NAS有價(jià)，數(shù)據(jù)無(wú)價(jià)。從硬件到軟件，愛(ài)速特NAS數(shù)據(jù)安全防護(hù)指南

NAS作為一個(gè)存儲(chǔ)數(shù)據(jù)文件的設(shè)備，在給我們帶來(lái)方便的同時(shí)，其實(shí)也存在著很多安全性的隱患。除了里面存儲(chǔ)的各種文件、照片、影片、軟件之外，關(guān)于NAS的各種玩法，各種娛樂(lè)功能，也都離不開(kāi)這些作為基礎(chǔ)的數(shù)據(jù)。

但是在網(wǎng)上也經(jīng)常出現(xiàn)不少關(guān)于NAS掛掉，數(shù)據(jù)丟失、硬盤(pán)損壞的慘案。包括前一段時(shí)間還發(fā)現(xiàn)了NAS的勒索病毒大范圍傳播，不少朋友中招，導(dǎo)致遭受數(shù)據(jù)和經(jīng)濟(jì)損失的一系列情況。

那么如何保證自己NAS的數(shù)據(jù)安全，讓我們更加安心的使用NAS，本文就以我正在使用的愛(ài)速特AS3302T為例，從硬件和軟件兩方面向大家介紹如何保護(hù)NAS里的數(shù)據(jù)安全。其中，關(guān)于硬件方面的介紹大部分通用，關(guān)于軟件方面雖然各品牌NAS的設(shè)置布局不同，但是功能有很多相似之處，也可以作為參考。

一，硬件篇

1，目前在使用的NAS 愛(ài)速特AS3302T

愛(ài)速特是華碩旗下的專(zhuān)注NAS的品牌，愛(ài)速特品牌的NAS提供三年質(zhì)保和電腦遠(yuǎn)程協(xié)助服務(wù)。這是一款A(yù)RM架構(gòu)雙盤(pán)位的入門(mén)款NAS，使用RTD1296處理器，配有2G內(nèi)存，8G閃存，自帶3個(gè)3.2USB接口。支持docker應(yīng)用。

作為一款A(yù)RM架構(gòu)的NAS，AS3302T算不上功能強(qiáng)大，但是可以滿(mǎn)足絕大多數(shù)普通用戶(hù)的數(shù)據(jù)存儲(chǔ)和家庭娛樂(lè)需求，同時(shí)還具有系統(tǒng)流程、發(fā)熱低，用電量低，聲音小等優(yōu)點(diǎn)。實(shí)際運(yùn)行噪音19分貝，可以安心放在臥室使用。

2，硬盤(pán)

目前的NAS大規(guī)模的數(shù)據(jù)存儲(chǔ)還是以機(jī)械硬盤(pán)為主，因?yàn)镹AS上的硬盤(pán)往往需要7*24h的高強(qiáng)度工作，所以對(duì)于硬盤(pán)的要求也比較高。一般建議使用紫盤(pán)以上的硬盤(pán)。為了更好的數(shù)據(jù)安全，建議使用NAS專(zhuān)用的硬盤(pán)。

①希捷酷狼

酷狼全系采用CMR垂直磁記錄，對(duì)于長(zhǎng)時(shí)間的使用可以更好的保護(hù)數(shù)據(jù)的安全性。而且在NAS上酷狼有專(zhuān)門(mén)的磁盤(pán)診斷工具，后面軟件部分也會(huì)提到。

酷狼目前主要有兩個(gè)產(chǎn)品系列，具體的差別見(jiàn)下表。兩款硬盤(pán)都提供3年內(nèi)的數(shù)據(jù)救援服務(wù)。

②西數(shù)紅盤(pán)

西部數(shù)據(jù)的NAS專(zhuān)用系列硬盤(pán)，一共有單個(gè)系列，主題區(qū)別見(jiàn)下表。如果對(duì)數(shù)據(jù)安全比較看中，建議從plus起，畢竟普版紅盤(pán)還是SMR。而pro的價(jià)格又確實(shí)稍微貴了點(diǎn)。

③東芝企業(yè)級(jí)硬盤(pán)

雖然沒(méi)有特殊標(biāo)明NAS專(zhuān)用，但是實(shí)際上很適合NAS等對(duì)數(shù)據(jù)安全要求較高的環(huán)境下使用。同樣使用CMR記錄技術(shù)，具有斷電保護(hù)功能，同時(shí)配有旋轉(zhuǎn)振動(dòng)傳感器，抵消風(fēng)扇和附近硬盤(pán)帶來(lái)的振動(dòng)影響。

