1. 首页
  2. 科技数码

让你的威联通坚不可摧-超详细教程

文与任何商业利益无关,本文均站在个人的实际操作经验及基础上。本文不提供任何学术性质的讨论以及学术性质的支持。本文无法100%保证数据安全,因此仅适用于一般家庭环境,不适用于极客玩家或商业用途

前提设备介绍

本文使用的nas为威联通的TS653D,系统已更新至最新QTS5.0系统。

本文测试环境有两根宽带,一条家用宽带,一条固定IP商用宽带。

本文主路由器为TP link3229G企业路由器。

本文光猫均开启桥接模式,因此不赘述。

不同环境下的操作过程可能有所出入,总体nas的加固思路和流程基本一致。

安全设置介绍

对于NAS,只有有公网IP且开启端口转发/DMZ 开启公网服务的NAS才存在着被攻击的可能性。使用自带的quick connect 或者是my qnapcloud link或者是其他第3方内网穿透服务,一般不会导致直接性的被网络攻击。

安全加固设置-路由器端

传输管理-虚拟服务器

让你的威联通坚不可摧-超详细教程

让你的威联通坚不可摧-超详细教程

这里我们注意3点

1. 将nas的局域网IP进行固定2.不要选择DMZ3.端口号要无规则

DMZ:相当于将所有端口都映射到了NAS上,非常容易被扫描。

端口号:49152 - 65535为动态服务端口,网络攻击者,为了减少消耗的时间和资源,一般会去扫描相对固定的服务端口。例如https的443端口, HTTP的80端口或者20端口等等,而我们选更高位的端口号可以避免被扫描。

路由设置-安全加固

企业级路由器拥有防各类DDOS,或者是可疑包攻击。虽然家庭用户遭受DDOS攻击的可能性非常小,但是威联通并没有DDOS攻击功能开关。因此我们可以利用企业级路由器的这一个网络攻击防护功能,进一步的保护我们NAS。

安全管理-攻击防护

防护防护

防护

威联通本地加固-防火墙

威联通相比,其他NAS最大的特点就是拥有强大的防火墙套件。我们合理地运用防火墙套件设置可以避免登录界面被直接打开,安全性大大提高。绝大多数可疑的扫描或者登录IP地址,都是来自于国际IP,防火墙可以阻止特殊地区的IP。

套件中心-qfirewall

防火墙设置防火墙设置

防火墙设置

配置文件中选择-Basic protection

这个防护规则有以下特点

1. 阻止频繁密码错误的IP地址登录2.仅允许我国的IP地址访问3.允许所有应用程序4.允许所有局域网访问5.先全部拒绝,再允许特殊规则。

威联通本地加固-登录界面

禁用禁用

禁用

1. 关闭默认的admin 新建一个复杂的全新管理员( Qts5.0已默认拒绝admin)

防止密码被穷举防止密码被穷举

防止密码被穷举

2. 开启IP访问保护,建议登录失败三次,就封IP

3. 启用账户访问保护

4. 管理员及常用用户开启双步验证

当外部攻击者,不幸打开我们的登录界面的时候,这样做可以大幅度地降低未经授权的登录。

尤其是双步验证,当密码被暴力位破解之后,仍然是有力的屏障。

威联通本地加固-加密传输

外网设备与服务器的通讯,默认为明文的HTTP连接。没有进行加密的连接,容易受到第三方中间人攻击。例如我们在使用受到攻击的免费WiFi或者是钓鱼WiFi的时候,没有加密的链接,很可能会被攻击人抓包破解掉我们传输的数据,甚至是我们登录的密码。因此加固我们优先选择进行HTTPS加密的加密连接,并且我们的HTTPS 需要给NAS 导入SSL证书。

因为威联通免费的SSL证书,需要修改使用地区才能进行。因此这里建议使用第三方的域名和第三方提供的免费SSL证书进行。

1. 系统-常规设置-系统管理

使用安全链接 Https

启用强密码套件

强制使用安全链接

TS兼容性1.2和更高版本

使用加密使用加密

使用加密

2. 导入域名的SSL证书

让你的威联通坚不可摧-超详细教程

威联通本地加固-用强密码

在被攻击的案例里面,绝大部分都是由于弱密码引起的。在不幸登录界面被黑客打开之后,强有力的密码可以大幅度的降低被攻破的几率。

1. 系统-安全-登录密码-密码策略

勾选每90天强制更换一次密码

勾选密码8位数以上

强密码强密码

强密码

这里建议大家使用10位数以上的密码,并且密码里面一定包含大小写字母,特殊符号。

并且尽量不要在公共电脑上面使用密码登录NAS,很容易被键盘记录。

威联通本地防病毒- Clam Anti-virus

除了防御未经授权的登录,还需要防止可能存在的病毒入侵。

威联通的QTS 基于Linux系统,因此可以使用Linux系统的开源杀毒软件calm Anti-virus.

威联通的设计人员将开源的杀毒软件进行了整合,并且增加了自己的UI,使得可以一键操作。

免费开源杀毒软件免费开源杀毒软件

免费开源杀毒软件

自动将Malware Remover更新至最新版本

套件中心选择-Malware remover

启用计划扫描

软件定义更新后立刻开启扫描(这一点很重要)

威联通本地加固-实时更新

更新可以尽量的避免漏洞,但是无法阻止零day漏洞对系统的危害。

设置-固件更新-开启实时更新

自动且及时更新自动且及时更新

自动且及时更新

威联通本地防病毒-迈克菲杀毒软件

让你的威联通坚不可摧-超详细教程

需要注意的是威联通自身提供的Malware remover 基于免费的开源引擎,因此也是可以持续免费使用的,但是迈克菲杀毒需要付费。并且费用相对较高,一年25美元,两年50美元三年70美元,折合人民币数百元左右。

作者个人是购买了三年的迈克菲杀毒软件,用一段时间后有以下几个体验。

1. 迈克菲的优势是在于提供了一个时实扫描引擎,反应更迅速。

2. 免费的杀毒引擎无法跨系统进行查杀

3. 迈克菲依然存在着严重的误杀情况

部分windows系统下的病毒是可以被迈克菲扫描出来的,并且迈克菲的实时扫描也能一定程度上的发现这些病毒。需要注意的是和我们电脑上使用的windows端的迈克菲杀毒软件和相似,未授权的非官方渠道软件也会被定义为病毒进行隔离。

入手前,仍然有三点考虑1.误杀严重2.防御勒索病毒的性能是个未知数3·价格

杀毒软件价格不菲,并且会大量的占用系统资源无法做到100%防御,大家可以按需选择

消耗系统算力消耗系统算力

消耗系统算力

专业系统的nas想要保证数据安全,不仅仅需要在网络安全上进行加固,同样还需要在硬件防护以及硬盘容错做功夫。本文篇幅有限,仅探讨在网络安全上加固NAS。 欢迎留言,讨论下期再见!

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

原创文章,作者:夜风博客,如若转载,请注明出处:https://www.homedt.net/47306.html