路由器怎么限制上网的行为（如何限制本地用户访问路由器）

在CCNA安全考试中，

有一个考试项目叫二层网络安全防护，

二层网络即我们平时说的局域网，

是由交换机和用户终端构成的网络体系，

也叫内网！

中国有句俗话叫家贼难防，现在的防火墙功能非常强大，想轻易从外网攻破攻击内部设备还是比较困难的。但如果有“内鬼”在局域网内登录并攻击设备却非常容易，因此，在二层网络安全防护考试的第一个学习项目就是保护网络设备。

上升到三层网络，最重要的设备就是路由器，路由器关系着内网用户能否正常访问互联网，如果路由器被攻击或者配置被修改，上不了网那是分分钟的事，因此保护边界路由非常关键，而限制用户对路由器的访问是最直接的一种保护手段。

我是步骤分割线

1.访问设备的用户名和密码

首先，登录路由器的用户名和密码非常重要。

而现在很多路由厂商为了让用户购买后能够方便配置，都固化了默认的用户名和密码，比如维盟设备默认管理员的用户名和密码是root和admin，这个密码只要百度一下很容易就能找到，如果有人远程接入了你的路由器，而你的用户名和密码没有修改过，那么很容易就可以登录进去任意修改配置。

图1 修改访问路由器的管理员用户名和密码

2.启用来宾账户

维盟路由器的账户级别分为3种：超级管理员，管理员和来宾用户。

超级管理员只有部分型号支持，大部分型号只支持管理员，超级管理员能对所有功能和参数进行配置和修改，管理员能对大部分功能和参数进行配置和修改，而来宾用户只能对小部分功能和参数进行配置和修改。

登录路由器之后，依次点击高级配置-WEB访问设置，在这里可以启用并设置来宾用户的用户名和密码：

图2 启用来宾用户

图3 来宾用户只有小部分功能权限

3.更改http访问端口号

可通过更改端口来限制用户访问路由器。

访问时路由器IP地址时，登录维盟路由器时我们只需要输入192.168.1.1即可，这是因为http协议的端口号是80，当你输入192.168.1.1时，浏览器会默认帮你在地址后面加上80端口，而维盟路由器的远程访问端口默认是80，因此不需要填写端口号就可以打开路由器的登录界面。

但是，一旦将访问路由器的端口号改了，那么下次登录路由器的时候就不单单只是输入IP地址了，同时还要加上对应的端口号。登录路由器之后，依次点击高级配置-WEB访问设置，在这里可以设置登录路由器的端口号：

图4 修改路由器的访问端口

4.关闭远程访问或修改远程访问端口号

远程访问和http访问的区别在于：如果你的广域网地址是公网IP，开启了远程访问之后，可以通过公网IP 端口号的方式访问，如果关闭则不行；http访问指的是内网用户可以通过局域网的IP地址登录路由器，需要注意的是这两个访问方式是不一样的，主要区别为一个是外网访问，一个是内网访问。

登录路由器之后，依次点击高级配置-WEB访问设置，在这里可以开启或关闭远程访问、修改远程访问的端口号。

图5 开启远程访问，并修改远程访问端口号

小结一下

▼▼

简言之，路由器是一种非常重要而又比较脆弱的网络设备，功能强大毋容置疑，但即使再强大，也不能挡住以合法用户名和密码登录路由器之后进行的相关攻击，因此，使用各种手段以保护路由器的安全是非常有必要的。