NAS安全性浅谈（基于威联通TS-451D、公网IP、路由器桥接拨号的使用场景）

创作立场声明：本文旨在分享作者的一些使用心得，欢迎大家积极讨论。

前言

这一篇文章本来是去年开了个头，就一直搁置到了今天，家里添了个娃实在没空写，差点把它忘了，前几天在草稿箱发现这篇写了一半的文章才想起来还有个坑没有完成。文章写的比较浅显，适合新手阅读，如有不足请多海涵。

这台NAS是去年9月份买的，因为家里要添宝宝了，以后对照片的存储备份是一件非常重要的事，所以向领导申请之后很快就落实了下来。由于我使用NAS的目的很明确，就是存储数据为主，顺便用docker跑一些测试的软件项目，因此我很快便锁定了自己想要的型号——威联通今年新出的TS-451D（后文简称为451D）。

威联通（QNAP）TS-451D四盘位多媒体nas网络存储服务器（无内置硬盘）2899元京东去购买

这款NAS采用了J4025的x86双核CPU，4盘位，双千兆网口，4个USB3.2 Gen1接口，1个HDMI2.0接口，扩展性还是很不错的，而且威联通对于USB扩展的支持很不错，可以插鼠标键盘，USB有线/无线网卡等，唯一的遗憾就是没有PCIE的扩展，双盘位的TS-251D却有。

这个NAS购买于淘宝，标配4G内存带发票的价格是2220，我添置了1根4G内存，1块500G的希捷酷鱼SSD，1块4T的希捷酷鹰HDD，1块4T的西数紫盘HDD，整套下来总价不到3500（硬盘均购于京东自营），非常划算。

由于关于NAS的文章站内已经有太多太多了，甚至连451D的晒单都有不少，所以我这一次只和大家聊一聊我在部署NAS的过程中所积累的关于安全性的一些经验，由于我也是个NAS新手，所以肯定也有说的不够准确完善的地方，希望大家可以多包涵。

关于安全性，我觉得主要分为三个方面，分别是：网络安全、硬件安全、数据安全，下面我就从这三个方面来分别谈一谈我的经验。由于每个人使用NAS的型号、环境、用途都不一样，所以正如标题所说，我这篇文章主要还是基于我个人的使用场景，不一定适用于所有人，不过应该对每个人多多少少都有些帮助。虽然我的截图都是基于威联通的NAS，但是相应的功能群晖基本上也都有。

网络安全

既然用NAS，那就肯定避不开“公网IP”这个话题，如果没有公网IP的话，NAS的使用感受就会大打折扣，虽然有很多内网穿透的方法，不过原理都一样，都是用一台处于公网的服务器来中转流量，免费的内网穿透基本都有着不稳定、速度慢、流量有限制等缺点，付费的内网穿透服务相对来说效果好一些（不过还是不如公网IP），但是又需要一笔额外的开销。如果没有IPv4的公网IP的话，大家可以尝试使用已经基本普及了的IPv6，由于篇幅有限，这里就不详细展开讲了，文中所有提到的方法都可以轻松百度到详细教程，如果百度不到的话，可以在评论区问我。

在签署了一份“网络安全承诺书”之后，等待了一星期，我家的宽带便有了公网IP（每个地区开通公网IP的规定都不一样，所以这个承诺书仅供参考），公网IP虽香，不过也意味着家中的网络暴露在了公网之上，安全方面的问题自然需要多注意。

路由器开启防火墙

这个很简单的设置，对于暴露在公网中的路由器是非常重要的，路由器防火墙主要是用来抵御DDOS攻击，这是网络攻击中最简单粗暴的一种，也是非常常见的一种，总之路由器防火墙，开就对了。另外，如果你的路由器有禁止外网访问的选项，也一定要打开。

修改默认端口

所有暴露到外网的端口都必须改成非默认端口（指的主要是路由器端口转发中的外部端口），因为网络上有非常多的机器人会对各种各样的域名和IP进行不停的扫描（可以理解为撒网、无差别攻击），而其中大多数扫描的都是些常用端口，比如SSH默认的22端口。所以，改端口号是非常有必要的一种安全措施，对于撒网式的攻击来说，这也相当于为NAS加上了一层密码，因为端口号一共有65536个（0-65535）。

尽可能谨慎的暴露端口

在路由器端口转发中添加转发规则应该能省则省，比如我，就只添加了NAS控制台的端口，和我在NAS上跑的几个网站的端口，除非你知道必须这样做不可，否则都没有必要把一个端口暴露在公网上（比如说你想访问路由器控制台，可以在NAS控制台里通过BrowserStation之类的方式来内网访问，而不是把路由器控制台直接暴露在公网）。最近威联通增加了TeamViewer的功能，不过我用的时候一直连接失败，如果TeamViewer可以顺利使用，我会把NAS控制台的端口转发也关掉。

外网访问必须使用ssl

这个主要是为了防止网络节点上的爬虫窃取到密码之类的敏感信息，如果有条件的话，还是强烈建议给自己的域名弄一个ssl证书，具体方法就不在这里展开细说了。

停用admin帐号

如果别人同时知道了你的域名、端口号，下一步就是暴力攻击的话，他们首选的肯定是攻击admin这一个帐号，因为权限又高，又不用猜帐号是什么。所以非常建议把admin帐号停用，自己重新添加一个自定义的管理员帐号。

