您可以选择的最安全选项是完全禁用远程连接功能。如果你不能远程访问你的NAS,那么黑客也不能。您将失去一些在路上的便利,但如果您只在家里使用您的NAS-例如,看电影-那么您可能根本不会错过远程功能。
最新的Synology NAS设备包括QuickConnect功能。QuickConnect负责启用远程功能的艰苦工作。打开该功能后,您不必设置路由器端口转发。
要通过QuickConnect删除远程访问,请登录到您的NAS界面。打开控制面板,单击侧栏中Connectivity下的“QuickConnect”选项。取消选中“Enable Quick Connect”(启用快速连接),然后单击Apply(应用)。
但是,如果您在路由器上启用了端口转发以获得远程访问,则需要禁用该端口转发规则。要禁用端口转发,您应该查找路由器的IP地址并使用它登录。
然后查阅您的路由器手册以找到端口转发页面(每个路由器型号都不同)。如果您没有路由器手册,您可以尝试在网络上搜索您的路由器型号和“手册”一词。本手册将告诉您在何处查找现有端口转发规则。关闭NAS设备的所有端口转发规则。
选项2:使用VPN进行远程访问
我们建议不要将您的Synology NAS暴露在互联网上。但如果您必须远程连接,我们建议您设置虚拟专用网络(VPN)。安装了VPN服务器后,您将无法直接访问NAS单元。相反,您将连接到路由器。反过来,路由器会将您视为与NAS位于同一网络中(例如,仍在家里)。
您可以从Package Center下载Synology NAS上的VPN服务器。只需搜索“VPN”,然后选择VPN服务器下的安装选项即可。当您第一次打开VPN服务器时,您将看到可以选择PPTP、L2TP/IPSec和OpenVPN协议。我们推荐OpenVPN,因为它是三个选项中最安全的。
您可以使用所有的OpenVPN默认设置,但是如果您想在通过VPN连接时访问网络上的其他设备,则需要选中“允许客户端访问服务器的LAN”,然后单击“应用”。
然后,您需要在路由器上设置端口转发到OpenVPN正在使用的端口(默认情况下为1194)。
如果您的VPN使用OpenVPN,则需要兼容的VPN客户端才能访问它。我们建议使用OpenVPN Connect,支持Windows、MacOS、iOS、Android,甚至Linux。
选项3:尽可能保护远程访问的安全
如果您需要远程访问,而VPN不是一个可行的解决方案(可能是因为网速较慢),那么您应该尽可能保护远程访问的安全。
要保护远程访问,您应该登录到NAS,打开控制面板,然后选择用户。如果打开了默认管理员,请创建一个新的管理员用户帐户(如果您还没有),然后关闭默认管理员用户。默认管理员帐户是勒索软件通常攻击的第一个帐户。默认情况下,Guest用户通常处于关闭状态,除非您有特殊需要,否则应保留该状态。
您应该确保为NAS创建的任何用户都具有复杂的密码。我们建议使用密码管理器来帮助实现这一点。如果您共享NAS并允许其他人创建用户帐户,请确保强制使用强密码。
您可以在“控制面板”中的“用户配置文件”的“高级”选项卡中找到密码设置。您应该选中“包括大小写混合”、“包括数字字符”、“包括特殊字符”和“排除常见密码”选项。要获得更强的密码,请将最小密码长度增加到至少8个字符,尽管越长越好。
要防止字典攻击(攻击者可以尽可能快地猜测尽可能多的密码),请启用自动阻止。此选项会在IP地址猜测到一定数量的密码并在短时间内失败后自动阻止。在较新的Synology设备上,默认情况下会启用自动阻止,您可以在控制面板>安全>帐户中找到它。默认设置将阻止IP地址在五分钟内失败十次后再次尝试登录。
最后,考虑打开Synology防火墙。启用防火墙后,只有您在防火墙中指定为允许的服务才能从Internet访问。请记住,在打开防火墙的情况下,您需要对Plex等一些应用程序进行例外处理,如果您使用的是VPN,则需要添加端口转发规则。您可以在控制面板>安全防火墙中找到防火墙设置。
即使您采取了预防措施,NAS设备也始终存在数据丢失和勒索软件加密的可能性。归根结底,NAS不是备份系统,您能做的最好的事情就是对数据进行异地备份。这样,如果发生最坏的情况(无论是勒索软件还是多个硬盘故障),您可以最大限度地恢复数据。