路由器的配置及管理，是網(wǎng)管進(jìn)行路由器工作的第一步。這個(gè)簡(jiǎn)單的基本工作，在很多情況，都需要路由器的功能支持，才能達(dá)到安全方便的目的。因此對(duì)于一個(gè)網(wǎng)管而言，必須在購置路由器時(shí)，就選擇具備足夠功能的產(chǎn)品，才能在需要時(shí)進(jìn)行配置。若是路由器的功能太簡(jiǎn)單，通常會(huì)造成網(wǎng)管工作上的困難，甚至是網(wǎng)絡(luò)安全受到威脅的情況。

　　下表列出在配置及管理方面，常面臨的一些問題及對(duì)應(yīng)的解決功能：

項(xiàng)目	問題	解決功能
1	使用窗口以外操作系統(tǒng)，是否可以操作?使用沒有中文的操作系統(tǒng)是否可以操作?	中/英文Web頁面管理
2	如何修改路由器密碼?路由器密碼遺忘如何處理?	登錄密碼的修改、恢復(fù)出廠值
3	如何在特殊情況知道路由器工作情況?重要情況如何通知網(wǎng)管?	系統(tǒng)日志
4	如何保存配置參數(shù)?如何告訴技術(shù)支持人員配置情形?	配置參數(shù)儲(chǔ)存
5	如何在遠(yuǎn)程管控路由器?	遠(yuǎn)程管理配置、Qno動(dòng)態(tài)域名服務(wù)

　　下面，我們以俠諾路由器為例，向大家一一介紹中小企業(yè)安全路由器配置及管理的詳細(xì)說明與解答。

一、中/英文Web頁面管理

　　俠諾路由器支持使用一般的IE及其它可觀看互聯(lián)網(wǎng)html格式的軟件，因此可以支持不同的操作系統(tǒng)，例如Linux、Unix、AppleOS或是通過手機(jī)來進(jìn)行操作。對(duì)于一些中小型企業(yè)來講，提供中/英文Web頁面的管理方便快捷的管理模式減少管理復(fù)雜煩瑣的命令輸入，即使非專業(yè)人員也可以通過簡(jiǎn)單的Web頁面來管理我們的網(wǎng)絡(luò)。對(duì)于有些企業(yè)而言，會(huì)把設(shè)備寄送到國(guó)外的子公司，這時(shí)提供英文配置界面，就允許國(guó)外的員工進(jìn)行配置。

圖一

　　中/英文Web管理頁面首頁，可以根據(jù)用戶需要選擇自己合適的語言界面管理內(nèi)部網(wǎng)絡(luò)。

　　Web管理頁面的首頁可以進(jìn)行路由器工作情況的了解及相關(guān)功能的配置，用戶只要使用鼠標(biāo)及鍵盤輸入，即可有效的掌握路由器工作情況。以路由器工作情況顯示而言，包括“系統(tǒng)信息”、“端口即時(shí)狀態(tài)顯示”、“基本項(xiàng)目配置狀態(tài)顯示”、“進(jìn)階項(xiàng)目配置狀態(tài)顯示”、“防火墻項(xiàng)目配置狀態(tài)顯示”、“VPN配置狀態(tài)顯示”、“Log記錄配置狀態(tài)顯示”都會(huì)顯示，網(wǎng)管從這些信息可以了解到路由器的基本工作狀態(tài)。

二、路由器登錄密碼的修改

　　對(duì)于網(wǎng)絡(luò)安全來講，路由器的登錄密碼很重要，長(zhǎng)時(shí)間的使用一個(gè)用戶名以及密碼是很危險(xiǎn)的事情，難免會(huì)出現(xiàn)泄露的事情，所以網(wǎng)絡(luò)管理人員得經(jīng)常修改登錄路由器的密碼以避免類似的事情發(fā)生。我們強(qiáng)烈建議用戶在啟用路由器后即進(jìn)行密碼的修改，并在日后不定期進(jìn)行密碼的修改。

