绝大部分童鞋买了nas之后都需要远程访问,但直接把nas暴露在公网是一件很危险的事情,一旦ip被有心之人扫描到,对方就会用暴力破解、利用漏洞等等的手段对nas进行攻击,那如何保护自己的nas就成为一定要考虑的事情。
再次强调:不要裸奔不要裸奔!!!一旦被暴力破解那你的文件就可以和你说再见了。
这里利用nas自带的QuFirewall防火墙,通过自动封锁ip以及过滤ip地址来避免99%的攻击,同时用高强度密码+两步验证避免剩下的0.99%,那为什么不能做到100%呢,因为这根本不可能。 注:为简化,所有规则端口都选all,如果选定其他接口请确保正确再应用!否则可能会导致自己不能连接到nas,再实际中请根据具体情况设置。
一、安装QuFirewallAPP Center搜索QuFirewall并安装。
二、打开防火墙打开防火墙,第一次加入需要选择保护模式,选择Basic protection基本保护。
三、简单配置防火墙(以ipv4为例,ipv6配置同理)1.拒绝所有ip访问
2.允许中国ip访问
3.添加允许内网ip(段):例如192.168.31.0/24、10.0.0.x网段
协议选择any
4.禁止所有ICMP(禁止所有ping)
这样就可以禁止除去内网之外所有ICMP(图中权限应当是拒绝,图上错了),完成之后应用即可生效。
四、开启ip封锁黑名单打开设置,控制台-安全-ip访问保护,根据自身需求配置,ip阻止时间选择永远意味着除非手动删除,不然此ip会一直在黑名单中,如果自己在内网中输错了密码到上限那自己也被加到黑名单!
五、更换高强度密码并开启两步验证打开设置,转到权限-用户,点击旁边的小钥匙图标修改高强度密码,最好8位数以上且包含大小写+特殊字符。
之后登录对应账户,点击右上角的账户,选择登录和安全性,转到两步验证开启即可。 注意:例如webdav这些远程访问不能两步验证,所以最好给需要远程访问文件的账户设置高强度密码,这个两步验证主要是再登录nas web控制台的时候需要用上,个人强烈建议管理员账号禁止远程登录且启用两步验证,也尽量不要把web控制台的端口直接暴露在公网,同时不同的共享文件夹配置不同的用户访问权限。
六、其他1、部分路由器自己可以过滤来访问的ip,可以在路由器端开启此功能后nas端配合ip封锁即可。
2、不要把默认端口暴露在公网,这些默认端口一定会有很多人扫描的,可以在路由器端更换映射端口,比如把默认5000端口改成5555端口,就可以避免很多人来扫描从而避免被攻击。
3、强烈建议不要把web控制台暴露在公网,如果需要也最好配置好证书启用ssl。
4、部分pt等下载方式会有钓鱼行为,就是当自己下载对应的文件时会主动暴露自己的公网ip,从而被定向爆破,使用此类软件的时候请注意。
5、定期升级软件和更新nas固件,安全更新必不可少,程序的漏洞只能通过升级来解决。 |