? 前言

在上個10年前那個網(wǎng)絡剛興起的時代提起網(wǎng)絡安全，正常人的第一反應就是：不裝殺毒軟件電腦會中病毒，比如熊貓燒香、灰鴿子、梅麗莎等病毒名字，即使不怎么用電腦的普通人都聽說過。

然而近幾年，病毒這個名詞幾乎很少聽到了，取而代之的是直接結果：QQ/微信賬號被盜、植入垃圾軟件和垃圾彈窗等等，最臭名昭著的要數(shù)數(shù)據(jù)勒索，就在本月就出現(xiàn)了某NAS大面積被勒索的慘狀，我現(xiàn)實中的朋友也不幸中標，數(shù)據(jù)無法恢復。

本文和大家分享一些家用網(wǎng)絡防護心得，第一段為群暉NAS防護，第二段則是通用的路由器抄作業(yè)配置，最后段講解支持多網(wǎng)盤的備份鏈路創(chuàng)建，希望能拋磚引玉，點沒點到的咱評論區(qū)見。

? 相關推薦

日常推薦硬件，感興趣的朋友可以看下。

1??群暉 DS220+

介紹：賣的非常好的入門級別群暉，CPU為X86入門級別的J4025，非常適合低需求用戶，存儲文檔外加掛點Docker足夠用了，有活動一千多入手挺劃算，當然如果不急的話可以等群暉新款也可以。

2??群暉 DS720+

介紹：群暉目前在售機型中的小鋼炮，J4125+2G內存+雙千兆網(wǎng)口不是重點，最重要的是內置了兩條NVME硬盤槽位，配合上高性能固態(tài)硬盤可以勝任商用需求，插滿后整機IOps更為暴躁，同時也會比四塊機械硬盤更加省電。

3??群暉 DS920+

介紹：群暉目前民用級別四盤位中最強的型號，J4125+4G內存+雙千兆網(wǎng)口的配置也算是跟上了主流，如果不急的話可以等等2022年的新款旗艦機，據(jù)說配置非常頂，值得期待。

4??領勢（Linksys） MX5502

介紹：CPU使用A53架構的高通雙核IPQ5018，內存和閃存同為512M，物理網(wǎng)口全千兆（WAN1+LAN3），內置六個無線信號天線，2.4G和5G無線帶寬分別為574Mbps和4804Mbps，頻寬為160Mhz，MU-MIMO和OFDMA這些常規(guī)協(xié)議都支持，重點是支持領勢的iMesh。

5??領勢（Linksys） MX4200

介紹：CPU使用A53架構的高通六核IPQ8174（4CPU+2NPU），主頻1.0GHz，內存和閃存同為512M，物理網(wǎng)口全千兆（WAN*1+LAN*3），內置六個無線信號天線，和MX5500不同的是多了一個頻段，一個2.4G（574Mbps）+一個5G（1201Mbps）+一個5G（2402Mbps），比MX5500更適合當無線回程拓撲中的子節(jié)點。

6??希捷 酷狼 機械硬盤

酷狼是希捷的NAS系列機械硬盤，CMR非疊瓦，5900R+64M緩存低溫且低噪音，內置AgileArray智能陣列技術，可以優(yōu)化網(wǎng)絡存儲和RAD，同時可提供更先進的電源管理，最重要的是白送一次免費的數(shù)據(jù)恢復，對非專業(yè)用戶非常友好。

? 本文目錄

案例拓撲為常見家用拓撲，光貓橋接后路由器撥號，整個拓撲中只有路由器一臺網(wǎng)關設備。

本次教程按照從NAS到外部網(wǎng)絡的邏輯排序，分為NAS端配置、網(wǎng)關設備配置和創(chuàng)建備份鏈路三大塊，涉及的操作點比較多，為了方便大家抄作業(yè)列一下操作目錄，按需配置即可。