　　網(wǎng)管可進(jìn)入路由器的管理界面，點(diǎn)擊Qno俠諾路由器的“基本配置項(xiàng)目”菜單，即可看到其中的“密碼設(shè)置”頁面，輸入原始“密碼”、“新使用者名稱”、“新密碼”和“再次輸入新密碼”，確認(rèn)新密碼輸入無誤，點(diǎn)擊“確定”后修改密碼成功。

圖二

　　俠諾路由器登錄密碼修改頁面，注意：路由器默認(rèn)出廠值“使用者名稱”和“密碼”均為“admin”。

三、硬件回復(fù) (Reset) 按鍵

　　日常工作忙碌的網(wǎng)管，由于處理的事太多了，所以有時(shí)會(huì)忘記路由器的密碼，這時(shí)常會(huì)發(fā)生無法進(jìn)行配置的情況。在這種情況下，就必須使用位于產(chǎn)品正面上的硬件恢復(fù)鍵了。這個(gè)鍵是用于熱開機(jī)及恢復(fù)原出廠默認(rèn)值之用。因此忘記密碼的網(wǎng)管必須執(zhí)行“恢復(fù)原出廠默認(rèn)值”的命令，清除路由器中的密碼，就可以使用出廠密碼進(jìn)入了。不過，同時(shí)所有的設(shè)定參數(shù)也都會(huì)被清掉，必須重新進(jìn)行配置。

　　當(dāng)按下Reset按鈕5秒，就會(huì)進(jìn)行熱開機(jī)動(dòng)作，這時(shí)路由器會(huì)重新啟動(dòng)，燈號(hào)會(huì)進(jìn)行動(dòng)作，以Qno 俠諾FVR420v為例，DIAG 燈號(hào)呈現(xiàn)橘色燈號(hào)，慢慢閃爍。當(dāng)按下Reset按鈕10秒以上，則會(huì)執(zhí)行回復(fù)原出廠默認(rèn)值(Factory Default)，DIAG 燈號(hào)呈現(xiàn)橘色，燈號(hào)快閃。

　　因此若是密碼忘記，將無法再登入至路由器的設(shè)定畫面，必須按下面板上的 Reset按鍵十秒以上，恢復(fù)到出廠值(Factory Default)。下面，我們介紹如何事先把配置參數(shù)儲(chǔ)存起來，以節(jié)省重新配置的工作。并且，網(wǎng)管最好將路由器放置于上鎖或較為安全的空間，以避免被惡意人士進(jìn)行系統(tǒng)熱開機(jī)或是偷取。

四、系統(tǒng)配置參數(shù)文件儲(chǔ)存

　　系統(tǒng)配置參數(shù)文件儲(chǔ)存(Export Configuration File)，可將Qno俠諾路由器的所有配置參數(shù)儲(chǔ)存。此功能為儲(chǔ)存網(wǎng)管人員將Qno俠諾路由器的設(shè)定參數(shù)備份到計(jì)算機(jī)中，通常做路由器版本升級(jí)前或是完成所有配置，運(yùn)作穩(wěn)定后，請(qǐng)務(wù)必將您現(xiàn)在的路由器設(shè)定參數(shù)用此功能儲(chǔ)存在計(jì)算機(jī)中! 只要在Qno俠諾路由器的“配置參數(shù)備份/恢復(fù)”的“系統(tǒng)配置參數(shù)文件儲(chǔ)存”功能按下存儲(chǔ)按鈕，選擇備份參數(shù)檔案“config.exp”存放數(shù)據(jù)夾位置，按下儲(chǔ)存即可。這個(gè)功能對(duì)于需要配置多路由器的用戶也很方便，只要將參數(shù)存下，用郵件方式寄給其它路由器管理者，再進(jìn)行ISP端相關(guān)的參數(shù)修改即可，用戶管理、帶寬管理及安全相關(guān)的配置都可以套用，方便又可增加安全性。

圖三

　　Qno俠諾路由器的“配置參數(shù)備份/恢復(fù)”內(nèi)有“系統(tǒng)配置參數(shù)文件儲(chǔ)存”及“配置文件設(shè)定文件匯入”功能，可用于備份所有配置參數(shù)，方便又可增加安全度。

