NAS 安全加固与防火墙策略 (Advanced)¶

基础的安全设置（如 2FA、HTTPS）只是第一道防线。为了应对互联网上无休止的扫描和攻击，你需要构建更严密的防御体系。

纵深防御架构图：

Security Architecture

1. 防火墙策略：GeoIP 地理阻断¶

原理：绝大多数恶意扫描来自特定国家。如果你不出国，完全可以屏蔽海外 IP。

操作步骤： 1. 控制面板 > 安全性 > 防火墙 > 编辑规则。 2. 第一条规则（允许局域网）： * 源 IP：192.168.1.0/24 (根据你家网段)。 * 操作：允许。 * 重要：这必须是第一条，防止把自己锁在外面！ 3. 第二条规则（允许特定国家）： * 源 IP：位置 > 选择中国。 * 操作：允许。 4. 第三条规则（拒绝所有）： * 源 IP：所有。 * 操作：拒绝。 5. 保存。

效果：现在，只有中国 IP 和你的局域网能访问 NAS，俄罗斯或美国的黑客连登录界面都打不开。

2. SSH 安全加固 (Key-based Authentication)¶

密码可能被暴力破解，但密钥几乎不可能。

步骤： 1. 生成密钥：在电脑终端运行 ssh-keygen -t ed25519。 2. 上传公钥：将生成的 .pub 文件内容追加到 NAS 的 ~/.ssh/authorized_keys 文件中。 3. 修改配置： * 编辑 /etc/ssh/sshd_config。 * 设置 PasswordAuthentication no。 * 设置 PubkeyAuthentication yes。 4. 重启 SSH：synosystemctl restart sshd。

效果：即使有人知道你的密码，没有私钥也无法通过 SSH 登录。

密码越长越难记，越短越不安全。DSM 7 提供了更好的解决方案。

方案：使用 Synology Secure SignIn App。
设置：控制面板 > 安全性 > 登录方式。
效果：输入用户名后，手机 App 弹窗点击“批准”即可登录。完全不需要输入密码，从根源上杜绝键盘记录器和撞库攻击。

4. 禁用不必要的服务与权限¶

最小权限原则：

禁用服务：
- 如果不使用 FTP，请在 文件服务 中彻底关闭 FTP/SFTP。
- 如果不使用 Telnet，务必关闭。
- 如果不使用 rsync 服务，关闭它。
- UPnP 必须关：在路由器中关闭 UPnP。很多勒索病毒通过 UPnP 自动映射端口暴露 NAS。
应用程序权限 (控制面板 > 应用程序权限)：
- 并不是每个人都需要用 SSH。
- SSH / FTP / Rsync：只勾选管理员，或者特定的备份账号。绝不允许普通用户使用。
- File Station：全员允许。
- DSM：普通用户其实不需要登录 DSM 桌面（他们可以用 Drive 网页版）。如果可以，尽量禁止普通用户访问 DSM。

5. DoS 保护 (Denial-of-Service)¶

设置：控制面板 > 安全性 > 保护 > DoS 保护。 * 勾选 启用 DoS 保护。 * 这可以防御一些基础的 TCP SYN Flood 攻击，虽然对大规模 DDoS 无效，但对付脚本小子够用了。

6. 幽灵/熔断漏洞修复 (Spectre/Meltdown)¶

对于 Intel CPU 的机型，DSM 提供了微码补丁。

路径：控制面板 > 安全性 > 高级设置。
设置：勾选 启用 Spectre 和 Meltdown 保护。
代价：会造成 5-10% 的性能下降。
建议：
- 如果你经常运行来源不明的 Docker 容器或虚拟机：开启。
- 如果你只是存照片看电影，且不把 NAS 暴露在公网：可以关闭以获得高性能。

7. 禁用“admin”和“guest”¶

检查： * 确保系统默认的 admin 账号状态为 已停用。 * 确保 guest 账号状态为 已停用。 * 攻击者通常只猜密码，账号名默认猜 admin。禁用了它，攻击难度增加一倍。

8. 自定义安全顾问规则¶

安全顾问有时候会报“假警报”（比如你故意开启了 SSH）。

技巧： * 进入 安全顾问 > 高级设置。 * 你可以取消勾选某些检查项（如“SSH 端口未更改”），让报告全绿，专注于真正的威胁。 * 设置 定期扫描计划，并开启邮件通知。

