前一个:
后一个:

广州和世鑫Synology群晖企业方案

 

 

每当 Synology NAS 连接到 Internet 时,黑客和病毒便有机会攻击您的 Synology NAS,并且会尝试对敏感数据进行未经授权的访问。本文将为您提供各种方法来加强 Synology NAS 的安全设置并防止其遭到黑客攻击。

目录

  1. 开始之前的准备
  2. 利用安全资讯
  3. 配置 DSM 用户的权限设置
  4. 设置密码强度规则
  5. 密码到期
  6. 用两步骤验证法保护您的帐户
  7. 启用自动封锁和帐户保护
  8. 启用 HTTPS 连接
  9. 安全 FTP 服务
  10. 在路由器上仅为所需服务打开公共端口
  11. 启用 DoS 保护
  12. 更改默认管理端口
  13. 在用公共计算机访问 Synology NAS 时启用浏览器的无痕浏览模式或使用访客浏览功能

1.开始之前的准备

本文假设您已完成以下准备工作:

  • 为 Synology NAS 完成硬件设置。
  • 已在 Synology NAS 上安装和设置了 DiskStation Manager (DSM)。

2.利用安全资讯

安全资讯是一个内置 DSM 应用程序,可扫描 Synology NAS、检查 DSM 设置并提供有关如何解决安全漏洞的建议。只需按照 Security Advisor 的说明即可确保 Synology NAS 的安全。

若要立即扫描 Synology NAS:

  1. 进入主菜单 > 安全资讯 > 总览
  2. 单击扫描。 

若要设置自动扫描计划:

  1. 进入主菜单 > 安全资讯 > 高级
  2. 扫描计划区域中勾选启用定期扫描计划复选框。从下拉菜单中选择运行扫描的时间。
  3. 单击应用。 

有关安全资讯的详细信息,请参阅帮助页面。

 

3.配置 DSM 用户的权限设置

默认情况下,Synology NAS 的管理员帐户为 admin,密码为空白。由于该默认设置,此帐户的登录详情可被尝试黑入 Synology NAS 的恶意用户轻松猜到。

因此,为了保护 Synology NAS,建议在设置 Synology NAS 之后立即设置强密码。或者,还可以创建新管理员帐户并禁用系统默认的 admin 帐户。有关如何创建新用户的详细信息,请参阅帮助页面。

注:

  • 如果忘记了新密码,则可以重置 Synology NAS,这使您可用默认管理员凭据登录。

随着您向 Synology NAS 添加更多用户,可能会希望控制每个用户在 Synology NAS 上可访问的内容。有 2 种方法可用于管理用户的访问权限:

  1. 通过群组设置:在新用户创建过程中,可以将用户分配到群组。也可以在以后修改每个用户的群组设置。不同群组可以设置不同的访问权限,这些群组中的用户会继承访问权限。可以为群组设置多种类型的访问权限:
    • 分配具有以下级别的共享文件夹权限:
      • 禁止访问:群组无法访问共享文件夹。
      • 读/写:群组可以访问并更改共享文件夹。
      • 只读:群组可以访问共享文件夹,但无法进行更改。
    • 设置群组的使用配额。
    • 配置群组对应用程序的访问权限。共有三个选项:
      • 允许:该群组可以访问应用程序。
      • 拒绝:该群组无法访问应用程序。
      • 按 IP:通过 IP 地址管理访问权限。
    • 为不同服务启用群组速度限制。
      注:有关配置群组权限的详细信息,请参阅帮助页面。
  2. 通过个人设置:用户对共享文件夹和应用程序的访问权限由其所属的群组定义。但是,可以通过进入主菜单 > 控制面板 > 用户,选择用户并单击编辑,来进一步修改其访问权限。

4.设置密码强度规则

可启用多种密码规则以降低黑客侵入用户帐户的风险。

注:

  • 仅当创建新用户或是用户在设置规则之后更改其密码时,密码强度规则才适用。导入用户时,不会根据这些规则检查所导入用户的密码。仅当所导入用户在设置规则之后尝试更改其密码时,这些规则才适用。

若要设置密码强度规则:

