我们重视您的隐私

我们使用 Cookie 来个性化您对我们网站的使用。其中包括我们用于广告和网站分析的第三方 Cookie。请参阅我们的隐私声明Cookie 政策以了解有关我们如何收集和使用数据的更多信息。

Cookie 选项
同意
知识中心与文档库

我可以做些什么来增强 Synology NAS 的安全性?

更新时间:Nov 26, 2024

我可以做些什么来增强 Synology NAS 的安全性?

部分文章为机器自动翻译,文中可能有文法错误或语义模糊之处。

目的

本文提供了几种方法,可以帮助您使 Synology NAS 更加安全。

解决方案

启用安全顾问

安全顾问是一个内置的 DSM 应用程序,可以扫描您的 Synology NAS,检查您的 DSM 设置,并为您提供如何解决安全漏洞的建议。要配置安全顾问,请参阅本文

配置 DSM 用户的权限设置

  • 确保默认的 admin 帐户已停用,以防止恶意攻击。
  • 通过配置用户对共享文件夹和应用程序的权限以及为不同服务设置使用配额和速度限制来管理对 Synology NAS 的访问。您可以在群组级别个人级别进行此操作,并在群组/用户创建过程中或稍后在控制面板 > 用户(适用于 DSM 6.2 及更早版本)或用户和群组(适用于 DSM 7.0 及更高版本)中进行。

配置密码强度规则

您可以确保用户设置强密码以降低被黑客攻击的风险。在以下位置选择应用密码强度规则

  • 对于 DSM 7.0 及以上版本:前往控制面板 > 用户和群组 > 高级 > 密码设置
  • 对于 DSM 6.2 及更早版本:前往控制面板 > 用户 > 高级 > 密码设置

有关密码强度规则的更多信息,请参阅本文

设置密码到期

您可以强制用户在一段时间后更改密码。在以下位置选择启用密码到期

  • 对于 DSM 7.0 及以上版本:前往控制面板 > 用户和群组 > 高级 > 密码到期
  • 对于 DSM 6.2 及更早版本:前往控制面板 > 用户 > 高级 > 密码到期

有关密码到期的更多信息,请参阅本文

使用多因素验证

多因素验证为您的 DSM 帐户提供额外的安全性。如果启用,您需要在登录 DSM 时在密码之外提供第二步身份验证。有关多因素验证的更多信息,请参阅DSM 7.0DSM 6.2的相关帮助文章。

  • 对于 DSM 7.0 及以上版本:前往选项 > 个人 > 帐户 > 双重验证
  • 对于 DSM 6.2 及更早版本:前往选项 > 个人 > 帐户,选择启用两步骤验证

启用自动封锁和帐户保护

您可以启用自动封锁,在预定义的登录尝试次数后封锁 IP 地址。此功能适用于通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 和 DSM 的登录尝试。在以下位置配置自动封锁

  • 对于 DSM 7.0 及以上版本:前往控制面板 > 安全性 > 保护
  • 对于 DSM 6.2 及更早版本:前往控制面板 > 安全性 > 帐户

您可以启用帐户保护,以降低帐户被暴力攻击的风险。此功能支持以下服务和套件:DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station 和 Synology 移动应用程序。在控制面板 > 安全性 > 帐户中配置帐户保护

使用加密连接

要使用 SSL/TLS 加密连接,请使用 HTTPS 访问 DSM 和基于 Web 的套件,如 Synology Chat、Synology Drive、Synology Photos 和 Surveillance Station。这可以保护客户端与您的 Synology NAS 的通信。您可以使用以下方法启用 HTTPS:

  • 对于 DSM 登录,请转到控制面板 > 登录门户 > DSM 以选择自动将 HTTP 连接重定向到 HTTPS启用 HSTS 强制浏览器使用安全连接(如果您使用的是自定义域,请选择此选项)。请勿同时启用这两个选项,以避免连接问题。
  • 对于门户或反向代理设置,在配置以下内容时,选择与 HSTS 相关的复选框:
  • 对于移动应用程序和实用程序登录,请在 Synology 移动应用程序或桌面实用程序的登录屏幕上选择 HTTPS

完成上述设置后,请确保添加有效的 SSL 证书

此外,由于某些服务或软件包也提供连接加密,您可以尝试以下方法来提高 Synology NAS 的安全性:

  • 启用 FTPSSFTP 代替 FTP,因为 FTP 不提供加密来保护数据传输。
  • 通过 Hyper Backup 将数据备份到远程目的地时,选择传输加密
  • 使用 共享文件夹同步时,选择启用 SSH 传输加密

仅为路由器上所需的服务打开公共端口

Synology NAS 设计为可以通过互联网轻松访问。请参阅本教程以了解如何配置远程访问。为了确保您的 Synology NAS 的安全,我们强烈建议仅为路由器上所需的服务打开公共端口。

启用 DoS 保护

您可以启用拒绝服务 (DoS) 保护以防止网络上的恶意攻击。为此,请转到控制面板 > 安全性 > 保护,选择启用 DoS 保护,然后单击应用

启用后,您的 Synology NAS 将根据 DSM 版本做出不同响应:

  • 对于 DSM 7.0 及以上版本:NAS 将响应每秒最多 1,000 个 ICMP ping 包。如果频率超过每秒 1,000 个 ping,NAS 将停止响应额外的请求。
  • 对于 DSM 6.2 及更早版本:NAS 每秒仅响应一个 ICMP ping 包。如果每秒收到多个 ping,NAS 将忽略额外的请求。

更改默认管理端口

您可以自定义端口以阻止恶意登录尝试。默认端口如下:

  • HTTP:5000
  • HTTPS:5001
  • SSH:22

您可以在以下位置更改 默认 HTTP/HTTPS 端口

  • 对于 DSM 7.0 及以上版本:控制面板 > 登录门户 > DSM
  • 对于 DSM 6.2 及更早版本:控制面板 > 网络 > DSM 设置

您可以在控制面板 > 终端机和 SNMP > 终端机中更改默认 SSH 端口

进一步阅读

目的
解决方案
启用安全顾问
配置 DSM 用户的权限设置
配置密码强度规则
设置密码到期
使用多因素验证
启用自动封锁和帐户保护
使用加密连接
仅为路由器上所需的服务打开公共端口
启用 DoS 保护
更改默认管理端口
进一步阅读