3，支持NAS自動(dòng)關(guān)機(jī)的UPS

對(duì)于機(jī)械硬盤(pán)來(lái)說(shuō)，最大的敵人就是突然斷電如果在磁頭正在工作的過(guò)程中突然斷電，非常容易出現(xiàn)數(shù)據(jù)丟失甚至硬盤(pán)損壞。所以電壓不穩(wěn)或者經(jīng)常斷電的地方，NAS里的硬盤(pán)受損幾率更大。這種情況下就需要給NAS配一臺(tái)不間斷電源，也就是我們常說(shuō)的UPS。

而且建議配上一臺(tái)NAS專(zhuān)用的UPS，普通的UPS只能在停電后持續(xù)為NAS供電，當(dāng)UPS里的電耗光而家里還沒(méi)有來(lái)電的話，NAS依然會(huì)被突然斷電。雖然可以通過(guò)APP提醒加現(xiàn)場(chǎng)或者遠(yuǎn)程關(guān)機(jī)的方式關(guān)機(jī)，但是仍然存在很大的風(fēng)險(xiǎn)。而支持NAS自動(dòng)關(guān)機(jī)的UPS則可以在斷電后自動(dòng)啟動(dòng)NAS的關(guān)閉程序，確保硬盤(pán)萬(wàn)無(wú)一失。下面簡(jiǎn)單推薦幾款UPS。部分UPS除了針對(duì)NAS還可以實(shí)現(xiàn)對(duì)電腦的自動(dòng)關(guān)機(jī)。

4，磁盤(pán)設(shè)置與備份

在NAS一開(kāi)始設(shè)置的時(shí)候，會(huì)讓你選擇使用RAID0模式還是RAID1模式，當(dāng)然，四盤(pán)位以上的NAS可能還會(huì)有更多的模式可以選擇。而最常見(jiàn)的RAID0模式就是常規(guī)的把2塊硬盤(pán)全部用來(lái)存儲(chǔ)不同的數(shù)據(jù)。RAID1模式則是兩盤(pán)同步存儲(chǔ)，兩個(gè)盤(pán)互為備份，即使其中一個(gè)盤(pán)損壞或者壞道，另一個(gè)盤(pán)也依然可以讀出這部分?jǐn)?shù)據(jù)。

而備份也分備份在NAS內(nèi)部和傳輸?shù)酵獠坑脖P(pán)兩種。對(duì)于存著比較重要數(shù)據(jù)的NAS盤(pán)，建議定期使用移動(dòng)硬盤(pán)等其他介質(zhì)對(duì)NAS內(nèi)的數(shù)據(jù)進(jìn)行備份。比如AS3302T正好有一個(gè)前置的USB3.2口，面板上有一個(gè)一鍵備份的案按鍵，可以將移動(dòng)硬盤(pán)或者U盤(pán)插在U口之后一鍵備份NAS中的數(shù)據(jù)。

除此之外，愛(ài)速特品牌的NAS還有一個(gè)冷備份的獨(dú)門(mén)絕技。我們知道NAS存儲(chǔ)的數(shù)據(jù)我們是無(wú)法通過(guò)電腦直接讀取的。但是愛(ài)速特的NAS具備MyArchive冷備份功能，當(dāng)把其中一個(gè)硬盤(pán)設(shè)置成冷備份盤(pán)之后，這個(gè)硬盤(pán)上備份的數(shù)據(jù)可以直接使用電腦進(jìn)行閱讀，而且可以在不關(guān)機(jī)的情況下對(duì)這款硬盤(pán)進(jìn)行插拔，相當(dāng)于比傳統(tǒng)NAS多了一個(gè)更加方便的數(shù)據(jù)備份方式。

5，定期進(jìn)行磁盤(pán)診斷

在愛(ài)速特的系統(tǒng)信息項(xiàng)下最后一欄是就是系統(tǒng)診斷工具，包括系統(tǒng)、網(wǎng)絡(luò)、安全和存儲(chǔ)，點(diǎn)擊診斷既可得到結(jié)果。其中存儲(chǔ)部分可以測(cè)試硬盤(pán)壞軌以及進(jìn)行數(shù)據(jù)備份。我們點(diǎn)擊“這里”進(jìn)行進(jìn)一步的硬盤(pán)檢查。