  1. 进入主菜单 > 控制面板 > 用户
  2. 进入高级页面。请勾选应用密码强度规则复选框并启用以下任何规则:
    • 密码中不能包含用户名及用户描述:密码中不能包含用户名或用户描述,UTF-8 编码字符则不在此限制中。
    • 包含大小写:密码中可以包含大小写字母。
    • 包含数字字符:密码中至少要包含 0 ~ 9 中的一个数字字符。
    • 包含特殊字符:密码必须包含至少一个 ASCII 特殊字符(即 ~、`、!、@、#、$、%、^、&、*、(、)、-、_、=、+、[、{、]、}、\、|、;、:、'、"、<, >、/、?)。
    • 排除常用密码:密码不能是常用密码,如 123 或 abc。
    • 最短密码长度:密码长度必须大于此值。密码长度必须介于 6 到 127 个字符之间。
    • 密码历史(次数):指定数字确定禁止用户使用旧密码的次数。
  3. 单击应用来保存设置。

5.密码到期

您可通过密码到期功能强制用户在指定时间段后更改其密码来增强用户帐户的安全性。

若要设置密码到期计划:

  1. 请勾选启用密码到期复选框。
  2. 以下选项可供配置:
    • 密码有效期上限(天):指定密码将于多少天后到期。
    • 密码有效期下限(天):勾选复选框可启用此功能,并指定在多少天之后才允许用户更改其密码。
    • 密码到期前(天数)于每次登录时提醒用户更改密码:勾选复选框可启用此功能,指定在密码到期前多少天开始,将在用户登录时提醒用户更改其密码。
    • 允许用户在密码到期后更改密码:勾选此复选框可让用户用当前已到期密码登录并更改其密码。
    • 发送到期通知电子邮件:勾选此复选框可通过电子邮件通知用户密码到期。

  3. 单击应用来保存设置。

6.用两步骤验证法保护您的帐户

两步骤验证可为您的 DSM 帐户提供额外的安全保护。启用两步骤验证后,您登录 DSM 时除了需要输入密码外,还需要输入一次性验证码。您可以使用移动设备上安装的验证应用程序获得验证码。因此,如果有人要访问您的帐户,对方不仅要知道您的用户名和密码,还要用到您的移动设备。

要求:

  • 您需要移动设备和支持 TOTP(基于时间的一次性密码)协议的验证应用程序才能使用两步骤验证。验证应用程序包括 Google Authenticator (Android/iPhone/BlackBerry) 或 Authenticator (Windows Phone)。

若要启用两步骤验证:

  1. 选项菜单中,单击个人
  2. 勾选启用两步骤验证复选框以启动两步骤验证设置向导。单击下一步
  3. 输入电子邮件地址。万一移动设备丢失,紧急验证码可发送到您提供的电子邮件地址。单击下一步
  4. 在移动设备上,下载并安装验证应用程序,如 Google Authenticator (Android/iPhone/BlackBerry) 或 Authenticator (Windows Phone)。
  5. 打开验证应用程序并扫描二维码。
  6. 或者,您也可以单击链接来手动输入密钥。单击确定以关闭窗口。
  7. 然后,验证应用程序将生成一组 6 位数的验证码。将此组验证码输入向导的文本栏,以确认配置是否正确。如果出现错误,请确认移动设备的系统时间是否与 DSM 的系统时间同步。除此之外,验证码会定期更新,因此要确保输入的验证码未过期。单击下一步
  8. 单击关闭完成设置。
  9. 设置向导完成后,单击确定来保存设置。

若要使用两步骤验证来登录 DSM:

两步骤验证启用后,系统会在您登录 DSM 时,提示您输入 6 位数验证码。

  1. 在 DSM 登录屏幕,输入您的用户名和密码。
  2. 当系统提示您输入验证码时,打开移动设备上的验证应用程序。找到并输入您帐户的 6 位数验证码。
    注:如果移动设备丢失,您可单击遗失手机?,紧急验证码将发送到您的电子邮件地址。

SMTP 设置:

  • 若要通过电子邮件接收紧急验证码,必须在主菜单 > 控制面板 > 通知中正确设置 SMTP 服务器设置。
  • 紧急验证码上限:每个用户最多只能使用 5 次紧急验证码。如果超出上限,您必须先禁用两步骤验证,然后再次启用,才能接收更多的紧急验证码。