? 本地保護丨群暉NAS配置

多年前群暉也遇到過范圍攻擊，成立產品安全事件響應團隊（PSIRT）后再無類似事件發(fā)生，PSIRT除了日常對DSM查漏補缺，遇到特殊攻擊會在 8 小時內進行評估和調查，并在接下來的 15 小時內發(fā)布補丁以防止零日攻擊的潛在損害。

群暉提供了花樣繁多且高效的防護手段，大家跟著下面的操作就能有效防護，需要提醒的是隨著安全等級越高，傳輸效率與質量也會相應降低一些，以下給大家的是最高安全級別配置。

1??賬戶保護---禁用admin賬號

除了測試用的設備，我把所有Linux設備都把admin賬戶給禁用掉了，畢竟最多見的入侵方式就是腳本不斷用admin或者root賬戶+常見密碼組合掃端口嘗試登錄。

DSM7.0版本默認是禁用admin賬戶，如果是老版本開始使用群暉目前還在用admin作為用戶名的群暉用戶，請點擊控制面板中的用戶與群組，創(chuàng)建新登錄賬號后找到admin賬戶點擊編輯，按照下圖勾選停用。

2??賬戶保護---設置可靠的密碼

這里點名表揚下群暉，DSM在創(chuàng)建子賬號的時候有隨機密碼生成機制，生成的密碼足夠復雜。

一個足夠安全的密碼需要包含：大寫英文字母、小寫英文字母、數(shù)字和特殊符號，如何修改密碼就不再贅述了。

除了配置復雜密碼，我們還可以配置額外的密碼保護，進入控制面板的安全性中開啟賬戶保護，當輸入密碼錯誤次數(shù)過多的時候自動封禁，短時間內無法再次嘗試登錄。

另外，還建議開啟自動封鎖功能，能封鎖短時間內頻繁嘗試登陸的IP地址，搭配上面的密碼保護，通過掃描加暴力破解的攻擊方式是不太可能攻擊成功了。

3??賬戶保護---開啟雙重驗證

雙重認證是個非常棒的安全機制，簡單來說就是非信任設備在登錄NAS時除了需要登錄名和密碼以外，還需要通過綁定的手機App進行再次驗證方可登錄，配置入口在控制面板的安全性中開啟。

開啟后點擊個人設置選擇驗證方式，這里有三種驗證方式可選，個人建議是第一種，在手機上安裝Synology Secure SighIn這個App進行軟件驗證操作。

除了開啟二級驗證，個人建議再開通一下郵件通知，其他用戶登錄或者修改的時候NAS都會推送日志通知，方便檢查和溯源，在通知設置里面配置郵箱和手機號即可。

4??訪問保護---配置賬戶權限

作為目前普及率最高的NAS系統(tǒng)，群暉DSM對賬號的各權限管理是全方位的，包括文件夾管理權限、應用使用權限和帶寬使用限制等等。

在創(chuàng)建子賬號的時候即可完成權限配置，注意存放重要資料的文件夾不要開放給所有賬號，防止被盜號后出現(xiàn)資料丟失的問題。

如果這臺NAS的使用者非常多，可以選擇創(chuàng)建并配置群組，后面再創(chuàng)建用戶的時候只要選擇對應權限的群組即可，無需再次手動配置。

5??訪問保護---關閉SSH和Telnet

SSH和Telnet是兩種Linux常用的遠程登錄方式，很多黑客團隊會用腳本不斷的掃公網(wǎng)IP看是否有開啟SSH的設備并且嘗試登錄，建議不用的時候將這兩個功能關閉，開啟和關閉都在控制面板的終端機和SNMP中。

一般SSH的默認端口都是22，而且正常人不會去改端口號，如果你一定要長期開啟SSH和Telnet，請將登錄端口改成五位隨機數(shù)字。

除了SSH端口以外，群暉DSM的網(wǎng)頁訪問端口也可以考慮修改一下，畢竟本文最開始的那波數(shù)據(jù)劫持就是走端口切入，配置入口在登錄門戶中，Http協(xié)議的默認端口是5000，Https協(xié)議的默認端口是5001，這里也可以改成隨機的四位數(shù)或者五位數(shù)端口。

