手把手教你用威联通nas（5）——加固nas保护数据安全

绝大部分童鞋买了nas之后都需要远程访问，但直接把nas暴露在公网是一件很危险的事情，一旦ip被有心之人扫描到，对方就会用暴力破解、利用漏洞等等的手段对nas进行攻击，那如何保护自己的nas就成为一定要考虑的事情。

再次强调：不要裸奔不要裸奔！！！一旦被暴力破解那你的文件就可以和你说再见了。

这里利用nas自带的QuFirewall防火墙，通过自动封锁ip以及过滤ip地址来避免99%的攻击，同时用高强度密码+两步验证避免剩下的0.99%，那为什么不能做到100%呢，因为这根本不可能。

注：为简化，所有规则端口都选all，如果选定其他接口请确保正确再应用！否则可能会导致自己不能连接到nas，再实际中请根据具体情况设置。

一、安装QuFirewall

APP Center搜索QuFirewall并安装。

二、打开防火墙

打开防火墙，第一次加入需要选择保护模式，选择Basic protection基本保护。

三、简单配置防火墙（以ipv4为例，ipv6配置同理）

1.拒绝所有ip访问

2.允许中国ip访问

3.添加允许内网ip（段）：例如192.168.31.0/24、10.0.0.x网段

协议选择any

4.禁止所有ICMP（禁止所有ping）

这样就可以禁止除去内网之外所有ICMP（图中权限应当是拒绝，图上错了），完成之后应用即可生效。

四、开启ip封锁黑名单

打开设置，控制台-安全-ip访问保护，根据自身需求配置，ip阻止时间选择永远意味着除非手动删除，不然此ip会一直在黑名单中，如果自己在内网中输错了密码到上限那自己也被加到黑名单！

五、更换高强度密码并开启两步验证

打开设置，转到权限-用户，点击旁边的小钥匙图标修改高强度密码，最好8位数以上且包含大小写+特殊字符。

之后登录对应账户，点击右上角的账户，选择登录和安全性，转到两步验证开启即可。

注意：例如webdav这些远程访问不能两步验证，所以最好给需要远程访问文件的账户设置高强度密码，这个两步验证主要是再登录nas web控制台的时候需要用上，个人强烈建议管理员账号禁止远程登录且启用两步验证，也尽量不要把web控制台的端口直接暴露在公网，同时不同的共享文件夹配置不同的用户访问权限。

六、其他

1、部分路由器自己可以过滤来访问的ip，可以在路由器端开启此功能后nas端配合ip封锁即可。

2、不要把默认端口暴露在公网，这些默认端口一定会有很多人扫描的，可以在路由器端更换映射端口，比如把默认5000端口改成5555端口，就可以避免很多人来扫描从而避免被攻击。

3、强烈建议不要把web控制台暴露在公网，如果需要也最好配置好证书启用ssl。

4、部分pt等下载方式会有钓鱼行为，就是当自己下载对应的文件时会主动暴露自己的公网ip，从而被定向爆破，使用此类软件的时候请注意。

5、定期升级软件和更新nas固件，安全更新必不可少，程序的漏洞只能通过升级来解决。