跳转至

NAS 安全加固与防火墙策略 (Advanced)

基础的安全设置(如 2FA、HTTPS)只是第一道防线。为了应对互联网上无休止的扫描和攻击,你需要构建更严密的防御体系。

1. 防火墙策略:GeoIP 地理阻断

原理:绝大多数恶意扫描来自特定国家。如果你不出国,完全可以屏蔽海外 IP。

操作步骤: 1. 控制面板 > 安全性 > 防火墙 > 编辑规则。 2. 第一条规则(允许局域网): * 源 IP:192.168.1.0/24 (根据你家网段)。 * 操作:允许。 * 重要:这必须是第一条,防止把自己锁在外面! 3. 第二条规则(允许特定国家): * 源 IP:位置 > 选择 中国。 * 操作:允许。 4. 第三条规则(拒绝所有): * 源 IP:所有。 * 操作:拒绝。 5. 保存

效果:现在,只有中国 IP 和你的局域网能访问 NAS,俄罗斯或美国的黑客连登录界面都打不开。

2. SSH 安全加固 (Key-based Authentication)

密码可能被暴力破解,但密钥几乎不可能。

步骤: 1. 生成密钥:在电脑终端运行 ssh-keygen -t ed25519。 2. 上传公钥:将生成的 .pub 文件内容追加到 NAS 的 ~/.ssh/authorized_keys 文件中。 3. 修改配置: * 编辑 /etc/ssh/sshd_config。 * 设置 PasswordAuthentication no。 * 设置 PubkeyAuthentication yes。 4. 重启 SSHsynosystemctl restart sshd

效果:即使有人知道你的密码,没有私钥也无法通过 SSH 登录。

3. 免密登录 (Secure SignIn)

密码越长越难记,越短越不安全。DSM 7 提供了更好的解决方案。

  • 方案:使用 Synology Secure SignIn App。
  • 设置:控制面板 > 安全性 > 登录方式。
  • 效果:输入用户名后,手机 App 弹窗点击“批准”即可登录。完全不需要输入密码,从根源上杜绝键盘记录器和撞库攻击。

4. 禁用不必要的服务与权限

最小权限原则

  • 禁用服务
    • 如果不使用 FTP,请在 文件服务 中彻底关闭 FTP/SFTP。
    • 如果不使用 Telnet,务必关闭。
    • 如果不使用 rsync 服务,关闭它。
    • UPnP 必须关:在路由器中关闭 UPnP。很多勒索病毒通过 UPnP 自动映射端口暴露 NAS。
  • 应用程序权限 (控制面板 > 应用程序权限):
    • 并不是每个人都需要用 SSH。
    • SSH / FTP / Rsync只勾选管理员,或者特定的备份账号。绝不允许普通用户使用。
    • File Station:全员允许。
    • DSM:普通用户其实不需要登录 DSM 桌面(他们可以用 Drive 网页版)。如果可以,尽量禁止普通用户访问 DSM。

5. DoS 保护 (Denial-of-Service)

设置控制面板 > 安全性 > 保护 > DoS 保护。 * 勾选 启用 DoS 保护。 * 这可以防御一些基础的 TCP SYN Flood 攻击,虽然对大规模 DDoS 无效,但对付脚本小子够用了。

6. 幽灵/熔断漏洞修复 (Spectre/Meltdown)

对于 Intel CPU 的机型,DSM 提供了微码补丁。

  • 路径:控制面板 > 安全性 > 高级设置。
  • 设置:勾选 启用 Spectre 和 Meltdown 保护
  • 代价:会造成 5-10% 的性能下降。
  • 建议
    • 如果你经常运行来源不明的 Docker 容器或虚拟机:开启
    • 如果你只是存照片看电影,且不把 NAS 暴露在公网:可以关闭以获得高性能。

7. 禁用“admin”和“guest”

检查: * 确保系统默认的 admin 账号状态为 已停用。 * 确保 guest 账号状态为 已停用。 * 攻击者通常只猜密码,账号名默认猜 admin。禁用了它,攻击难度增加一倍。

8. 自定义安全顾问规则

安全顾问有时候会报“假警报”(比如你故意开启了 SSH)。

技巧: * 进入 安全顾问 > 高级设置。 * 你可以取消勾选某些检查项(如“SSH 端口未更改”),让报告全绿,专注于真正的威胁。 * 设置 定期扫描计划,并开启邮件通知。

9. 自动封锁与账户保护 (Auto Block vs Account Protection)

这是两个很容易混淆的功能,必须同时开启。

  • 自动封锁 (Auto Block)
    • 对象IP 地址
    • 逻辑:如果某个 IP 输错密码 5 次,封锁该 IP。
    • 建议5 分钟 5 次。如果经常异地出差,可以开启“封锁过期”防止误封自己;否则建议永久封锁。
  • 账户保护 (Account Protection)
    • 对象用户名
    • 逻辑:如果某个账号(如 guest)被全球各地的不同 IP 轮番爆破,自动封锁 IP 没用(因为 IP 一直在变)。此时应该冻结该账号
    • 建议5 分钟 10 次,冻结账号 60 分钟。不要给攻击者第二次机会。

10. HTTP 严格传输安全 (HSTS)

防止中间人攻击。 * 在 登录门户 > DSM > 高级 中,勾选 启用 HSTS。 * 这会强制浏览器只通过 HTTPS 连接 NAS,即使你手动输入 http:// 也会被浏览器内部拦截并转换为 https://

11. 勒索病毒诱捕 (Honey Pot)

高级技巧: 1. 创建一个共享文件夹,命名为 AAA_HoneyPot(确保按字母排序排在最前)。 2. 在里面放一些看似重要的文件(如 password.txt, bank.docx)。 3. 设置权限:所有用户只读,或者禁止访问。 4. 原理:勒索病毒通常按字母顺序加密文件。如果它尝试修改这个诱捕文件夹,可能会因为权限不足被系统日志记录,或者你可以编写脚本监控这个文件夹,一旦有变动立即切断网络。

12. 定期检查日志中心

习惯养成: * 安装 日志中心 套件。 * 查看 连接日志。如果你看到大量来自陌生 IP 的 SSH login failedDSM login failed,说明你被盯上了。 * 此时应立即检查防火墙设置,或更改服务端口。