Synology NAS 防火牆相關設定

什麼是防火牆

防火牆有如家的門窗等等，如果門戶大開，就是讓別人很輕易的就可以進去，所以當我們不在家裡，或是都會把家門關上有如設定上防火牆一樣的概念。 應用程式溝通都會在 Server 上面監聽一個連接埠（Port）透過這個 port 與外部網路進行溝通，原則上防火牆僅需要放行必須的 Port ，不會直接全開，全開可能其他的 Port 就能夠被有心人士進行操作。

Synology NAS 實體網路架設方式

目前自己的架設方式

• 優點
  • 不用再做 Port Forwarding 等等的設定，所有的服務都可以直接被外網存取到
• 缺點
  • 直接將 NAS 暴露在外網上
  • 如果只有一個固定 IP （通常家用網路只會預設免費一個固定 IP）就被 NAS 拿走了，就無法再架設其他服務了

其他人建議的做法

• 優點
  • 固定 IP 會綁在小烏龜上面，如果內網還有其他的 Server 或是服務可以直接用 Port Forwarding 的方式鏡像到外網
  • NAS 沒有直接暴露外網
• 缺點
  • 需要一個一個開 Port 才可以讓外部使用到服務，設定較為麻煩

如何設定 Synology 防火牆

設定位置在「控制台 -> 安全性 -> 防火牆」

點擊「編輯規則」即可進行防火牆設定

我自己的做法是採用白名單的做法，也就是有列出的項目放行，其他的全部不允許

• Web service (80, 443) 直接開啟所有 IP 都可以使用
• 內網所有服務放行
• DSM 管理介面、Drive、Moment 等等服務都是選擇 Taiwan 才放行，如果有要出國出國前再將來源國家多開那個國家即可，或是透過 VPN 的方式連線回來台灣使用也行

幾年沒用 Synology NAS 後 DSM 進步不少，在防火牆的設定都可以選擇應用程式還有國家，都不太需要動什麼頭腦就可以設定完成了 另外提醒大家，防火牆不是絕對安全的，舉例，你開啟了 22 port 的 SSH 服務，結果你的密碼被 Hacker 猜到登入，更慘的是如果他所登入的帳號是管理員帳號，你的整台 NAS 都是他的了，如果想要把服務放在外部請三思而後行。