這個(gè)界面實(shí)際上也可以通過(guò)存儲(chǔ)管理員直接進(jìn)入，然后選擇左側(cè)的硬盤(pán)選項(xiàng)。

因?yàn)槲沂褂玫臅r(shí)希捷酷狼的NAS專(zhuān)用硬盤(pán)，所以系統(tǒng)提示可以安裝酷狼專(zhuān)用的管理器。

點(diǎn)擊后會(huì)進(jìn)入APP中心，進(jìn)行安裝就可以了。

還記得硬盤(pán)部分頂上有硬盤(pán)醫(yī)生和S.M.A.R.T信息兩個(gè)選項(xiàng)吧。點(diǎn)擊硬盤(pán)醫(yī)生進(jìn)入這個(gè)界面。我們可以選擇實(shí)時(shí)掃描，也可以額選擇每日、每周或者每個(gè)月定期進(jìn)行掃描，查找硬盤(pán)上有無(wú)壞道。建議選擇一個(gè)我們?nèi)粘２粫?huì)使用NAS的時(shí)間比如凌晨1點(diǎn)進(jìn)行日常的壞道掃描。S.M.A.R.T掃描則是讀取硬盤(pán)上自己的管理信息，所以速度會(huì)快很多。

選擇之后，NAS會(huì)后臺(tái)進(jìn)行相應(yīng)的掃描操作，我們?cè)撟鍪裁醋鍪裁?，存?chǔ)管理員頁(yè)面會(huì)顯示目前的掃描進(jìn)度。

下次再進(jìn)入硬盤(pán)醫(yī)生的時(shí)候，回顯示上一次的掃描時(shí)間和掃描結(jié)果。

二，軟件設(shè)置篇

硬件方面主要防御的是來(lái)自無(wú)力方面的，非人為的影響，軟件方面則主要是為了防備來(lái)自外界的攻擊。隨著NAS的保有量越來(lái)越大，很多朋友并不注意NAS的設(shè)置和防護(hù)，導(dǎo)致NAS成為了不少別有用心的人的攻擊新對(duì)象。而我們即使不額外添置設(shè)備，只要對(duì)NAS進(jìn)行合理的設(shè)置，就可以更好的保障我們的NAS系統(tǒng)安全。

下面依然以愛(ài)速特為例，向大家講解一下如何進(jìn)行更安全的軟件設(shè)置。

1，禁止admin用戶(hù)

要攻擊你的NAS，獲取你的系統(tǒng)賬號(hào)顯然是最容易的方式。而大部分NAS的管理員賬號(hào)都是admin，獲得了用戶(hù)名信息，再去破解密碼就變得容易很多。所以建議禁止掉admin賬號(hào)，轉(zhuǎn)而使用一個(gè)相對(duì)沒(méi)有實(shí)際意義的用戶(hù)名進(jìn)行登錄，避免被破解。

愛(ài)速特的admin僅用在訪問(wèn)控制——本機(jī)用戶(hù)，點(diǎn)擊admin后再點(diǎn)擊編輯，然后勾選禁用磁賬號(hào)既可。

2，設(shè)置限時(shí)的臨時(shí)訪客賬號(hào)

我們現(xiàn)實(shí)中經(jīng)常避免不了把NAS的信息分享給朋友或者同事，亦或者出差的時(shí)候在并不能保證安全的網(wǎng)絡(luò)上從外網(wǎng)甚至電腦上訪問(wèn)自己家的NAS。這個(gè)時(shí)候用管理員賬號(hào)的話會(huì)存在一定的風(fēng)險(xiǎn)。這時(shí)候可以建立一個(gè)新的賬號(hào)，愛(ài)速特軟件上可以賦予這個(gè)賬號(hào)有限制的訪問(wèn)時(shí)間，只要一過(guò)了這個(gè)時(shí)間，賬號(hào)自動(dòng)失效。

可以給新賬號(hào)設(shè)置相應(yīng)的使用空間限制，輸入0代表無(wú)限制，可以存儲(chǔ)全盤(pán)。

同時(shí)還可以設(shè)置這個(gè)新用戶(hù)的權(quán)限，可以只給這個(gè)賬號(hào)開(kāi)啟必要的訪問(wèn)權(quán)限。

app同理，可以限制這個(gè)賬號(hào)可以訪問(wèn)的APP。

接下來(lái)我們就可以看到我們的NAS上現(xiàn)在的賬號(hào)情況了，包括臨時(shí)賬號(hào)的到期時(shí)間。

3，及時(shí)查看系統(tǒng)狀極重要信息

愛(ài)速特軟件的右上角有個(gè)類(lèi)似小表的標(biāo)志，點(diǎn)擊后可以添加響應(yīng)的內(nèi)容，可以看到資源監(jiān)控、重要日志、在線用戶(hù)、存儲(chǔ)管理員等信息，一目了然的了解NAS目前的工作狀態(tài)，方便及時(shí)發(fā)現(xiàn)異常情況。

