如何来增强 Synology NAS 的安全性？

▼启用安全顾问

安全顾问是群晖DSM系统中内置的应用程序，可以对您的群晖NAS进行场景选择后的扫描，扫描后的风险选项可提供如何解决建议。

▼配置 DSM 用户的权限设置

✦DSM7.2.2系统版本默认的 admin 帐户已停用，以防止恶意攻击。

✦通过对用户和共享文件夹的权限设定来管理数据，还可以对应用程序进行设定，为不同服务设置使用配额和速度限制来管理对 Synology NAS 的访问。这些可以在群组/用户创建、共享文件夹创建过程中进行设置。如何设置请参考前文相关文章介绍。

▼配置密码强度规则

您可以设置用户的密码强度以降低被黑客攻击的风险。

▼设置密码到期

您可以强制用户在一段时间后更改密码。在以下位置选择启用密码到期：

前往控制面板 > 用户和群组 > 高级 > 密码到期。

▼使用帐户双重验证

双重验证为您的 DSM 帐户提供额外的安全性。可强制启用，也可以对账户自定义启用。

强制启用可以设置所有用户或指定用户群组，登录DSM前往控制面板>安全性>帐户 > 双重验证。

✦启用个人双重验证，您需要前往DSM系统右上角找到个人设置选项 > 安全性> 双重验证。

启用双重验证后，您在登录 DSM 时输入密码后还需要提供第二步身份验证。才能进入系统访问数据。这也保证了数据的安全行。

✦启用自动封锁和帐户保护

您可以启用自动封锁，在预定义的登录尝试次数后封锁 IP 地址。此功能适用于通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 和 DSM 的登录尝试。

对于 DSM 7.0 及以上版本，在以下位置配置自动封锁：前往控制面板 > 安全性 > 保护。

▼您可以启用帐户保护，以降低帐户被暴力攻击的风险。此功能支持以下服务和套件：DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station 和 Synology 移动应用程序。

在控制面板 > 安全性 > 帐户中配置帐户保护。

▼使用加密连接

要使用 SSL/TLS 加密连接，请使用 HTTPS 访问 DSM 和基于 Web 的套件，如 Synology Chat、Synology Drive、Synology Photos 和 Surveillance Station。这可以保护客户端与您的 Synology NAS 的通信。

您可以使用以下方法启用 HTTPS： DSM 登录使用HTTPS协议，控制面板 > 登录门户 > DSM 以选择自动将 HTTP 连接重定向到 HTTPS 。

▼对于特定软件登陆设置，可以自定义应用程序域，启用HTTPS协议。

对于移动端应用程序和实用程序登录，请在 Synology 移动应用程序或桌面实用程序的登录屏幕上选择 HTTPS。

完成上述设置后，请确保添加有效的 SSL 证书。

此外，由于某些服务或软件包也提供连接加密，您可以尝试以下方法来提高 Synology NAS 的安全性：

✦启用 FTPS 或 SFTP 代替 FTP，因为 FTP 不提供加密来保护数据传输。

✦通过 Hyper      Backup 将数据备份到远程目的地时，选择传输加密。

✦使用 共享文件夹同步时，选择启用 SSH 传输加密。

Synology NAS 可以通过互联网轻松访问。为了确保您的 Synology NAS 的安全，建议仅为路由器上所需的服务打开公共端口。群晖所用端口请参考前文介绍。

▼启用 DoS 保护

您可以启用拒绝服务 (DoS) 保护以防止网络上的恶意攻击。为此，请转到控制面板 > 安全性 > 保护，选择启用 DoS 保护，然后单击应用。

启用后，您的 Synology NAS 将根据 DSM 版本做出不同响应：对于 DSM 7.0 及以上版本：NAS 将响应每秒最多 1,000 个 ICMP ping 包。如果频率超过每秒 1,000 个 ping，NAS 将停止响应额外的请求。

▼更改默认管理端口

您可以自定义端口以阻止恶意登录尝试。默认端口如下：

✦HTTP：5000

✦HTTPS：5001

✦SSH：22

对于 DSM 7.0 及以上版本，您可以在以下位置更改 默认 HTTP/HTTPS 端口：

✦控制面板 > 登录门户 > DSM。

以上就是我们在NAS端做的一些安全设置，来加强设备访问的安全性，从而提高数据的访问安全。

建议大家遵循 3-2-1 备份策略，即至少要有 3 份数据备份，将这些备份存放在 2 种不同的存储设备上，至少异地备份 1 份，避免硬件或软件的故障、数据损坏、勒索病毒攻击造成的数据丢失方式，这样能更好的保护我们的数据。