7.启用自动封锁和帐户保护

自动封锁:在超过预定义的登录尝试失败次数之后封锁 IP 地址。自动封锁可防止未经授权的访问。该数字包括所有通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 和 DSM 的登录尝试失败次数。

若要启用 IP 自动封锁:

  1. 进入主菜单 > 控制面板 > 安全性 >帐户
  2. 勾选自动封锁下的启用自动封锁
  3. 登录尝试几分钟内栏中输入数字,系统将会封锁在指定分钟内超过预定义的登录尝试失败次数的 IP 地址。
  4. 勾选启用封锁过期并输入数字来在指定天数后删除封锁的 IP 地址。
  5. 单击应用
  6. 可以管理或删除封锁的 IP 地址,具体方法是单击允许/封锁列表

 

帐户保护:提高 Synology NAS 的安全性,避免不受信任的客户端在登录尝试失败多次后使用帐户。帐户保护可降低帐户被暴力攻击入侵的风险。

若要启用帐户保护:

  1. 进入主菜单 > 控制面板 > 安全性 >帐户
  2. 勾选启用帐户保护复选框。单击应用。 

 

注:

  • 帐户保护支持以下服务和套件:DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station 和 Synology 移动应用程序。

8.启用 HTTPS 连接

HTTPS 是采用 HTTP 标准与 Synology NAS 进行交互的安全方法。启用 HTTPS 连接后,可使用 SSL/TLS 对与 DSM、Web Station、Photo Station、File Station、Audio Station 和 Surveillance Station 的连接进行加密。这意味着您与 Synology NAS 的连接是安全的。

9.安全 FTP 服务

启用 FTP 服务时,Synology NAS 默认支持安全 FTP。

10.在路由器上仅为所需服务打开公共端口

您可轻松通过 Internet 访问您的 Synology NAS。其 EZ-Internet 功能可引导您完成建立远程 Internet 访问 Synology NAS 的全部所需步骤。如果 EZ-Internet 不支持您的路由器,Synology NAS 也可让您配置路由器的设置,而无需 EZ-Internet 向导。

为了确保 Synology NAS 的安全性,强烈建议在路由器上仅对所需服务打开公共端口。

11.启用 DoS 保护

可以启用拒绝服务 (DoS) 保护来防止 Internet 上的恶意攻击。

若要启用 DoS 保护:

  1. 进入主菜单 > 控制面板 > 安全性 > 保护
  2. 勾选启用 DoS 保护复选框。单击应用。 

 

注:

  • 启用 DoS 保护之后,Synology NAS 会每秒仅响应一个 ICMP ping 数据包。如果频率高于每秒一次,则 Synology NAS 不会响应回显请求。

12.更改默认管理端口

可以自定义端口以阻止恶意登录尝试。
以下是默认端口:

  • HTTP:5000
  • HTTPS:5001
  • SSH:22

 

若要更改默认 HTTP/HTTPS 端口:

  1. 进入主菜单 > 控制面板 > 网络 > DSM 设置
  2. 在 HTTP 或 HTTPS 栏中输入自定义端口号。单击应用。 

若要更改默认 SSH 端口:

  1. 进入主菜单 > 控制面板 > 终端机和 SNMP > 终端机
  2. 勾选启用 SSH 服务复选框。
  3. 端口栏中输入自定义端口号。单击应用。 

13.在用公共计算机访问 Synology NAS 时启用浏览器的无痕浏览模式或使用访客浏览功能

每当您在无痕浏览模式下浏览时,您查看的页面将不会在浏览器历史记录或搜索历史记录中出现,它们也不会在您关闭所有打开的无痕浏览窗口后在计算机上留下其他痕迹(如 cookie)。因此,建议用户在用公共计算机访问 Synology NAS 时启用浏览器的无痕浏览模式。以下网站将向您显示如何在最常见的浏览器中启用无痕浏览模式:

浏览量:0
创建时间:2020-02-20 11:45

如何增加 Synology NAS 的安全性

网站首页    技术支持    常见问题    如何增加 Synology NAS 的安全性