⏹ 前言
在之前分享过NAS防护的通用操作,本文就给大家分享下威联通的专项配置攻略,觉得有用欢迎关注点赞收藏三联。
⏹ 相关推荐
日常相关推荐相关设备。
1️⃣西部数据 红盘Plus
简介:西部数据红盘Plus全系采用CMR(传统磁记录),相比较 SMR(叠瓦式磁记录) 而言,拥有更好的性能与更快的RAID重建能力,搭载NASWare 3.0技术的西部数据红盘Plus专为高运行温度或24×7全天候运行环境设计,在NAS中运行可靠性高。
西部数据红盘Plus的功耗经过优化,不仅可大幅节省电耗,而且还可降低小型 NAS 环境中的硬盘运行温度,因此硬盘总体可靠性和性能更高。
2️⃣威联通 TS-264C(双盘位)
简介:264C是去年年末刚出的型号,作为一个双盘位设备,264C的内部堆料有点离谱,N5105这四核+UHD600 24EU的CPU其他家四盘位的旗舰型号还没用上呢,威联通就给双盘位型号整上了,主板上还给了双NVME槽,直接把一众N4105和N4025吊起来打。
3️⃣威联通 TS-464C(四盘位)
简介:威联通往上有盘位数和CPU主频更高的AMD锐龙平台型号(TS673A这种),但如果影音功能是刚需的话还得是Intel平台好点,毕竟Intel核显的解编码能力比AMD强多了。
564和264C是威联通第一批使用N5105的型号,配置完全一致,区别在四盘位,有盘位需求的话上464C就行。
4️⃣威联通 TS-564(五盘位)
简介:564多了个专门针对核显的Intel OpenVINO框架,这个框架用于加速AI人脸识别,同时USB接口也升级到了USB3.2 Gen2,对于摄影常用的高速U盘这些外接存储更加友好,如果对照片整理有需求就选564,比较特殊的是564这个五盘位结构市面上暂时没有同类型设计(没有NVME槽),下面的两个2.5盘位做持续读写,上面的三个3.5盘位做冷存储,,需要更高随机读取速度上264C吧。
5️⃣蒲公英 X4C 移动路由器
简介:X4C是一款解决移动办公、宿舍等无法使用正常宽带问题的移动路由器,支持有线接入和4G流量网络,使用流量网络最高支持150Mbps带宽,配合外置两根WiFi天线和两根4G天线,保证无正常宽带也能流畅为多台电脑和手机提供网络。
⏹ 防护配置
威联通QTS作为目前权限开放权限相当高的NAS系统,系统给的防护相关配置入口比较多,大家跟着下文做就好了。
1️⃣账户保护---创建/修改账户基础信息
作为登录操作的第一步,账号安全是整个防护流程中最重要的地方,配置入口在控制台的权限分类中。
首先是用户名,建议将admin账户禁用,点击编辑账户配置永久停用即可。
QTS支持对单账号配置文件夹和App访问权限,点击文件夹权限编辑即可,RO/RW/Deny分别对应只读、可读写和拒绝三种权限,大家可以按需设置。
2️⃣访问保护---修改默认端口
这里的端口有三个大类:Web后台、其他系统服务和第三方服务。
Web后台就是登录页面,包含Http和Https两种协议,默认的端口号分别是5000和5001。
个人建议是把端口修改下,第一是部分地区运营商会封禁这俩端口导致访问不了,第二是5000和5001本身就是常用端口,可以换成4000/4001或者7000/7001这样简单好记的类型,配置入口在控制台→系统→常规设置→系统管理中,如下图所示。
其中Https是安全度较高的访问协议,不过威联通并没有赠送,如果数据比较重要,可以在myQNAPCloud云服务中点击SSLCertificate跳转购买(下面免费的Let'sEncrypt大陆区域因为政策原因不支持)。
在外网访问QuMaggie等系统应用的时候同样需要用到对应端口,在myQNAPCloud云服务→自动路由器配置中可以看到,根据使用需求开启即可。
除了系统应用以外,大部分NAS用户也会安装AppCenter中的第三方应用或者部署Docker,这里同样需要端口转发。
如果不想将这些应用暴露出去,可以关闭路由器中的UPnP功能,手动配置端口转发规则。
3️⃣访问保护---账户/IP认证
如果不方便修改端口规则,也可以配置访问账户或者IP规则进行安全防护,威联通支持黑名单和白名单两种配置方式,在控制台→系统→安全中即可配置。
QTS作为可以和群晖DSM掰掰手腕的NAS系统,当然不可能全靠手动封禁,同一页面点击访问保护还可以配置不同访问协议的自动封禁规则,密码登录达到错误次数自动封禁账户。
4️⃣访问保护---关闭SSH和Telnet
SSH和Telnet是两种Linux常用的远程登录方式,很多黑客团队会用脚本不断的扫公网IP看是否有开启SSH的设备并且尝试登录,建议不用的时候将这两个功能关闭,开启和关闭在网络&文件服务→Telnet/SSH中。
SSH的默认端口都是22,而且正常人不会去改端口号,如果你一定要长期开启SSH和Telnet,请将登录端口改成五位随机数字。
5️⃣本地保护---配置定时快照
快照这个功能是每个偏向数据存储的Linux系系统必备机制,简单来说就是为当前文件或者配置做备份。
这里建议大家配置自动快照功能,即使遇到突发情况也能快速恢复,如果配置快照的周期比较短建议使用NAS专用硬盘,主要是能保证备份快照时候的正常使用与数据完整性。
6️⃣本地保护---保持QTS系统更新
所有系统的更新都会着重安全性,特别是NAS系统,建议开启自动更新,在系统→固件更新总的自动更新,勾选推荐版本,不建议勾选最新版本。
7️⃣本地保护---开启防火墙
由于网络质量和安全性不可兼得,所以威联通选择将防火墙做成了独立App,需要在AppCenter搜索QuFirewall安装。
安装并配置后QuFirewall会根据预设监控应用程序运行、数据传输及客户端访问,一共三个级别可选,点击启用即可,当然也可以点击添加配置文件手动配置。
8️⃣本地保护---定期扫描文件
威联通在初始化的时候会自动安装Malware Remover,这是一个非常不错的查杀工具,建议配置定期扫描。
扫描的结果会和其他日志一起集中在QuLog中显示,点击分类即可查看,再和访问日志比对,很容易能排查出问题所在。
9️⃣综合监控---定期安全分析
如果上述你都开了,威联通还有Security Counselor这个专享监控,可以查看所有防护的状态和报告,并且支持。
扫出待优化点后可以在报告中点击需要修改的配置一键修改,比多App跳来跳去修改方便很多。
⏹ 本文完