創(chuàng)作立場(chǎng)聲明：本文旨在分享作者的一些使用心得，歡迎大家積極討論。

前言

這一篇文章本來是去年開了個(gè)頭，就一直擱置到了今天，家里添了個(gè)娃實(shí)在沒空寫，差點(diǎn)把它忘了，前幾天在草稿箱發(fā)現(xiàn)這篇寫了一半的文章才想起來還有個(gè)坑沒有完成。文章寫的比較淺顯，適合新手閱讀，如有不足請(qǐng)多海涵。

這臺(tái)NAS是去年9月份買的，因?yàn)榧依镆韺殞毩耍院髮?duì)照片的存儲(chǔ)備份是一件非常重要的事，所以向領(lǐng)導(dǎo)申請(qǐng)之后很快就落實(shí)了下來。由于我使用NAS的目的很明確，就是存儲(chǔ)數(shù)據(jù)為主，順便用docker跑一些測(cè)試的軟件項(xiàng)目，因此我很快便鎖定了自己想要的型號(hào)——威聯(lián)通今年新出的TS-451D（后文簡(jiǎn)稱為451D）。

這款NAS采用了J4025的x86雙核CPU，4盤位，雙千兆網(wǎng)口，4個(gè)USB3.2 Gen1接口，1個(gè)HDMI2.0接口，擴(kuò)展性還是很不錯(cuò)的，而且威聯(lián)通對(duì)于USB擴(kuò)展的支持很不錯(cuò)，可以插鼠標(biāo)鍵盤，USB有線/無線網(wǎng)卡等，唯一的遺憾就是沒有PCIE的擴(kuò)展，雙盤位的TS-251D卻有。

這個(gè)NAS購買于淘寶，標(biāo)配4G內(nèi)存帶發(fā)票的價(jià)格是2220，我添置了1根4G內(nèi)存，1塊500G的希捷酷魚SSD，1塊4T的希捷酷鷹HDD，1塊4T的西數(shù)紫盤HDD，整套下來總價(jià)不到3500（硬盤均購于京東自營(yíng)），非常劃算。

由于關(guān)于NAS的文章站內(nèi)已經(jīng)有太多太多了，甚至連451D的曬單都有不少，所以我這一次只和大家聊一聊我在部署NAS的過程中所積累的關(guān)于安全性的一些經(jīng)驗(yàn)，由于我也是個(gè)NAS新手，所以肯定也有說的不夠準(zhǔn)確完善的地方，希望大家可以多包涵。

關(guān)于安全性，我覺得主要分為三個(gè)方面，分別是：網(wǎng)絡(luò)安全、硬件安全、數(shù)據(jù)安全，下面我就從這三個(gè)方面來分別談一談我的經(jīng)驗(yàn)。由于每個(gè)人使用NAS的型號(hào)、環(huán)境、用途都不一樣，所以正如標(biāo)題所說，我這篇文章主要還是基于我個(gè)人的使用場(chǎng)景，不一定適用于所有人，不過應(yīng)該對(duì)每個(gè)人多多少少都有些幫助。雖然我的截圖都是基于威聯(lián)通的NAS，但是相應(yīng)的功能群暉基本上也都有。

網(wǎng)絡(luò)安全

既然用NAS，那就肯定避不開“公網(wǎng)IP”這個(gè)話題，如果沒有公網(wǎng)IP的話，NAS的使用感受就會(huì)大打折扣，雖然有很多內(nèi)網(wǎng)穿透的方法，不過原理都一樣，都是用一臺(tái)處于公網(wǎng)的服務(wù)器來中轉(zhuǎn)流量，免費(fèi)的內(nèi)網(wǎng)穿透基本都有著不穩(wěn)定、速度慢、流量有限制等缺點(diǎn)，付費(fèi)的內(nèi)網(wǎng)穿透服務(wù)相對(duì)來說效果好一些（不過還是不如公網(wǎng)IP），但是又需要一筆額外的開銷。如果沒有IPv4的公網(wǎng)IP的話，大家可以嘗試使用已經(jīng)基本普及了的IPv6，由于篇幅有限，這里就不詳細(xì)展開講了，文中所有提到的方法都可以輕松百度到詳細(xì)教程，如果百度不到的話，可以在評(píng)論區(qū)問我。

在簽署了一份“網(wǎng)絡(luò)安全承諾書”之后，等待了一星期，我家的寬帶便有了公網(wǎng)IP（每個(gè)地區(qū)開通公網(wǎng)IP的規(guī)定都不一樣，所以這個(gè)承諾書僅供參考），公網(wǎng)IP雖香，不過也意味著家中的網(wǎng)絡(luò)暴露在了公網(wǎng)之上，安全方面的問題自然需要多注意。

路由器開啟防火墻

這個(gè)很簡(jiǎn)單的設(shè)置，對(duì)于暴露在公網(wǎng)中的路由器是非常重要的，路由器防火墻主要是用來抵御DDOS攻擊，這是網(wǎng)絡(luò)攻擊中最簡(jiǎn)單粗暴的一種，也是非常常見的一種，總之路由器防火墻，開就對(duì)了。另外，如果你的路由器有禁止外網(wǎng)訪問的選項(xiàng)，也一定要打開。

