikrotik RouterOS(ROS)软路由部署指南(附授权镜像下载)
RouterOS(ROS)自定义设定终端IP、网关、DNS,DHCP静态地址和Options配置
站点密码 AdGuardHome拦截页面模版下载,自定义AdGuardHome拦截页教程,修改AdGuardHome默认拦截页 OpenWRT&LEDE x86 软路由固件下载 镜像每月更新 DDNSTO内网穿透,无需公网IP,实现内网远程设备控制 RouterOS(ROS)软路由开启UPNP设置 PHPCMS V9新增自定义全局变量,模版统一调用与修改 ESXI安装OpenWRT & LEDE软路由部署指南(附镜像下载) 阿里云服务器VPS卸载阿里云盾(安骑士)完整教程 Trojan-Go管理面板一键搭建配置奶妈级教程,设置伪装站点,并开启CDN隐藏VPS真正IP Windows使用StarwindConverter虚拟机磁盘镜像互转
分类
  • ESXI
  • OpenWRT
  • RouterOS
  • VPS
  • 产品
  • 后端
  • 开发
  • 杂项
  • 网络
  • 虚拟化
标签聚合
虚拟化 双软路由 Mikrotik RouterOS ESXI 软路由 openwrt ROS ROS配置 ROS下载
友情链接
  • 百度互联网新闻 百度互联网新闻
  • 腾讯科技 腾讯科技

声明:本站所发布的一切破解文章仅限用于学习和研究目的。
本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的设备中彻底删除上述内容。

COPYRIGHT © 2020 Hewitt‘s Blog. ALL RIGHTS RESERVED. 站点地图

本站已正常运营