RouterOS(ROS)软路由安全性配置指南：服务说明

API：用API接口登录服务。

API-SSL：用需要SSL加密的API接口登录服务。

FTP：FTP服务，用于上传文件到ROS里面，或者从ROS下载文件。

SSH：使用SSH登录配置或者SCP传输文件。

Telnet：使用telnet来进行登录配置。

Winbox：winbox登录服务。

www：使用网页版登录配置。

www-ssl：基于ssl加密的网页版登录配置。

 

三、修改服务端口

1、点击“IP” -- “Services”，将显示所有支持登录ROS的服务列表，本文以SSH服务为例，双击SSH服务，在弹出的Port文本框内填入要使用的端口，修改完成后点击Apply，OK，即可完成服务端口修改。

 

四、限制服务登录的IP

我们可以通过限制IP的方式有效的拦截非法IP地址的登录，这个限制可以是单个IP地址，也可以是网段。

1、点击“IP” -- “Services”，将显示所有支持登录ROS的服务列表，以WinBox服务为例仅允许内网地址通过WinBox登录ROS，双击WinBox服务，在弹出的Available From文本框内填入允许的IP地址或网段，修改完成后点击Apply，OK，即可完成服务IP限制。

 

五、创建新用户

ROS已经不能直接修改默认的admin用户，只能新增，删除或禁用admin。

1、点击“system” -- “users”，将显示ROS所有用户列表，点击左上角蓝色“+”号，新增用户，在弹出的界面中填入新用户名、权限组、密码、确认密码，完成后点击OK保存，注意Group需选择“Full”，代表所有权限。

2、如需禁用admin，则选中admin用户后点击左上角红色“X”号禁用，禁用后admin用户将置灰。

 

六、限制用户登录的IP

1、点击“system” -- “users”，将显示ROS所有用户列表，以admin为例仅允许通过内网地址登录ROS，双击admin用户，在弹出的Available From文本框内填入允许的IP地址或网段，修改完成后点击Apply，OK，即可完成用户IP登录限制。

 

七、关闭公网DNS查询(防止ROS被作为DDOS放大攻击器)

1、点击“IP” -- “Firewall”，左上角蓝色“+”号，添加防火墙规则，Chain选择Input、Protocol选udp、Dst.port填入53、In.interface选择ROS的WAN口(例如ether0-wan)，切换至Action选项卡，Action选drop，点击Apply，OK保存设置。通过此条防火墙规则，防止你的ROS被用来做ddos的放大攻击工具，设置完成后如下图。

 

八、禁止外网Ping

 

1、点击“IP” -- “Firewall”，左上角蓝色“+”号，添加防火墙规则，Chain选择Input、Src-address将方框选中并填入自己的内网IP段(如10.10.10.0/24，/24表示255.255.255.0)、Protocol选icmp，切换至Action选项卡，Action选drop，点击Apply，OK保存设置。通过此条防火墙规则，防止ROS被外网Ping扫描，设置完成后如下图。

相关阅读：

ESXI安装Mikrotik RouterOS(ROS)软路由部署指南(附授权镜像下载)

如您认为文章对您有用，欢迎打赏，谢谢~