Synology NAS 防火牆相關設定

什麼是防火牆

防火牆有如家的門窗等等,如果門戶大開,就是讓別人很輕易的就可以進去,所以當我們不在家裡,或是都會把家門關上有如設定上防火牆一樣的概念。 應用程式溝通都會在 Server 上面監聽一個連接埠(Port)透過這個 port 與外部網路進行溝通,原則上防火牆僅需要放行必須的 Port ,不會直接全開,全開可能其他的 Port 就能夠被有心人士進行操作。

Synology NAS 實體網路架設方式

目前自己的架設方式

  • 優點
    • 不用再做 Port Forwarding 等等的設定,所有的服務都可以直接被外網存取到
  • 缺點
    • 直接將 NAS 暴露在外網上
    • 如果只有一個固定 IP (通常家用網路只會預設免費一個固定 IP)就被 NAS 拿走了,就無法再架設其他服務了

其他人建議的做法

  • 優點
    • 固定 IP 會綁在小烏龜上面,如果內網還有其他的 Server 或是服務可以直接用 Port Forwarding 的方式鏡像到外網
    • NAS 沒有直接暴露外網
  • 缺點
    • 需要一個一個開 Port 才可以讓外部使用到服務,設定較為麻煩

如何設定 Synology 防火牆

設定位置在「控制台 -> 安全性 -> 防火牆」
如何開啟防火牆設定
點擊「編輯規則」即可進行防火牆設定
Hash 自己的防火牆設定
我自己的做法是採用白名單的做法,也就是有列出的項目放行,其他的全部不允許
  • Web service (80, 443) 直接開啟所有 IP 都可以使用
  • 內網所有服務放行
  • DSM 管理介面、Drive、Moment 等等服務都是選擇 Taiwan 才放行,如果有要出國出國前再將來源國家多開那個國家即可,或是透過 VPN 的方式連線回來台灣使用也行
設定 Port, IP
根據服務放行
幾年沒用 Synology NAS 後 DSM 進步不少,在防火牆的設定都可以選擇應用程式還有國家,都不太需要動什麼頭腦就可以設定完成了 另外提醒大家,防火牆不是絕對安全的,舉例,你開啟了 22 port 的 SSH 服務,結果你的密碼被 Hacker 猜到登入,更慘的是如果他所登入的帳號是管理員帳號,你的整台 NAS 都是他的了,如果想要把服務放在外部請三思而後行。