
安全无小事,别让NAS变肉鸡!威联通 NAS 终极防护指南
安全无小事,别让NAS变肉鸡!威联通 NAS 终极防护指南
哈喽小伙伴们好,我是Stark-C~
话说年前隔壁厂商爆出的 0day 高危漏洞,一定还让各位 NAS 用户心有余悸吧。 这个漏洞到底有多恐怖呢?
简单来说,只要你的 NAS 联网开着,就等于主动向攻击者敞开大门。他们不需要密码,不需要权限,甚至不需要你点任何东西,就能直接潜入你的系统里“翻箱倒柜”,把你 NAS 里的所有文件看得一清二楚,让你毫无隐私可言。
然而这还是轻的,更狠的是不法分子还可能在你的 NAS 里悄悄植入病毒或恶意程序,让你的设备变成他们的:矿机、跳板机,或者肉鸡,而你本人却对这些完全察觉不到。
也正因为如此,NAS 的安全体系到底扎不扎实,就成为决定我们是否使用安稳的重要考量之一。

🔺而在这方面,威联通作为深耕领域 20 余年的老牌厂商,可以说是展现出了标杆级NAS该有的底气与实力。不管是在系统底层架构,还是安全响应速度,以及细粒度的权限体系、安全中心实时监控、安全加固套件等各方面,都做的非常完善和成熟了。
不过NAS毕竟是一台长期在线、承载大量私密数据的网络设备,哪怕厂商的安全体系再成熟,也无法做到百分之百替用户挡下所有风险。换句话说,别以为购买了NAS就高枕无忧了,真正能让设备做到“万无一失”的,设备本身只是一方面,还需要我们具备足够的安全意识。
所以接下来,我就以威联通NAS为例,为大家分享如何在新设备到手后,对它做进一步的优化与设置,达到最大限度的万无一失。
1,保持最新系统
大家都知道,NAS 系统的每一次固件更新,除了可能带来期待的新功能,还会包含系统层面的优化与修复。面对日益复杂的网络环境与攻击手法,厂商在更新中加入安全防护方面的增强也就成了必然趋势,比如病毒库的升级、漏洞补丁的推送、系统服务的加固等等。所以如果看到NAS提示有系统更新的提醒,建议第一时间更新系统就可以了!

🔺威联通的系统更新需要打开「控制台—系统—固件更新—检查更新」,目前威联通部分机型的更新会伴随着Beta版的更新,个人建议如无特殊需求(比如和我一样喜欢尝鲜折腾)不要选择Beta更新,默认的正式版就可以了。
2,停用默认的管理员帐户
目前市面上的NAS在初始化的时候都会有一个统一的管理员帐户,比如说威联通默认的管理员帐户用户名就是“admin”。这样导致的问题就是这个默认账号就会成为攻击者利用的突破口,并专门针对这个用户名进行暴力破解。
怎么解决这个问题呢?很简单,新创建一个属于自己的管理员账户,并禁用产品默认的管理员账户。

🔺打开「控制台—权限—创建—创建用户」。

🔺然后新创建一个用户名和密码,在右边的「用户组」下面勾选“administrators”,最后点击「创建」按钮,这样就新建了一个管理员账户。

🔺然后回到用户列表中,选择默认的管理员账户「admin」,点击「编辑账户资料」选项,弹出来的方框选择「立即停用」,这样默认的管理员账户就被停用了

🔺后期如果我们想要使用管理员账户就直接使用我们新建的这个管理员就可以了。
3,启用两步验证
两步验证大家都很熟悉了吧!比如说 Apple ID、微信、支付宝这些常用账号开启两步验证之后,哪怕我们输入正确的正好和密码,系统还会要求我们在输入一次验证码来确认一下是不是本人在操作,这样就算密码被别人知道了,也是无法直接登录你的账号。

🔺威联通系统是内置两步验证设置功能的,只需要打开右上角状态栏的「个人账户--登录和安全性」,在打开的页面选择“两步验证”,然后根据向导一步步设置就可以了。

🔺在设置好两步验证之后,还可以打开「控制台--系统--安全--两步验证」,为其它的账户也强制启用两步验证。
PS:不过需要说明的是,威联通这里的两步验证只是针对系统级的登录时才有效,而在一些服务连接时是是无效的,比如说SMA,FTP,SSH的服务开启的时候,让我们输入账号密码是用不上两步验证的。
4,使用强密码
既然说两步验证对很多服务连接是无效的,那么怎么最大限度提升我们登录安全呢?很简单,咱们直接把密码设置的复杂一点,如果可能,把密码设置为复杂到连你自己都不想手动输入,就算撞库破解,弱口令攻击也几乎不可能的那种。

🔺威联通可以在控制台--系统--安全--密码策略」中设置各种组合的复杂密码。个人建议设置包含大小写字母以及数字的组合,可以大大提升密码的破译难度,当然,前提是你自己别忘了就行(不过一般老玩家都会部署的有Vaultwarden这种自托管密码管理器吧)。

