NAS,如何做好安全防护!

自从上次《CloudCone和飞牛都暴雷了!》已经有一个多月的时间了,这段时间赶上学期结束太忙以及春节,也就没有折腾,直接把家里的设备与外网"切断",关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片,是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统,openclaw是这样回答的:

屏蔽了所有SSH远程连接

关停了所有Web服务访问

阻断了所有API回调

甚至连您自己也进不去了

您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。

呵呵,太搞笑了,甚至连您自己也进不去了,得要带着键盘到机房物理登录。虽然是个笑话,也是告诉了我们,想要网络安全,得要"阻断",当然不能把自己也给阻断了,是必须要阻断外界恶意一切入侵。

增强个人网络安全意识

我这个人的安全意识真的需要很好的加强才行,我会犯一般人都会犯的错误,比如所有网络通行证的密码都是一样的;会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前,家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后,我才把所以有端口全部断开外网。增强个人安全意识,是一切安全的基础。比如定期更换密码,密码最好为强口令的、能开通2FA的尽量开通2FA等。

安装软路由神器Lucky

Lucky,我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS(动态域名解析)、自动SSL证书管理、反向代理等功能的工具,能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间,可以统一管理所有外部访问。DDNS(动态域名解析)+ 反向代理 + 自动SSL证书,这是我们使用Lucky的灵魂功能,绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书,访问时全程https加密,安全、省心又方便。

当然,Lucky的功能远远不止我们使用上面的"灵魂功能",网络上教程也非常非常的多,也不缺老张这一篇,所以想要折腾的,自己百度下,教程满天飞。

安装雷池waf

雷池waf,我也接触两三年了,《把服务器"藏"起来,让网站快起来!》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf,老张也不再赘述了

总结

这里和大家聊一聊,在飞牛NAS上部署Lucky和雷池Waf后,他们各起到什么样的作用。

整体效果

部署 Lucky + 雷池WAF后,你的飞牛NAS安全等级会从:

❌ 裸奔(直接暴露在公网)→ ✅ 穿防弹衣

直观效果:

✅ 外网访问只需记一个域名(如 nas.xxx.com)

✅ 全程HTTPS加密,证书自动续期

✅ 访问时先弹窗验证账号密码

✅ 黑客的攻击被WAF拦截,根本碰不到飞牛

✅ 攻击日志可查,知道谁在搞你

Lucky 负责什么?

Lucky = 入口+身份验证+证书管理

功能及作用:

🔄 DDNS域名自动解析到你的公网IP;

🔐 Basic Auth访问前先验证账号密码(第一道锁);

📜 HTTPS证书自动申请、自动续期SSL证书;

↪️ 反向代理把域名指向内网服务;

🔁 端口转发外网流量导入内网

Lucky的角色:门卫, "先报上名来,再进来"

雷池WAF 负责什么?

雷池 = 流量清洗+攻击拦截

功能作用:

🛡️ SQL注入拦截防止数据库被黑;

🔒 XSS拦截防止网页被注入恶意脚本;

📁 路径遍历拦截防止被;

🚫 CC防护防止被大量请求打挂;

👁️ 攻击日志记录谁在攻击你;

🔧 虚拟补丁没更新系统也能挡住已知攻击

雷池的角色:安检员, "检查有没有危险品"

流量是怎么走的?

1. 用户访问 https://nas.xxx.com

2. Lucky 接收 HTTPS 请求

3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁

✅ 通过 → Lucky 把流量转给雷池 (HTTP)

❌ 失败 → 401 拒绝,连雷池都见不到

4. 雷池 WAF 检查请求有没有攻击特征

✅ 正常 → 转发给飞牛NAS

❌ 有攻击 → 403 拦截

5. 飞牛NAS 收到请求,服务正常运行

 

一句话总结

Lucky门卫验证身份、管理证书、转发流量(Lucky 管"入口" —— 决定谁能进来、怎么进来)

雷池WAF安检拦截攻击、清洗流量、保护飞牛(雷池管"内容" —— 检查进来的人带没带武器)

 

 

 

评论区

共 44 条评论
  1. 头像
    粽叶加米 Lv5.熟稔有加
    雷池社区版只能添加10个应用,现在直接用cloudflared了。
    3月前
    1. 头像
      老张 博主
      @粽叶加米 只能加10个??那得要把不常用的一些去掉,10个基本也够用 了。
      3月前
  2. 头像
    老罗爱折腾 Lv3.点头之交
    看完您的文章,又得升级安全了,我的飞牛NAS一直在裸奔
    3月前
    1. 头像
      老张 博主
      @老罗爱折腾 我以前也是裸奔的,现在必须要做好防护。
      3月前
  3. 头像
    崔话记 Lv2.初识寒暄
    我的nas已经开不起来了,不知道上哪里找人修,一直在墙角吃灰
    4月前
    1. 头像
      老张 博主
      @崔话记 自己修
      4月前
  4. 头像
    网友小宋 Lv9.惺惺相惜
    还是得厂家推出安全工具。
    4月前
    1. 头像
      老张 博主
      @网友小宋 现在飞牛也意识到问题了。
      4月前
  5. 头像
    刘郎 Lv4.常来常往
    我家里的Nas估计灰都已经厚得不成样了吧
    4月前
  6. 头像
    秦大叔 Lv5.熟稔有加
    我的NAS性能弱,只能用于存储照片视频,所以现在除了隔一段时间开机同步手机的照片,都关着,完全不怕被黑。
    4月前
    1. 头像
      老张 博主
      @秦大叔 平时都关机,真的不怕黑。
      4月前
  7. 头像
    山野愚人居 Lv5.熟稔有加
    我的飞牛装在笔记本上,通过frp映射到了公网,没发现异常,不过就下载一些电影,都是无关紧要的!
    4月前
    1. 头像
      老张 博主
      @山野愚人居 我的也没有异常,但是就怕以后会出问题。
      4月前
  8. 头像
    西风 Lv2.初识寒暄
    以前我的印象 nas 就是内网用的,现在 都这么牛了
    4月前
    1. 头像
      老张 博主
      @西风 对呀,部署了emby服务器,外网也可以看,所以
      4月前
      1. 头像
        Jensfrank Lv1.萍水相逢
        @老张 老张你的emby肯定很不错
        4月前
        1. 头像
          老张 博主
          @Jensfrank 我是配套了115,几百T资源
          4月前
  9. 头像
    拾风 Lv1.萍水相逢
    感觉claw需要的权限很大,跟安全是此消彼长,很难平衡,只能优先考虑好用,再是风险。
    4月前
    1. 头像
      老张 博主
      @拾风 如果怕风险,可以用docker方式部署openclaw
      4月前
  10. 头像
    瀚海星辰 Lv1.萍水相逢
    我飞牛直接纯内网运行了,把外网直接嘎掉了
    4月前
    1. 头像
      老张 博主
      @瀚海星辰 主要我搞了302网盘影视,在外面也需要用的。
      4月前
😊