要求每一个用户都设置复杂密码

如果你的NAS还需要给家人来使用的话，那么他们的帐号通常也是会有部分相册之类的文件夹的读写权限的，所以设置一个复杂密码也是很有必要的。

IP和帐号自动封禁

这个不需要过多解释，可以大大增加暴力攻击的成本。

谨慎的为用户开启权限

这里的权限分为应用程序权限和文件夹访问权限，除了管理员帐号之外，其他家庭成员的帐号，最好是需要什么开什么，不需要用的功能把权限全部关掉即可。

硬件安全

说玩网络安全之后，轮到硬件安全了，要想保证硬件安全，首先得保证你的东西都是在正规渠道购买的，即使坏了还有个质保，要是买到二手翻新什么的，安全性就不好保证了。

硬盘选购

虽然网上对于NAS硬盘的挑选有各种看法，但其实官方已经给出了最简单的答案，就是官方的兼容列表，只要选择兼容列表里的硬盘，就肯定不会错，这些硬盘都是官方亲自测试过的。比如说我够买的希捷酷鹰4T和西数紫盘4T，都是威联通官方兼容列表里的硬盘。

除此之外，NAS推荐的硬盘都是为7x24小时不间断运行设计的，如果你使用NAS的习惯是喜欢经常关机（虽然我极其不推荐这样用），那其实更推荐购买普通的硬盘（最好买垂直式的），比如西数蓝盘。

UPS电源

硬盘突然断电是很容易导致数据丢失或者硬盘损坏的，所以有条件的话，尽量给自己的NAS配一台UPS不间断电源。对于UPS电源，NAS品牌的网站上也是会列出推荐型号的，我用的是山特TG-BOX 600，这是威联通的UPS电源推荐列表里第二便宜的（最便宜的那款在品牌、外观、设计、功能上都要差一大截，在这里就不提了），也是非常好用的一款，一共有6个三相插座和4个两相插座，其中一半带有UPS功能，另外还有两个USB供电口，甚至连USB都带UPS功能，虽然电池容量不大，但是对于NAS来说已经是足够了。

通过USB连接NAS和UPS，就可以直接在NAS中识别出来，做好相应的设置，即可实现停电自动关机，来电自动开机的功能，非常方便省心。

数据安全

想要保障数据安全，一是隐私数据防止泄露，二是重要数据做好备份，第一点就是通过账户权限管理，以及文件夹的加密来实现，就不细说了，下面我想要详细的说一下第二点。

接触过硬盘的小伙伴们应该都听说过Raid这个词，有Raid0、Raid1、Raid5、Raid10等等，稍微了解的深入一点的小伙伴应该也知道这几种Raid形式当中的差别，对于NAS来说，Raid1之类的Raid形式，看似可以提高数据安全性，防止硬盘损坏导致的数据丢失，但事实上，NAS真的适合组Raid么？我觉得并不是这样。

其实对于家庭用的NAS（尤其是双盘位的NAS）而言，我更加推荐使用NAS自带的备份软件来取代Raid1，在威联通的OS里，就是HBS3这个APP。

这个APP可以很方便的备份重要的文件夹，不仅可以在NAS本地的两块硬盘之间同步数据，还可以将数据备份到网络上的其他设备或是网盘当中。只要自己创建一个单向同步作业，便可以丢在那不用管了，如果设置成“实时同步”，仅仅是在重要数据备份这一个层面，是完全可以取代Raid1的，当然也可以设置成定期运行，这个就看你的个人需求了。

相比Raid1，使用HBS3进行数据备份，只需要牺牲一点点数据同步的实时性，就能换来一个非常重要的优势（尤其是对于硬盘数量不多或是硬盘容量参差不齐的NAS而言）——节省存储空间。因为我们的NAS上不可能全部都是重要文件，如果是多盘位的NAS倒还好，可以用两块硬盘组Raid1专门用来存重要文件，其他硬盘存非重要文件，但如果是双盘位的NAS的话，直接组Raid1就太浪费了，比如2块4T的硬盘，如果组Raid1，则可以存储2T的重要文件和2T的非重要文件，如果用HBS3进行备份，则可以存储2T的重要文件和4T的非重要文件，存储空间利用率大大提升。

总结

除了上面说的这些，其实还有一个很重要的因素，就是人为泄密，比如你在主动或者不经意间泄露了自己NAS的域名、端口号甚至帐号密码等，希望大家在心里面最好还是要有一些安全防范的意识，像这些帐号密码类的隐私信息，不光不能主动泄露，严谨一些的话，最好连触网都不要。所谓触网，就是将这些信息保存在网络上，比如云笔记之类的地方，虽然黑客可能不看重这些没有价值的信息（有很多将比特币钱包助记词保存在云笔记、网盘中被盗的案例，甚至通过照片的形式来保存都会被AI爬虫识别出来），但终归还是不那么放心的。

目前能想到的就是上面这么多内容了，大家有什么看法的话可以在评论区和我互动，感谢大家的观看！