自从上次《CloudCone和飞牛都暴雷了!》已经有一个多月的时间了,这段时间赶上学期结束太忙以及春节,也就没有折腾,直接把家里的设备与外网“切断”,关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片,是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统,openclaw是这样回答的:
屏蔽了所有SSH远程连接
关停了所有Web服务访问
阻断了所有API回调
甚至连您自己也进不去了
您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。
呵呵,太搞笑了,甚至连您自己也进不去了,得要带着键盘到机房物理登录。虽然是个笑话,也是告诉了我们,想要网络安全,得要“阻断”,当然不能把自己也给阻断了,是必须要阻断外界恶意一切入侵。
增强个人网络安全意识
我这个人的安全意识真的需要很好的加强才行,我会犯一般人都会犯的错误,比如所有网络通行证的密码都是一样的;会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前,家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后,我才把所以有端口全部断开外网。增强个人安全意识,是一切安全的基础。比如定期更换密码,密码最好为强口令的、能开通2FA的尽量开通2FA等。
安装软路由神器Lucky
Lucky,我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS(动态域名解析)、自动SSL证书管理、反向代理等功能的工具,能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间,可以统一管理所有外部访问。DDNS(动态域名解析)+ 反向代理 + 自动SSL证书,这是我们使用Lucky的灵魂功能,绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书,访问时全程https加密,安全、省心又方便。
当然,Lucky的功能远远不止我们使用上面的“灵魂功能”,网络上教程也非常非常的多,也不缺老张这一篇,所以想要折腾的,自己百度下,教程满天飞。
安装雷池waf
雷池waf,我也接触两三年了,《把服务器“藏”起来,让网站快起来!》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf,老张也不再赘述了
总结
这里和大家聊一聊,在飞牛NAS上部署Lucky和雷池Waf后,他们各起到什么样的作用。
整体效果
部署 Lucky + 雷池WAF后,你的飞牛NAS安全等级会从:
❌ 裸奔(直接暴露在公网)→ ✅ 穿防弹衣
直观效果:
✅ 外网访问只需记一个域名(如 nas.xxx.com)
✅ 全程HTTPS加密,证书自动续期
✅ 访问时先弹窗验证账号密码
✅ 黑客的攻击被WAF拦截,根本碰不到飞牛
✅ 攻击日志可查,知道谁在搞你
Lucky 负责什么?
Lucky = 入口+身份验证+证书管理
功能及作用:
🔄 DDNS域名自动解析到你的公网IP;
🔐 Basic Auth访问前先验证账号密码(第一道锁);
📜 HTTPS证书自动申请、自动续期SSL证书;
↪️ 反向代理把域名指向内网服务;
🔁 端口转发外网流量导入内网
Lucky的角色:门卫, "先报上名来,再进来"
雷池WAF 负责什么?
雷池 = 流量清洗+攻击拦截
功能作用:
🛡️ SQL注入拦截防止数据库被黑;
🔒 XSS拦截防止网页被注入恶意脚本;
📁 路径遍历拦截防止被;
🚫 CC防护防止被大量请求打挂;
👁️ 攻击日志记录谁在攻击你;
🔧 虚拟补丁没更新系统也能挡住已知攻击
雷池的角色:安检员, "检查有没有危险品"
流量是怎么走的?
1. 用户访问 https://nas.xxx.com
↓
2. Lucky 接收 HTTPS 请求
↓
3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁
↓
✅ 通过 → Lucky 把流量转给雷池 (HTTP)
❌ 失败 → 401 拒绝,连雷池都见不到
↓
4. 雷池 WAF 检查请求有没有攻击特征
↓
✅ 正常 → 转发给飞牛NAS
❌ 有攻击 → 403 拦截
↓
5. 飞牛NAS 收到请求,服务正常运行
一句话总结
Lucky门卫验证身份、管理证书、转发流量(Lucky 管"入口" —— 决定谁能进来、怎么进来)
雷池WAF安检拦截攻击、清洗流量、保护飞牛(雷池管"内容" —— 检查进来的人带没带武器)