近日单位核心路由器更换为Mikrotik的CCR系列。该路由器功能和性能十分强大，图形化的配置使得操作和运维都极其方便。但便利带来的弊端便是系统默认对外暴露了大量服务和接口，造成了较多的安全隐患。为此博主查阅了相关文档对路由器进行了安全加固。总体思路就是关闭不必要的端口和服务，减少暴露来大大提升系统安全性。

# 将默认用户名admin更改为其他名称
/user set 0 name=othername
# 设置高强度的密码
/user set 0 password=“大小写字母数字特殊符号不少于10字符”
# 通过指定的IP地址访问
/user set 0 allowed-address=xxxx/yy
# 只保留安全的服务
/ip service disable telnet,f??tp,www,api,api-ssl
# 注意：该操作会禁用Telnet，FTP，WWW，API，API-SSL
# 更改默认端口，这将立即停止大多数随机SSH暴力登录尝试
/ip service set ssh port=2200
# 设置Winbox允许登陆的网段
/ip service set winbox address=192.168.88.0/24
# 禁用mac-telnet服务
/tool mac-server set allowed-interface-list=none
# 禁用mac-winbox服务
/tool mac-server mac-winbox set allowed-interface-list=none
# 禁用mac-ping服务
/tool mac-server ping set enabled=no
# 邻居发现
# MikroTik邻居发现协议用于显示和识别网络中的其他MikroTik设备，禁用所有接口上的邻居发现
# 禁用IPv4 的邻居发现协议
/ip neighbor discovery-settings set discover-interface-list=none
# 禁用IPv6 的邻居发现协议
/ipv6 nd set [find] disabled=yes
# 带宽服务器用于测试两个MikroTik路由器之间的吞吐量，请在测试后禁用它。
/tool bandwidth-server set enabled=no
# DNS缓存
/ip dns set allow-remote-requests=no
# 设置更安全的SSH访问，打开SSH强加密
/ip ssh set strong-crypto=yes
# 关闭 Proxy，Socks代理
/ip proxy set enabled=no
/ip socks set enabled=no
# MikroTik UPnP服务（通用即插即用协议）
/ip upnp set enabled=no
# MikroTik自带的DDNS服务器（动态域名解析）
# 如果不是使用的话请用以下命令禁用
/ip cloud set ddns-enabled=no update-time=no
# 某些型号的RouterBOARD有LCD模块用于信息显示。
/lcd set enabled=no
# 如果你的路由器不提供VPN服务，请用以下命令关闭VPN
/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no
/interface ovpn-server server set enabled=no
# 禁用在设备上使用Radius进行授权
/user aaa set use-radius=no
# 移除操作请慎用
/radius remove numbers=[/radius find]