路由器的配置及管理,是网管进行路由器工作的第一步。这个简单的基本工作,在很多情况,都需要路由器的功能支持,才能达到安全方便的目的。因此对于一个网管而言,必须在购置路由器时,就选择具备足够功能的产品,才能在需要时进行配置。若是路由器的功能太简单,通常会造成网管工作上的困难,甚至是网络安全受到威胁的情况。
下表列出在配置及管理方面,常面临的一些问题及对应的解决功能:
下面,我们以侠诺路由器为例,向大家一一介绍中小企业安全路由器配置及管理的详细说明与解答。
一、中/英文Web页面管理
侠诺路由器支持使用一般的IE及其它可观看互联网html格式的软件,因此可以支持不同的操作系统,例如Linux、Unix、AppleOS或是通过手机来进行操作。对于一些中小型企业来讲,提供中/英文Web页面的管理方便快捷的管理模式减少管理复杂烦琐的命令输入,即使非专业人员也可以通过简单的Web页面来管理我们的网络。对于有些企业而言,会把设备寄送到国外的子公司,这时提供英文配置界面,就允许国外的员工进行配置。
图一:中/英文Web管理页面首页,可以根据用户需要选择自己合适的语言界面管理内部网络。
Web管理页面的首页可以进行路由器工作情况的了解及相关功能的配置,用户只要使用鼠标及键盘输入,即可有效的掌握路由器工作情况。以路由器工作情况显示而言,包括“系统信息”、“端口即时状态显示”、“基本项目配置状态显示”、“进阶项目配置状态显示”、“防火墙项目配置状态显示”、“VPN配置状态显示”、“Log记录配置状态显示”都会显示,网管从这些信息可以了解到路由器的基本工作状态。
二、路由器登录密码的修改
对于网络安全来讲,路由器的登录密码很重要,长时间的使用一个用户名以及密码是很危险的事情,难免会出现泄露的事情,所以网络管理人员得经常修改登录路由器的密码以避免类似的事情发生。我们强烈建议用户在启用路由器后即进行密码的修改,并在日后不定期进行密码的修改。
网管可进入路由器的管理界面,点击Qno侠诺路由器的“基本配置项目”菜单,即可看到其中的“密码设置”页面,输入原始“密码”、“新使用者名称”、“新密码”和“再次输入新密码”,确认新密码输入无误,点击“确定”后修改密码成功。
图二:侠诺路由器登录密码修改页面,注意:路由器默认出厂值“使用者名称”和“密码”均为“admin”。
三、硬件恢复 (Reset) 按键
日常工作忙碌的网管,由于处理的事太多了,所以有时会忘记路由器的密码,这时常会发生无法进行配置的情况。在这种情况下,就必须使用位于产品正面上的硬件恢复键了。这个键是用于热开机及恢复原出厂默认值之用。因此忘记密码的网管必须执行“恢复原出厂默认值”的命令,清除路由器中的密码,就可以使用出厂密码进入了。不过,同时所有的设定参数也都会被清掉,必须重新进行配置。
当按下Reset按钮5秒,就会进行热开机动作,这时路由器会重新启动,灯号会进行动作,以Qno 侠诺FVR420v为例,DIAG 灯号呈现橘色灯号,慢慢闪烁。当按下Reset按钮10秒以上,则会执行回复原出厂默认值(Factory Default),DIAG 灯号呈现橘色,灯号快闪。
因此若是密码忘记,将无法再登入至路由器的设定画面,必须按下面板上的 Reset按键十秒以上,恢复到出厂值(Factory Default)。下面,我们介绍如何事先把配置参数储存起来,以节省重新配置的工作。并且,网管最好将路由器放置于上锁或较为安全的空间,以避免被恶意人士进行系统热开机或是偷取。
四、系统配置参数文件储存
系统配置参数文件储存(Export Configuration File),可将Qno侠诺路由器的所有配置参数储存。此功能为储存网管人员将Qno侠诺路由器的设定参数备份到计算机中,通常做路由器版本升级前或是完成所有配置,运作稳定后,请务必将您现在的路由器设定参数用此功能储存在计算机中! 只要在Qno侠诺路由器的“配置参数备份/恢复”的“系统配置参数文件储存”功能按下存储按钮,选择备份参数档案“config.exp”存放数据夹位置,按下储存即可。这个功能对于需要配置多路由器的用户也很方便,只要将参数存下,用邮件方式寄给其它路由器管理者,再进行ISP端相关的参数修改即可,用户管理、带宽管理及安全相关的配置都可以套用,方便又可增加安全性。
图三:Qno侠诺路由器的“配置参数备份/恢复”内有“系统配置参数文件储存”及“配置文件设定文件汇入”功能,可用于备份所有配置参数,方便又可增加安全度。
配置文件设定文件汇入(Import Configuration File),此功能则可将之前所储存在计算机的备份设定参数内容回存到侠诺路由器中!选择“浏览”至备份参数档案“config.exp”存放数据夹,选择该档案后,按下“汇入”按钮则可做设定档案汇入。