修改默認(rèn)端口

所有暴露到外網(wǎng)的端口都必須改成非默認(rèn)端口（指的主要是路由器端口轉(zhuǎn)發(fā)中的外部端口），因?yàn)榫W(wǎng)絡(luò)上有非常多的機(jī)器人會(huì)對(duì)各種各樣的域名和IP進(jìn)行不停的掃描（可以理解為撒網(wǎng)、無差別攻擊），而其中大多數(shù)掃描的都是些常用端口，比如SSH默認(rèn)的22端口。所以，改端口號(hào)是非常有必要的一種安全措施，對(duì)于撒網(wǎng)式的攻擊來說，這也相當(dāng)于為NAS加上了一層密碼，因?yàn)槎丝谔?hào)一共有65536個(gè)（0-65535）。

盡可能謹(jǐn)慎的暴露端口

在路由器端口轉(zhuǎn)發(fā)中添加轉(zhuǎn)發(fā)規(guī)則應(yīng)該能省則省，比如我，就只添加了NAS控制臺(tái)的端口，和我在NAS上跑的幾個(gè)網(wǎng)站的端口，除非你知道必須這樣做不可，否則都沒有必要把一個(gè)端口暴露在公網(wǎng)上（比如說你想訪問路由器控制臺(tái)，可以在NAS控制臺(tái)里通過BrowserStation之類的方式來內(nèi)網(wǎng)訪問，而不是把路由器控制臺(tái)直接暴露在公網(wǎng)）。最近威聯(lián)通增加了TeamViewer的功能，不過我用的時(shí)候一直連接失敗，如果TeamViewer可以順利使用，我會(huì)把NAS控制臺(tái)的端口轉(zhuǎn)發(fā)也關(guān)掉。

外網(wǎng)訪問必須使用ssl

這個(gè)主要是為了防止網(wǎng)絡(luò)節(jié)點(diǎn)上的爬蟲竊取到密碼之類的敏感信息，如果有條件的話，還是強(qiáng)烈建議給自己的域名弄一個(gè)ssl證書，具體方法就不在這里展開細(xì)說了。

停用admin帳號(hào)

如果別人同時(shí)知道了你的域名、端口號(hào)，下一步就是暴力攻擊的話，他們首選的肯定是攻擊admin這一個(gè)帳號(hào)，因?yàn)闄?quán)限又高，又不用猜帳號(hào)是什么。所以非常建議把a(bǔ)dmin帳號(hào)停用，自己重新添加一個(gè)自定義的管理員帳號(hào)。

要求每一個(gè)用戶都設(shè)置復(fù)雜密碼

如果你的NAS還需要給家人來使用的話，那么他們的帳號(hào)通常也是會(huì)有部分相冊(cè)之類的文件夾的讀寫權(quán)限的，所以設(shè)置一個(gè)復(fù)雜密碼也是很有必要的。

IP和帳號(hào)自動(dòng)封禁

這個(gè)不需要過多解釋，可以大大增加暴力攻擊的成本。

謹(jǐn)慎的為用戶開啟權(quán)限

這里的權(quán)限分為應(yīng)用程序權(quán)限和文件夾訪問權(quán)限，除了管理員帳號(hào)之外，其他家庭成員的帳號(hào)，最好是需要什么開什么，不需要用的功能把權(quán)限全部關(guān)掉即可。

硬件安全

說玩網(wǎng)絡(luò)安全之后，輪到硬件安全了，要想保證硬件安全，首先得保證你的東西都是在正規(guī)渠道購買的，即使壞了還有個(gè)質(zhì)保，要是買到二手翻新什么的，安全性就不好保證了。

硬盤選購

雖然網(wǎng)上對(duì)于NAS硬盤的挑選有各種看法，但其實(shí)官方已經(jīng)給出了最簡(jiǎn)單的答案，就是官方的兼容列表，只要選擇兼容列表里的硬盤，就肯定不會(huì)錯(cuò)，這些硬盤都是官方親自測(cè)試過的。比如說我夠買的希捷酷鷹4T和西數(shù)紫盤4T，都是威聯(lián)通官方兼容列表里的硬盤。

除此之外，NAS推薦的硬盤都是為7x24小時(shí)不間斷運(yùn)行設(shè)計(jì)的，如果你使用NAS的習(xí)慣是喜歡經(jīng)常關(guān)機(jī)（雖然我極其不推薦這樣用），那其實(shí)更推薦購買普通的硬盤（最好買垂直式的），比如西數(shù)藍(lán)盤。