9. 自动封锁与账户保护 (Auto Block vs Account Protection)¶

这是两个很容易混淆的功能，必须同时开启。

自动封锁 (Auto Block)：
- 对象：针对 IP 地址。
- 原理：如果某个 IP 连续输错密码 5 次，就永久封禁该 IP。
- 设置：控制面板 > 安全性 > 保护 > 自动封锁。
- 建议：
  - 登录尝试次数：3 次。
  - 分钟数：5 分钟。
  - 启用封锁过期：不勾选（永久封锁），或者设置 30 天后解封（给误操作的自己留条后路）。
账户保护 (Account Protection)：
- 对象：针对 客户端/账号。
- 原理：如果某个账号在短时间内被大量不同 IP 尝试登录（分布式攻击），则暂时冻结该账号。
- 设置：控制面板 > 安全性 > 账户。
- 建议：
  - 如果不受信任的客户端：3 次 失败后封锁。
  - 取消封锁时间：30 分钟。

10. 进阶安全设置¶

A. TLS/SSL 强化¶

默认配置可能为了兼容性开启了旧版协议，这不安全。 1. 控制面板 > 安全性 > 高级设置。 2. TLS / SSL 配置文件级别：选择 现代兼容性。 * 效果：只允许 TLS 1.2 和 TLS 1.3 连接。 * 注意：这可能会导致 Windows 7 或 Android 4.4 等老旧设备无法连接。如果必须兼容，请选 中间兼容性。

B. 强制 HSTS (HTTP Strict Transport Security)¶

防止中间人攻击（降级攻击）。 1. 控制面板 > 登录门户 > DSM。 2. 勾选 自动将 HTTP 重定向到 HTTPS。 3. 勾选 启用 HSTS。 * 效果：浏览器一旦访问过一次 HTTPS，以后就算你输入 http://，浏览器也会强制在本地跳转到 https://，根本不给中间人劫持的机会。

C. 强制管理员 2FA (两步验证)¶

密码再复杂也怕泄露，2FA 是最后的防线。 1. 个人设置 > 个人 > 双重验证。 2. 强制策略：控制面板 > 安全性 > 账号 > 强制所有管理员启用双重验证。 * 效果：任何管理员账号登录都必须输入手机验证码（OTP）或点击硬件密钥（YubiKey）。

*   **对象**：**IP 地址**。
*   **逻辑**：如果某个 IP 输错密码 5 次，封锁该 IP。
*   **建议**：**5 分钟 5 次**。如果经常异地出差，可以开启“封锁过期”防止误封自己；否则建议永久封锁。

账户保护 (Account Protection)：
- 对象：用户名。
- 逻辑：如果某个账号（如 guest）被全球各地的不同 IP 轮番爆破，自动封锁 IP 没用（因为 IP 一直在变）。此时应该冻结该账号。
- 建议：5 分钟 10 次，冻结账号 60 分钟。不要给攻击者第二次机会。

10. HTTP 严格传输安全 (HSTS)¶

防止中间人攻击。 * 在 登录门户 > DSM > 高级中，勾选 启用 HSTS。 * 这会强制浏览器只通过 HTTPS 连接 NAS，即使你手动输入 http:// 也会被浏览器内部拦截并转换为 https://。

11. 勒索病毒诱捕 (Honey Pot)¶

高级技巧： 1. 创建一个共享文件夹，命名为 AAA_HoneyPot（确保按字母排序排在最前）。 2. 在里面放一些看似重要的文件（如 password.txt, bank.docx）。 3. 设置权限：所有用户只读，或者禁止访问。 4. 原理：勒索病毒通常按字母顺序加密文件。如果它尝试修改这个诱捕文件夹，可能会因为权限不足被系统日志记录，或者你可以编写脚本监控这个文件夹，一旦有变动立即切断网络。

12. 定期检查日志中心¶

习惯养成： * 安装 日志中心 套件。 * 查看 连接日志。如果你看到大量来自陌生 IP 的 SSH login failed 或 DSM login failed，说明你被盯上了。 * 此时应立即检查防火墙设置，或更改服务端口。