企业出口路由器是内外网的第一道防线。许多中小企业在使用路由器时仅做基本上网配置,忽略了安全加固,导致网络存在较大风险。以下是10个必须执行的安全配置要点。
基础安全设置
1. 修改默认管理员密码:路由器出厂密码必须立即修改为复杂密码,并定期更换。2. 禁用远程管理(WAN口管理):除非业务必要,否则关闭路由器的公网远程管理功能。3. 升级固件版本:定期在官网检查固件更新,修复已公开的安全漏洞。4. 禁用UPnP:UPnP会自动开放端口,存在被恶意软件利用的风险。5. 关闭不必要的管理界面:TELNET、FTP等明文协议应关闭,仅保留HTTPS管理。
访问控制
6. 限制管理IP白名单:仅允许特定IP或网段访问路由器管理界面。7. 启用ACL过滤:限制内网特定VLAN访问其他VLAN,隔离财务、研发等敏感区域。8. 关闭PING响应(WAN口):避免路由器暴露在互联网扫描中。
监控与日志
9. 开启日志功能:记录登录尝试、端口扫描等异常事件,定期检查。10. 配置流量监控:设置带宽告警,发现异常大流量(可能是中毒或泄露)及时处置。