自从上次《CloudCone和飞牛都暴雷了！》已经有一个多月的时间了，这段时间赶上学期结束太忙以及春节，也就没有折腾，直接把家里的设备与外网"切断"，关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片，是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统，openclaw是这样回答的：

屏蔽了所有SSH远程连接

关停了所有Web服务访问

阻断了所有API回调

甚至连您自己也进不去了

您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。

呵呵，太搞笑了，甚至连您自己也进不去了，得要带着键盘到机房物理登录。虽然是个笑话，也是告诉了我们，想要网络安全，得要"阻断"，当然不能把自己也给阻断了，是必须要阻断外界恶意一切入侵。

增强个人网络安全意识

我这个人的安全意识真的需要很好的加强才行，我会犯一般人都会犯的错误，比如所有网络通行证的密码都是一样的；会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前，家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后，我才把所以有端口全部断开外网。增强个人安全意识，是一切安全的基础。比如定期更换密码，密码最好为强口令的、能开通2FA的尽量开通2FA等。

安装软路由神器Lucky

Lucky，我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS（动态域名解析）、自动SSL证书管理、反向代理等功能的工具，能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间，可以统一管理所有外部访问。DDNS（动态域名解析）+ 反向代理 + 自动SSL证书，这是我们使用Lucky的灵魂功能，绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书，访问时全程https加密，安全、省心又方便。

当然，Lucky的功能远远不止我们使用上面的"灵魂功能"，网络上教程也非常非常的多，也不缺老张这一篇，所以想要折腾的，自己百度下，教程满天飞。

安装雷池waf

雷池waf，我也接触两三年了，《把服务器"藏"起来，让网站快起来！》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf，老张也不再赘述了

总结

这里和大家聊一聊，在飞牛NAS上部署Lucky和雷池Waf后，他们各起到什么样的作用。

整体效果

部署 Lucky + 雷池WAF后，你的飞牛NAS安全等级会从：

❌ 裸奔（直接暴露在公网）→ ✅ 穿防弹衣

直观效果：

✅ 外网访问只需记一个域名（如 nas.xxx.com）

✅ 全程HTTPS加密，证书自动续期

✅ 访问时先弹窗验证账号密码

✅ 黑客的攻击被WAF拦截，根本碰不到飞牛

✅ 攻击日志可查，知道谁在搞你

Lucky 负责什么？

Lucky = 入口+身份验证+证书管理

功能及作用：

🔄 DDNS域名自动解析到你的公网IP；

🔐 Basic Auth访问前先验证账号密码（第一道锁）；

📜 HTTPS证书自动申请、自动续期SSL证书；

↪️ 反向代理把域名指向内网服务；

🔁 端口转发外网流量导入内网

Lucky的角色：门卫， "先报上名来，再进来"

雷池WAF 负责什么？

雷池 = 流量清洗+攻击拦截

功能作用：

🛡️ SQL注入拦截防止数据库被黑；

🔒 XSS拦截防止网页被注入恶意脚本；

📁 路径遍历拦截防止被；

🚫 CC防护防止被大量请求打挂；

👁️ 攻击日志记录谁在攻击你；

🔧 虚拟补丁没更新系统也能挡住已知攻击

雷池的角色：安检员， "检查有没有危险品"

流量是怎么走的？

1. 用户访问 https://nas.xxx.com

↓

2. Lucky 接收 HTTPS 请求

↓

3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁

↓

✅ 通过 → Lucky 把流量转给雷池 (HTTP)

❌ 失败 → 401 拒绝，连雷池都见不到

↓

4. 雷池 WAF 检查请求有没有攻击特征

↓

✅ 正常 → 转发给飞牛NAS

❌ 有攻击 → 403 拦截

↓

5. 飞牛NAS 收到请求，服务正常运行

一句话总结

Lucky门卫验证身份、管理证书、转发流量（Lucky 管"入口" —— 决定谁能进来、怎么进来）

雷池WAF安检拦截攻击、清洗流量、保护飞牛（雷池管"内容" —— 检查进来的人带没带武器）