6??訪問保護---啟用SSL認證

在訪問某些網(wǎng)站的時候我們會看到域名前面是Https，即該域名開啟了SSL認證，作用是對傳送的數(shù)據(jù)進行加密和隱藏。

群暉作為全行業(yè)唯一贈送免費SSL證書的NAS，在配置域名（DDNS）的時候即可自動獲取可用的證書，DDNS可以為NAS分配一個固定的域名用于外網(wǎng)訪問，前提是NAS可以通過單次轉發(fā)或直接獲取公網(wǎng)IP，IPv4和IPv6都支持。

獲取的證書可以在安全性中的證書管理頁面看到，并跟隨域名的變化自動更新，當然自己購買花生殼、阿里或者騰訊的域名替換也可以，群暉贈送的DDNS和SSL證書其實已經足夠用了。

成功獲取證書并開啟SSL訪問后即可通過Https安全協(xié)議訪問NAS，這時候Http也同時可以使用，只是端口號不一樣。

配置完域名并獲取證書后可以點擊登錄門戶勾選自動轉向Https，只要支持Https的應用都會自動轉向，非常方便。

7??訪問保護---開啟防火墻及封禁規(guī)則

NAS系統(tǒng)都帶有專門的防火墻和殺毒軟件，群暉也不例外，在安全性中開啟即可。

群暉支持自定義防火墻規(guī)則，點擊編輯即可。

PS：建議編輯custom規(guī)則（用戶自定義），Default規(guī)則（默認配置）不要動。

群暉的防火墻邏輯比較簡單有效，通過監(jiān)控端口和IP判斷異常，如果資料非常重要，可以配置訪問白名單來限制訪問者，僅限白名單IP/設備訪問是最有效的防護。

8??本地保護---保持DSM系統(tǒng)更新

作為目前最成功的的NAS系統(tǒng)，群暉DSM更新比較勤快，基本一月一更，并且?guī)缀趺看胃露紩邪踩韵嚓P的更新項。

為防止使用中更新影響使用，群暉也是很貼心的預制了三種更新選擇和配置更新時間，建議使用第一種有針對安全性升級的版本自動升級，相對比較穩(wěn)妥一些。

9??本地保護---定期檢查安全顧問

除了以上這些被動防護的功能外，群暉DSM還提供了主動查殺的安全顧問，功能是掃描并針對安全不足提出修改建議。

首次運行安全顧問會提示選擇這臺群暉NAS的應用場景，一般家用選默認選項即可。

安全顧問做的非常不錯，在總覽界面即可看到需要修改或優(yōu)化的項目，點擊感嘆號即可跳轉查看優(yōu)化建議。

在常規(guī)的安全檢查外，安全顧問還能提供客戶端的訪問記錄，方便NAS管理員隨時查看并排查潛在攻擊者。

比如我這里的日志就能看到，近期有人在嘗試登錄我的NAS，萬幸的是被群暉擋了下來并封禁了對方的短期登錄嘗試。

? 入口保護丨路由器 / 網(wǎng)關設備配置

作為家用網(wǎng)絡和外部網(wǎng)絡數(shù)據(jù)傳輸?shù)牡谝蝗肟?，做好路由器這臺網(wǎng)關設備防護的意義比只在群暉配置防護更重要。

本人以往的路由器調試文章是以提升網(wǎng)絡質量的出發(fā)點，本文則正好相反是以下聯(lián)設備的數(shù)據(jù)安全為目的，本文以領勢路由器為講解例，其他路由器系統(tǒng)大同小異，找對應的配置入口按要求修改即可。

再次提醒，傳輸質量和數(shù)據(jù)安全目前只能二選一，提升安全級別必定會影響網(wǎng)絡延遲和握手成功率。

1??訪問保護---設置復雜登錄密碼

路由器作為網(wǎng)關設備，重要性比加強NAS本身防護更加重要，畢竟NAS被攻擊只是一臺設備，路由器被黑可是下聯(lián)設備一起崩盤。

再次提醒，足夠安全的密碼需要包含：大寫英文字母、小寫英文字母、數(shù)字和特殊符號，怎么修改密碼就不在贅述了，如果不習慣復雜密碼也沒關系，領勢提供了密碼提示設置，根據(jù)習慣設置相關提示即可。