4，限制IP地址

攻擊NAS的源頭自然來(lái)自外網(wǎng)，如果說(shuō)完全關(guān)閉外網(wǎng)訪問(wèn)，那么就只能去攻擊路由器，關(guān)于路由器的防護(hù)與設(shè)置由于不同產(chǎn)品功能和系統(tǒng)之間差異非常大，有興趣的大家可以針對(duì)性的去找一下。

愛(ài)速特在偏好設(shè)定中ADM Defender處可以設(shè)置網(wǎng)絡(luò)防護(hù)和防火墻。這里主要是針對(duì)外網(wǎng)訪問(wèn)的IP進(jìn)行限制。包括信任列表、黑名單、白名單等。如果你只有固定的外網(wǎng)訪問(wèn)地址，比如單位地址，完全可以禁掉所有的IP地址，只允許單位的IP進(jìn)行訪問(wèn)。

或者只允許本地區(qū)的一個(gè)IP段進(jìn)行訪問(wèn)。

同時(shí)，如果你發(fā)現(xiàn)最近有一個(gè)固定IP或者IP段在不同的嘗試登錄你的NAS，那么也可以禁掉這個(gè)IP甚至這個(gè)IP段。

同時(shí)愛(ài)速特的系統(tǒng)中也有自動(dòng)黑名單功能，對(duì)于多次嘗試登錄且密碼錯(cuò)誤的IP地址進(jìn)行封禁，建議這個(gè)功能默認(rèn)開(kāi)啟。

5，保持軟件更新

每當(dāng)遇到大規(guī)模的勒索病毒或者其他針對(duì)NAS的攻擊時(shí)，一般大廠都會(huì)比較及時(shí)的更新軟件，堵住安全漏洞，所以及時(shí)做出軟件更新也是非常重要的。

在偏好設(shè)定——ADM更新部分可以開(kāi)啟更新提醒和每天、每周、每月檢測(cè)并自動(dòng)更新，同樣的時(shí)間可以設(shè)置在凌晨不用NAS的時(shí)候。這樣整個(gè)過(guò)程完全不需要自己手動(dòng)操作，就可以一直保持NAS系統(tǒng)處于最新版本了。

6，關(guān)于SSH、STFP服務(wù)

如果沒(méi)有需要的話可以關(guān)閉這兩項(xiàng)服務(wù)，保證系統(tǒng)更高的安全性。如果確實(shí)需要的話，SSH默認(rèn)的端口是22，建議改成四位或者五位的隨機(jī)數(shù)字作為端口，提升外網(wǎng)攻擊時(shí)找到你的難度。

7，關(guān)于HTTP通訊端口

絕大多數(shù)的NAS的HTTP端口默認(rèn)為8000，HTTPS為8001，可以修改這兩個(gè)默認(rèn)端口號(hào)，減少被無(wú)差別攻擊的機(jī)會(huì)。另外建議HTTPS的加密保持開(kāi)啟，且HTTP的登錄自動(dòng)轉(zhuǎn)向HTTPS，確保每一次外網(wǎng)的登錄都是經(jīng)過(guò)加密端口的。

在通過(guò)HTTPS登錄的時(shí)候，愛(ài)速特的NAS預(yù)設(shè)了一個(gè)憑證，同時(shí)可以根據(jù)需要增加憑證。

三，總結(jié)

現(xiàn)在加入NAS這一市場(chǎng)的品牌越來(lái)越多，大家還是不要一味的根據(jù)配置和價(jià)格選擇，軟件方面雖然各有千秋，但是幾個(gè)大廠的軟件功能確實(shí)更加完善，更新也更加及時(shí)，這都是小廠或者非專(zhuān)業(yè)廠商做不到的。

比如愛(ài)速特特色的冷備份功能和一鍵備份功能給使用帶來(lái)了很多的便利，同時(shí)軟件方便有比較完善的磁盤(pán)診斷，安全防護(hù)設(shè)置，對(duì)于維護(hù)NAS系統(tǒng)和數(shù)據(jù)的安全都具有非常積極的意義。

最后還是那句，雖然是本文是關(guān)于愛(ài)速特的NAS的講解，但是這些方法實(shí)際上是所有NAS通用的，平時(shí)養(yǎng)成良好的使用習(xí)慣可以更好的保證我們的NAS安全的運(yùn)行。