UPS電源

硬盤突然斷電是很容易導(dǎo)致數(shù)據(jù)丟失或者硬盤損壞的，所以有條件的話，盡量給自己的NAS配一臺(tái)UPS不間斷電源。對(duì)于UPS電源，NAS品牌的網(wǎng)站上也是會(huì)列出推薦型號(hào)的，我用的是山特TG-BOX 600，這是威聯(lián)通的UPS電源推薦列表里第二便宜的（最便宜的那款在品牌、外觀、設(shè)計(jì)、功能上都要差一大截，在這里就不提了），也是非常好用的一款，一共有6個(gè)三相插座和4個(gè)兩相插座，其中一半帶有UPS功能，另外還有兩個(gè)USB供電口，甚至連USB都帶UPS功能，雖然電池容量不大，但是對(duì)于NAS來說已經(jīng)是足夠了。

通過USB連接NAS和UPS，就可以直接在NAS中識(shí)別出來，做好相應(yīng)的設(shè)置，即可實(shí)現(xiàn)停電自動(dòng)關(guān)機(jī)，來電自動(dòng)開機(jī)的功能，非常方便省心。

數(shù)據(jù)安全

想要保障數(shù)據(jù)安全，一是隱私數(shù)據(jù)防止泄露，二是重要數(shù)據(jù)做好備份，第一點(diǎn)就是通過賬戶權(quán)限管理，以及文件夾的加密來實(shí)現(xiàn)，就不細(xì)說了，下面我想要詳細(xì)的說一下第二點(diǎn)。

接觸過硬盤的小伙伴們應(yīng)該都聽說過Raid這個(gè)詞，有Raid0、Raid1、Raid5、Raid10等等，稍微了解的深入一點(diǎn)的小伙伴應(yīng)該也知道這幾種Raid形式當(dāng)中的差別，對(duì)于NAS來說，Raid1之類的Raid形式，看似可以提高數(shù)據(jù)安全性，防止硬盤損壞導(dǎo)致的數(shù)據(jù)丟失，但事實(shí)上，NAS真的適合組Raid么？我覺得并不是這樣。

其實(shí)對(duì)于家庭用的NAS（尤其是雙盤位的NAS）而言，我更加推薦使用NAS自帶的備份軟件來取代Raid1，在威聯(lián)通的OS里，就是HBS3這個(gè)APP。

這個(gè)APP可以很方便的備份重要的文件夾，不僅可以在NAS本地的兩塊硬盤之間同步數(shù)據(jù)，還可以將數(shù)據(jù)備份到網(wǎng)絡(luò)上的其他設(shè)備或是網(wǎng)盤當(dāng)中。只要自己創(chuàng)建一個(gè)單向同步作業(yè)，便可以丟在那不用管了，如果設(shè)置成“實(shí)時(shí)同步”，僅僅是在重要數(shù)據(jù)備份這一個(gè)層面，是完全可以取代Raid1的，當(dāng)然也可以設(shè)置成定期運(yùn)行，這個(gè)就看你的個(gè)人需求了。

相比Raid1，使用HBS3進(jìn)行數(shù)據(jù)備份，只需要犧牲一點(diǎn)點(diǎn)數(shù)據(jù)同步的實(shí)時(shí)性，就能換來一個(gè)非常重要的優(yōu)勢(shì)（尤其是對(duì)于硬盤數(shù)量不多或是硬盤容量參差不齊的NAS而言）——節(jié)省存儲(chǔ)空間。因?yàn)槲覀兊腘AS上不可能全部都是重要文件，如果是多盤位的NAS倒還好，可以用兩塊硬盤組Raid1專門用來存重要文件，其他硬盤存非重要文件，但如果是雙盤位的NAS的話，直接組Raid1就太浪費(fèi)了，比如2塊4T的硬盤，如果組Raid1，則可以存儲(chǔ)2T的重要文件和2T的非重要文件，如果用HBS3進(jìn)行備份，則可以存儲(chǔ)2T的重要文件和4T的非重要文件，存儲(chǔ)空間利用率大大提升。

總結(jié)

除了上面說的這些，其實(shí)還有一個(gè)很重要的因素，就是人為泄密，比如你在主動(dòng)或者不經(jīng)意間泄露了自己NAS的域名、端口號(hào)甚至帳號(hào)密碼等，希望大家在心里面最好還是要有一些安全防范的意識(shí)，像這些帳號(hào)密碼類的隱私信息，不光不能主動(dòng)泄露，嚴(yán)謹(jǐn)一些的話，最好連觸網(wǎng)都不要。所謂觸網(wǎng)，就是將這些信息保存在網(wǎng)絡(luò)上，比如云筆記之類的地方，雖然黑客可能不看重這些沒有價(jià)值的信息（有很多將比特幣錢包助記詞保存在云筆記、網(wǎng)盤中被盜的案例，甚至通過照片的形式來保存都會(huì)被AI爬蟲識(shí)別出來），但終歸還是不那么放心的。

目前能想到的就是上面這么多內(nèi)容了，大家有什么看法的話可以在評(píng)論區(qū)和我互動(dòng)，感謝大家的觀看！

總結(jié)

以上是生活随笔為你收集整理的路由器桥接拨号场景-路由器拨号 桥接的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。