2??訪問保護---開啟防火墻

幾乎所有市售的路由器系統(tǒng)都包含防火墻程序，建議全部開啟，領勢是在安全性頁面配置。

特別提醒的是IPv6使用者，正常每臺下聯(lián)設備都能獲得一個獨立的IPv6公網(wǎng)IP，可以直連是非常危險的一件事兒，領勢支持自定義下聯(lián)設備開放的端口，這是個非常實用的防護功能。

3??訪問保護---修改NAT類型

NAT類型其實就是一種防火墻類型，本文的建議和往期文章對沖，以往都是建議將NAT類型改成Full Cone（NAT1）來提升握手成功率。

如果很在意網(wǎng)絡安全，建議將NAT類型改成Symmetric NAT（NAT4），NAT等級越高，安全性越好，當然握手成功率也會隨之下降，領勢只要開啟防火墻就是NAT4。

4??外部數(shù)據(jù)---內網(wǎng)變成香餑餑

有公網(wǎng)IP的好處就不再重復了，但是單說網(wǎng)絡安全，內網(wǎng)IP其實比公網(wǎng)IP要強，畢竟多了一層NAT，公網(wǎng)IP下聯(lián)的運營商的網(wǎng)關可以幫你擋一刀，領勢在故障排除的診斷中可以看到，撥號拿到的IP，10、100、172開頭都是內網(wǎng)。

5??外部數(shù)據(jù)---使用合適的DNS

有些半桶水會建議小白使用114.114.114.114作為DNS服務器，實際上114是最容易被污染的DNS，污染的后果就是電腦的瀏覽器可能會出現(xiàn)奇怪的廣告或者打不開部分網(wǎng)頁，并且本身解析速度也并不快。

如果需要兼顧網(wǎng)絡質量和安全性，建議使用阿里的DNS或者騰訊的DNS，相對而言穩(wěn)妥很多：

阿里DNS：223.5.5.5

騰訊DNS：119.29.29.29

領勢的DNS配置入口在連接的本地網(wǎng)絡中，默認靜態(tài)DNS留空，將首選和備選改成阿里和騰訊的地址即可。

6??外部數(shù)據(jù)---限制設備訪問權限

即使是成年人都有可能被高速下崽器種下一堆亂七八糟的流氓軟件，何況是老人和孩子？

大部分成熟路由器都預設了家長控制功能，領勢的家長控制配置頁面不止可以配置允許上網(wǎng)的時間，還可以禁用掉流氓網(wǎng)站，直接添加主站域名即可。

7??端口轉發(fā)---不要開啟DMZ

DMZ是多年前將內網(wǎng)端口轉發(fā)到公網(wǎng)的常見方法，效果是直接將某個設備的所有端口暴露到公網(wǎng)，這個風險就很大了，比如SSH的常用默認端口22日常被掃，開啟DMZ+簡單密碼分分鐘被黑。

建議使用UPnP替代DMZ幫助內網(wǎng)設備和外網(wǎng)握手，UPnP可以按照軟件預設通過指定端口轉發(fā)，不需要額外再去配置端口轉發(fā)，只要你沒裝奇怪的軟件，正常不會出現(xiàn)安全問題，狀態(tài)可以在故障排除的日志中查看。

UPnP配置入口在連接中的管理中，點擊開啟即可，勾選上允許用戶進行配置和允許禁用訪問。

8??端口轉發(fā)---指定端口轉發(fā)

個人一直建議大家開啟UPnP功能，也就是軟件向路由器這個網(wǎng)關設備發(fā)送需要的端口信息，路由器根據(jù)需求自動開啟和關閉所需端口。

如果真的很怕有人利用不明軟件/病毒入侵你的設備，可以關閉UPnP，單獨給必須要用的端口做轉發(fā)，但是不要偷懶直接范圍配置，這么做和DMZ就沒區(qū)別了，領勢的配置入口在安全性中的應用游戲下面，不懂不要亂動。

