在CCNA安全考試中，

有一個考試項目叫二層網絡安全防護，

二層網絡即我們平時說的局域網，

是由交換機和用戶終端構成的網絡體系，

也叫内網！

中國有句俗話叫家賊難防，現在的防火牆功能非常強大，想輕易從外網攻破攻擊内部設備還是比較困難的。但如果有“内鬼”在局域網内登錄并攻擊設備卻非常容易，因此，在二層網絡安全防護考試的第一個學習項目就是保護網絡設備。

上升到三層網絡，最重要的設備就是路由器，路由器關系着内網用戶能否正常訪問互聯網，如果路由器被攻擊或者配置被修改，上不了網那是分分鐘的事，因此保護邊界路由非常關鍵，而限制用戶對路由器的訪問是最直接的一種保護手段。

我是步驟分割線

1.訪問設備的用戶名和密碼

首先，登錄路由器的用戶名和密碼非常重要。

而現在很多路由廠商為了讓用戶購買後能夠方便配置，都固化了默認的用戶名和密碼，比如維盟設備默認管理員的用戶名和密碼是root和admin，這個密碼隻要百度一下很容易就能找到，如果有人遠程接入了你的路由器，而你的用戶名和密碼沒有修改過，那麼很容易就可以登錄進去任意修改配置。

圖1 修改訪問路由器的管理員用戶名和密碼

2.啟用來賓賬戶

維盟路由器的賬戶級别分為3種：超級管理員，管理員和來賓用戶。

超級管理員隻有部分型号支持，大部分型号隻支持管理員，超級管理員能對所有功能和參數進行配置和修改，管理員能對大部分功能和參數進行配置和修改，而來賓用戶隻能對小部分功能和參數進行配置和修改。

登錄路由器之後，依次點擊高級配置-WEB訪問設置，在這裡可以啟用并設置來賓用戶的用戶名和密碼：

圖2 啟用來賓用戶

圖3 來賓用戶隻有小部分功能權限

3.更改http訪問端口号

可通過更改端口來限制用戶訪問路由器。

訪問時路由器IP地址時，登錄維盟路由器時我們隻需要輸入192.168.1.1即可，這是因為http協議的端口号是80，當你輸入192.168.1.1時，浏覽器會默認幫你在地址後面加上80端口，而維盟路由器的遠程訪問端口默認是80，因此不需要填寫端口号就可以打開路由器的登錄界面。

但是，一旦将訪問路由器的端口号改了，那麼下次登錄路由器的時候就不單單隻是輸入IP地址了，同時還要加上對應的端口号。登錄路由器之後，依次點擊高級配置-WEB訪問設置，在這裡可以設置登錄路由器的端口号：

圖4 修改路由器的訪問端口

4.關閉遠程訪問或修改遠程訪問端口号

遠程訪問和http訪問的區别在于：如果你的廣域網地址是公網IP，開啟了遠程訪問之後，可以通過公網IP 端口号的方式訪問，如果關閉則不行；http訪問指的是内網用戶可以通過局域網的IP地址登錄路由器，需要注意的是這兩個訪問方式是不一樣的，主要區别為一個是外網訪問，一個是内網訪問。

登錄路由器之後，依次點擊高級配置-WEB訪問設置，在這裡可以開啟或關閉遠程訪問、修改遠程訪問的端口号。

圖5 開啟遠程訪問，并修改遠程訪問端口号

小結一下

▼▼

簡言之，路由器是一種非常重要而又比較脆弱的網絡設備，功能強大毋容置疑，但即使再強大，也不能擋住以合法用戶名和密碼登錄路由器之後進行的相關攻擊，因此，使用各種手段以保護路由器的安全是非常有必要的。