　　配置文件設(shè)定文件匯入(Import Configuration File)，此功能則可將之前所儲(chǔ)存在計(jì)算機(jī)的備份設(shè)定參數(shù)內(nèi)容回存到俠諾路由器中!選擇“瀏覽”至備份參數(shù)檔案“config.exp”存放數(shù)據(jù)夾，選擇該檔案后，按下“匯入”按鈕則可做設(shè)定檔案匯入。

五、日志管理

　　Qno俠諾路由器提供系統(tǒng)日志功能，網(wǎng)管員可以通過日志系統(tǒng)的相關(guān)功能即時(shí)監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量，確保內(nèi)網(wǎng)運(yùn)作無誤，這可以確保整體系統(tǒng)的運(yùn)作持續(xù)被監(jiān)控。

　　Qno俠諾路由器支持系統(tǒng)日志(Syslog)服務(wù)器功能，設(shè)置如果得到的話，可有效幫助網(wǎng)管了解路由器日常運(yùn)作發(fā)生了什么事，尤其是在不時(shí)受到攻擊而產(chǎn)生掉線的情況下。在互聯(lián)網(wǎng)上用“syslog 服務(wù)器”的搜索字詞，即可找到很多相關(guān)的信息，協(xié)助網(wǎng)管架設(shè)一個(gè)日志服務(wù)器。網(wǎng)管只要鍵入系統(tǒng)日志服務(wù)器的IP或是網(wǎng)域名稱，Qno俠諾路由器即會(huì)定時(shí)把工作日志記錄在安全的服務(wù)器上。

　　除此之用，還包括電子郵件告警功能及系統(tǒng)日志配置的選項(xiàng)。電子郵件告警功能在系統(tǒng)安全受到威脅時(shí)立即通報(bào)，讓網(wǎng)管能夠第一時(shí)間及時(shí)反應(yīng)，做到提前預(yù)警的功能。系統(tǒng)日志配置則用于選擇日志要記錄那些重要的事項(xiàng)，過度的選擇將會(huì)使得日志檔過大，而且占用儲(chǔ)存空間;選擇不足則導(dǎo)致記錄不全，無法進(jìn)行除錯(cuò)的工作，網(wǎng)管必須視需要決定。

圖四

　　日志管理頁面，對(duì)于注意安全的網(wǎng)管，可支持系統(tǒng)日志服務(wù)器的配置，完整記錄路由器工作狀況，在面對(duì)掉線或是攻擊事件時(shí)有助于除錯(cuò)的進(jìn)行。

六、遠(yuǎn)程管理配置

　　Qno俠諾路由器具備“遠(yuǎn)程管理及動(dòng)態(tài)域名”、“服務(wù)配置”兩個(gè)服務(wù)，網(wǎng)管即使再遠(yuǎn)，都可從家中或網(wǎng)吧的臺(tái)式機(jī)進(jìn)到公司內(nèi)的路由器，了解工作情況并進(jìn)行配置。

　　遠(yuǎn)程管理的概念很簡(jiǎn)單，就是允許網(wǎng)管能通過互聯(lián)網(wǎng)，使用IE進(jìn)入路由器的管理界面，進(jìn)行管理。由于Qno俠諾路由器具備防火墻的功能，因此對(duì)于一般從廣域網(wǎng)來的服務(wù)要求，是會(huì)加以拒絶的，因此要能進(jìn)行遠(yuǎn)程管理，必須要路由器開啟該功能才可。

　　網(wǎng)管可進(jìn)入路由器的管理界面，點(diǎn)擊Qno俠諾路由器的“防火墻配置”菜單，即可看到其中的“基本設(shè)定”頁面，其中有一個(gè)“遠(yuǎn)程配置管理功能”，將這個(gè)功能加以激活，并儲(chǔ)存配置，即可進(jìn)行遠(yuǎn)程管理工作了。網(wǎng)管可以在家中，直接在在網(wǎng)址欄中鍵入公司路由器的廣域網(wǎng)IP，再鍵入用戶名及密碼，即可進(jìn)行管理。

　　注意：在開通遠(yuǎn)程管理的時(shí)候，其路由器原始出廠默認(rèn)的用戶名“admin”和密碼“admin”不能支持遠(yuǎn)程登錄，管理人員可以修改原始出廠的用戶名和密碼支持遠(yuǎn)程管理。