9??商用請購買防火墻

這里的防火墻并不是指軟件，商用防火墻是一臺提供網(wǎng)關和防護功能的獨立物理設備，價格在幾萬到幾十萬不等，推薦思科和網(wǎng)件這種巨頭的產品，預算允許的前提下能買貴的買貴的。

? 多重備份丨創(chuàng)建備份鏈路

除了固定查殺以外，其他數(shù)據(jù)防護手段同樣重要，不要把雞蛋放在同一個籃子中，就像本地做RAID一樣，可以為數(shù)據(jù)做快照或者同步在常用網(wǎng)盤一份。

1??本地系統(tǒng)備份---開啟快照

快照（Snapshot）是很多操作系統(tǒng)都會提供配置入口的重要功能，Mac用戶應該知道時間機器（TimeMachine）吧，快照和時間機器的原理完全一致。

群暉的快照套件叫Snapshot Replication，名字挺長的，功能簡單來說就是在本地創(chuàng)建一個獨立、特殊格式的文件備份文件，來記錄當前的數(shù)據(jù)狀態(tài)。出現(xiàn)問題可以通過已拍攝的快照快速恢復數(shù)據(jù)。需要注意的是，快照因為只記錄數(shù)據(jù)狀態(tài)，占用空間比完整備份少，但仍需要占用一部分存儲，記得保留空間，不然容易空間不足無法快照。

啟用和配置快照比較簡單，進入套件中心搜索Snapshot Replication，點擊安裝。

安裝完成后打開Snapshot Replication，進入快照功能后選中需要備份的共享文件夾，點擊拍攝即可創(chuàng)建快照備份，支持多選操作。

如果硬盤空間足夠大，也可以在快照頁面配置自定義備份項目和啟用周期，建議只為重要文件夾創(chuàng)建，不然會占用比較多的空間。

如果你的硬盤空間確實不多，可以在保留頁面配置保留策略，個人用戶建議使用天數(shù)策略，保留3天即可，太多意義不大。

如果臉黑遇到了需要回滾數(shù)據(jù)的情況，在還原頁面選中需要回滾的快照，點擊開始還原即可，操作還是非常簡單的，沒有任何學習門檻。

如果你有多臺群暉，還可以將快照通過網(wǎng)絡同步到其他設備上，進入復制頁面新增備份節(jié)點填寫遠程設備的信息（IP/域名+賬號密碼）即可。

另外還需要提醒兩點：

1.不是所有群暉NAS都支持快照的（J系列和DS218play就不支持），這些機型想要實現(xiàn)多版本備份的話，可以使用Hyper Backup進行備份，體驗差不多，不過空間占用會大一些。

2.快照本質上不是備份，它的優(yōu)勢是快速記錄、還原。所以在硬盤發(fā)生損壞時，是無法進行恢復的。該做的備份和RAID還是要做的。

2??官方同步套件---CloudSync

對于第三方網(wǎng)盤備份，群暉提供了CloudSync這個解決方案，啟用后NAS只要聯(lián)網(wǎng)即可將本地文件自動同步到綁定的第三方網(wǎng)盤上。

CloudSync支持的網(wǎng)盤廠商非常多，百度云、Google網(wǎng)盤、OneDrive都有，不過非常良心的阿里網(wǎng)盤和天翼網(wǎng)盤暫時不支持，有需要的朋友可以看后面的Docker版本部署方法。

比較有意思的是現(xiàn)在的CloudSync支持自動同步WebDAV，也就是說普通Linux設備只要正確配置WebDAV后即可和群暉NAS自動同步數(shù)據(jù)，用蒲公英或者ZeroTier組網(wǎng)后異地同步效果更佳。