五、日志管理
Qno侠诺路由器提供系统日志功能,网管员可以通过日志系统的相关功能即时监控系统状态及内外流量,确保内网运作无误,这可以确保整体系统的运作持续被监控。
Qno侠诺路由器支持系统日志(Syslog)服务器功能,设置如果得到的话,可有效帮助网管了解路由器日常运作发生了什么事,尤其是在不时受到攻击而产生掉线的情况下。在互联网上用“syslog 服务器”的搜索字词,即可找到很多相关的信息,协助网管架设一个日志服务器。网管只要键入系统日志服务器的IP或是网域名称,Qno侠诺路由器即会定时把工作日志记录在安全的服务器上。
除此之用,还包括电子邮件告警功能及系统日志配置的选项。电子邮件告警功能在系统安全受到威胁时立即通报,让网管能够第一时间及时反应,做到提前预警的功能。系统日志配置则用于选择日志要记录那些重要的事项,过度的选择将会使得日志档过大,而且占用储存空间;选择不足则导致记录不全,无法进行除错的工作,网管必须视需要决定。
图四:日志管理页面,对于注意安全的网管,可支持系统日志服务器的配置,完整记录路由器工作状况,在面对掉线或是攻击事件时有助于除错的进行。
六、远程管理配置
Qno侠诺路由器具备“远程管理及动态域名”、“服务配置”两个服务,网管即使再远,都可从家中或网吧的台式机进到公司内的路由器,了解工作情况并进行配置。
远程管理的概念很简单,就是允许网管能通过互联网,使用IE进入路由器的管理界面,进行管理。由于Qno侠诺路由器具备防火墙的功能,因此对于一般从广域网来的服务要求,是会加以拒絶的,因此要能进行远程管理,必须要路由器开启该功能才可。
网管可进入路由器的管理界面,点击Qno侠诺路由器的“防火墙配置”菜单,即可看到其中的“基本设定”页面,其中有一个“远程配置管理功能”,将这个功能加以激活,并储存配置,即可进行远程管理工作了。网管可以在家中,直接在在网址栏中键入公司路由器的广域网IP,再键入用户名及密码,即可进行管理。
注意:在开通远程管理的时候,其路由器原始出厂默认的用户名“admin”和密码“admin”不能支持远程登录,管理人员可以修改原始出厂的用户名和密码支持远程管理。
图五:远程配置管理功能,必须加以激活才能起作用,一般出厂是关闭的。侠诺的技术支持在进行远程服务时,也是采用这个功能。
值得一提的是,由于一般常见的网页应用都是使用服务端口80,如果遇到有心人士,只很容易就能进入键入用户名及密码的页面,这样增加了被外人入侵的风险。为了让外部人土找不到远程配置的入口,可以任意设置从1-65535的端口,互联网上其它人就无法找到入口处了。以上图的案例中,是设置为7181的。相对要从外面进行远程配置时,要在IP地址后加上“:7181”,表示指定7181服务端口。也就是在网址栏必须键入http://109.131.36.158:7181。
七、动态域名
有了远程配置,中小企业的网管还面临另一个问题,就是一般企业用的ADSL线路使用的为动态IP地址。也就是IP地址是会变动的,今天和明天的IP不一定相同,这个小时和下个小时的IP也不一定相同。那网管要从家中,根本就找不到路由器了,要如何进行管理呢?还好,为了这个问题,市面上提供了动态域名的服务,用户的IP即使时时变动,也能透过固定的域名,对应到特定的路由器,可解决以上的问题。用户可以登记例如company.ddns.org.cn的域名,就再也不用记IP地址了。
Qno侠诺路由器支持动态域名服务,为了服务侠诺用户,也建置了动态域名系统,提供给最新产品的用户使用。用户可到http://www.qno.cn/ddns上进行登记,即可拥有company.ddns.org.cn,可作远程登入,也可作为架设公共服务器使用。该服务未来也将在侠诺现有产品新的软件版本上使用。
图六:Qno侠诺提供动态域名服务,部份产品型号用户只要键入电子邮件及产品序列号,即可申请免费的侠诺动态域名服务。
同时,现有Qno侠诺路由器也支持免费的3322.org动态域名服务,用户也可申请。为一个WAN连络设定双重动态域名,可以起到动态域名备援的作用,进一止增加安全性。在路由器中,也必须在“进阶功能配置”菜单中的“DDNS动态域名解析服务中”,进行相关的设定,依动态域名服务做对应的配置,才能开始运作。
八、小结
熟悉配置管理,就好比开车熟悉车室内的方向盘及仪表板操作一样,不管在平时操作或面临安全威胁时,都可简化处理的时间及程序。因此,对于注重网络安全的网管而言,最好适当地了解相关的功能。