圖五

　　遠(yuǎn)程配置管理功能，必須加以激活才能起作用，一般出廠是關(guān)閉的。俠諾的技術(shù)支持在進(jìn)行遠(yuǎn)程服務(wù)時(shí)，也是采用這個(gè)功能。

　　值得一提的是，由于一般常見的網(wǎng)頁應(yīng)用都是使用服務(wù)端口80，如果遇到有心人士，只很容易就能進(jìn)入鍵入用戶名及密碼的頁面，這樣增加了被外人入侵的風(fēng)險(xiǎn)。為了讓外部人土找不到遠(yuǎn)程配置的入口，可以任意設(shè)置從1-65535的端口，互聯(lián)網(wǎng)上其它人就無法找到入口處了。以上圖的案例中，是設(shè)置為7181的。相對(duì)要從外面進(jìn)行遠(yuǎn)程配置時(shí)，要在IP地址后加上“：7181”，表示指定7181服務(wù)端口。也就是在網(wǎng)址欄必須鍵入http://109.131.36.158:7181。

七、動(dòng)態(tài)域名

　　有了遠(yuǎn)程配置，中小企業(yè)的網(wǎng)管還面臨另一個(gè)問題，就是一般企業(yè)用的ADSL線路使用的為動(dòng)態(tài)IP地址。也就是IP地址是會(huì)變動(dòng)的，今天和明天的IP不一定相同，這個(gè)小時(shí)和下個(gè)小時(shí)的IP也不一定相同。那網(wǎng)管要從家中，根本就找不到路由器了，要如何進(jìn)行管理呢?還好，為了這個(gè)問題，市面上提供了動(dòng)態(tài)域名的服務(wù)，用戶的IP即使時(shí)時(shí)變動(dòng)，也能透過固定的域名，對(duì)應(yīng)到特定的路由器，可解決以上的問題。用戶可以登記例如company.ddns.org.cn的域名，就再也不用記IP地址了。

　　Qno俠諾路由器支持動(dòng)態(tài)域名服務(wù)，為了服務(wù)俠諾用戶，也建置了動(dòng)態(tài)域名系統(tǒng)，提供給最新產(chǎn)品的用戶使用。用戶可到 http://www.qno.cn/ddns 上進(jìn)行登記，即可擁有company.ddns.org.cn，可作遠(yuǎn)程登入，也可作為架設(shè)公共服務(wù)器使用。該服務(wù)未來也將在俠諾現(xiàn)有產(chǎn)品新的軟件版本上使用。

圖六

　　Qno俠諾提供動(dòng)態(tài)域名服務(wù)，部份產(chǎn)品型號(hào)用戶只要鍵入電子郵件及產(chǎn)品序列號(hào)，即可申請(qǐng)免費(fèi)的俠諾動(dòng)態(tài)域名服務(wù)。

　　同時(shí)，現(xiàn)有Qno俠諾路由器也支持免費(fèi)的3322.org動(dòng)態(tài)域名服務(wù)，用戶也可申請(qǐng)。為一個(gè)WAN連絡(luò)設(shè)定雙重動(dòng)態(tài)域名，可以起到動(dòng)態(tài)域名備援的作用，進(jìn)一止增加安全性。在路由器中，也必須在“進(jìn)階功能配置”菜單中的“DDNS動(dòng)態(tài)域名解析服務(wù)中”，進(jìn)行相關(guān)的設(shè)定，依動(dòng)態(tài)域名服務(wù)做對(duì)應(yīng)的配置，才能開始運(yùn)作。

八、小結(jié)

　　熟悉配置管理，就好比開車熟悉車室內(nèi)的方向盤及儀表板操作一樣，不管在平時(shí)操作或面臨安全威脅時(shí)，都可簡(jiǎn)化處理的時(shí)間及程序。因此，對(duì)于注重網(wǎng)絡(luò)安全的網(wǎng)管而言，最好適當(dāng)?shù)亓私庀嚓P(guān)的功能。

中小企業(yè)安全路由器配置及管理