3??第三方同步工具---CloudDrive

如果想使用阿里云盤和天翼網(wǎng)盤，用CloudDrive這個第三方Docker可以集中管理。

在部署前需要創(chuàng)建用于存放日志和掛載共享文件的文件夾，首先進入docker文件夾，創(chuàng)建一個名為clouddrive的子文件夾。

創(chuàng)建完成后右鍵點擊該文件夾，點擊屬性。

這里可以看到該文件夾的實際路徑為：

/volume1/docker/clouddrive

如果你想同步接著創(chuàng)建一個共享文件夾，注意別選錯了，命名為clouddrive。

創(chuàng)建完成的共享文件夾如下圖所示，在這個共享文件架下面繼續(xù)創(chuàng)建兩個文件夾，分別是cloudnas和media。

同樣的方法右鍵這兩個子文件夾，獲得他們的路徑，我這里是：

/volume1/clouddrive/cloudnas

/volume1/clouddrive/media

接下來開始正式部署，SSH登錄群暉，我這里用的是FinalShell，點擊打開后選擇新建一個SSH連接。

填寫NAS的IP和登錄用戶名密碼，確認無誤后保存。

雙擊剛才創(chuàng)建的配置文件，即可通過SSH登錄群暉后臺，輸入：

sudo -i

回車

接下來會提示輸入密碼，這里的密碼看不見，盲打后回車確認，等待提示登錄成功即可。

接下來要修改下面的代碼，AAAA替換成剛才的clouddrive路徑，BBBB替換成剛才的cloudnas路徑，CCCC替換成剛才的media路徑：

docker run -d

--name clouddrive

--restart unless-stopped

-v AAAA:/Config

-v BBBB:/CloudNAS:shared

-v CCCC:/media:shared

--network host

--pid host

--privileged

--device /dev/fuse:/dev/fuse

cloudnas/clouddrive

我這里替換完成后是：

docker run -d

--name clouddrive

--restart unless-stopped

-v /volume1/docker/clouddrive:/Config

-v /volume1/clouddrive/cloudnas:/CloudNAS:shared

-v /volume1/clouddrive/media:/media:shared

--network host

--pid host

--privileged

--device /dev/fuse:/dev/fuse

cloudnas/clouddrive

替換完成后，將代碼復制到命令輸入框，回車。

等待重新出現(xiàn)輸入狀態(tài)，即算完成部署。

進入群暉的Docker管理器，可以看到CloudDrive已經在運行中。

瀏覽器輸入NAS的IP:9798，即可進入CLoudDrive的網(wǎng)頁管理后臺。

先按照提示注冊一下，記得用復雜密碼。

和群暉的CloudSync一樣，先添加需要同步的網(wǎng)盤賬號密碼，支持：

115網(wǎng)盤

天翼網(wǎng)盤

阿里云盤

其他WebDAV服務器

這里我以天翼網(wǎng)盤為例，掃碼登錄后即可看到天翼網(wǎng)盤內的文件。

回到群暉的fileStation，進入剛才創(chuàng)建的CloudNAS文件夾即可看到天翼網(wǎng)盤內的文件，并且可以直接使用和下載。

這些文件不占用NAS本身硬盤，不用擔心容量問題，合理分配即可。

需要注意的是上傳文件必須通過clouddrive的網(wǎng)頁后臺方可操作，直接使用NAS自帶的FileStation上傳會提示網(wǎng)絡錯誤，至此第三方網(wǎng)盤備份鏈路配置完成。

? 總結

從疫情開始網(wǎng)絡其實就不太平，加上這波朋友親身經歷了NAS被勒索，建議大家把數(shù)據(jù)保護好，按照本文三步走就可以：

第一步做好NAS本身防護，群暉給了這么多安全相關的配置入口，不要浪費。

第二步做好路由器（網(wǎng)關設備）防護，病從口入真不是空穴來風，外部數(shù)據(jù)進來的首臺設備一定要做好防護。

第三步做好數(shù)據(jù)備份鏈路，不要把重要數(shù)據(jù)只存儲在單臺設備上，多重備份才是王道。