🔺如果说我们是在公司里使用威联通NAS,建议在同页面设置定期更改密码,让账号安全始终保持在一个“动态更新”的状态。毕竟我们也不能保证所有人都有良好的安全意识,定期轮换密码至少能确保不同时间点的安全性。
5,停用不必要的连接服务
此次隔壁厂商爆出的 0day 高危漏洞其实就是攻击者通过网络协议远程连接到用户的NAS中的,所以我们在使用NAS的时候,尽量关闭不必要的网络协议服务,从而不给不法分子有可乘之机。

🔺以最常用的 SSH 为例,很多人开启它只是为了操作 Docker 或执行一些命令,但是小伙伴们记得用完之后一定要关!因为 SSH 能直接触达 NAS 的底层系统,一旦暴露在外,风险极高。
PS:如果只是为了部署 Docker 应用,威联通的小伙伴完全只使用Container Station就足够了,因为它已经足够强大,我们不需要手动敲命令,也不需要开启 SSH 去操作底层系统,就能完成当前99%常见Docker容器的部署。

🔺此外我们也可以进入「控制台—系统—系统状态—系统服务」中查看当前已启用的服务,把不需要的服务直接停用。这样不仅能减少 NAS 对外暴露的端口数量,也能显著降低被扫描、被利用的风险。
6,更改默认登录端口号
想必玩 NAS 的小伙伴都清楚端口号的重要性。无论是局域网访问还是外网访问,我们基本都是通过“IP 地址 + 端口号”的方式来访问特定服务,包括 NAS 的 Web 管理界面。
但问题在于,大多数 NAS 的默认端口都是固定的。以威联通为例,它的 Web 管理默认端口就是 5000(HTTP)和 5001(HTTPS)。如果不做修改,这些端口在互联网上几乎是“公开的秘密”,被扫描、被攻击的概率自然也会更高。
通过更换默认端口,不仅能减少 NAS 暴露在外的攻击面,也能有效降低被自动化扫描工具盯上的风险。

🔺我们可以进入「控制台—系统—常规设置—系统管理」,在页面中找到“系统端口”和 HTTPS 下的“端口号”,这两个地方都可以自定义修改,只要不与局域网内其他设备冲突即可。
7,启用自动封锁功能
自动封锁功能的原理其实和我们手机的开屏密码非常类似:当连续输入错误次数过多时,系统会自动暂停输入,防止被其他人反复尝试而打开。
在 NAS 上启用自动封锁后,一旦有人连续输错密码达到你设定的次数,系统就会立即把对方的 IP 地址加入封锁列表,禁止其继续尝试,从源头上阻断暴力破解和试探式攻击。

🔺在威联通中,自动封锁可以在「控制台—系统—安全—IP 访问保护」进行设置,包括尝试间隔时间、允许的登录次数以及封锁时长。
我个人的建议是:登录失败次数保持默认的 5 次即可,次数太少容易误伤自己;封锁时长可以直接设为“永远”,相当于对暴力破解和试探式攻击永久拉黑。反正后续如果需要解封,也可以在「允许/拒绝列表」里对被封锁的 IP 做进一步管理。
8,启用 HTTPS 进行安全加密连线
HTTPS 是目前互联网中最常用、也最可靠的安全通信协议。它通过对网站及服务器进行身份验证,确保双方建立的是可信连接,从而有效避免数据在传输过程中被篡改或被中间人拦截。而在整个 HTTPS 连接过程中,有一个至关重要的“网站凭证”,也就是大家常说的“SSL 证书”。
对于 NAS 来说,通过 HTTPS 方式访问管理界面,可以显著提升远程连接的安全性,尤其是在公网环境下,可以有效避免中间人攻击,让数据传输更加安心。

🔺如果说你有公网IP,就能在「控制台—系统—安全—SSL帧数和私钥」中,通过导入自己域名运营商那边申请到的 SSL 证书来实现 HTTPS 安全访问。具体教程网上分享的很多,这里就不赘述了。
9,安装杀毒软件
威联通NAS 和我们使用的 Windows 电脑一样,同样有专门的安全防护工具或者杀毒软件。并且这些软件还相当的专业,安装之后以提前发现潜在风险、漏洞或恶意程序,为NAS提供更全面的保护。

🔺在威联通中,你可以在「App Center」的“安全”分类中找到相关的安全应用。目前主要有五款:
- ClamAV:一款开源的杀毒引擎,专门用来扫描病毒、木马、恶意脚本等威胁。
- Malware Remover:威联通官方默认的安全工具,用于扫描并清除系统中的恶意程序或可疑文件,并支持定期自动扫描。
- McAfee Antivirus:大名鼎鼎的 McAfee 杀毒软件就不用介绍了吧,没想到竟然还有NAS版。
- QuFirewall 防火墙:威联通NAS专属防火墙套件,可有效阻挡暴力破解等攻击行为,保护系统与数据安全。
- Security Counselor:一款安全顾问工具,可对 NAS 进行全面的安全评估,给出风险提示,并提供相应的优化建议与安全策略。
10,启用必要的通知功能
威联通可以说是我用过的几款 NAS 中,通知体系最完善的一家。这些通知体系能够在NAS 在出现任何异常、变动或系统事件时,第一时间给我们发出提醒,让我们在问题刚露苗头时就能及时处理,从而有效降低风险。

🔺通过威联通的“通知套件”可以看到它不仅功能强大,而且还支持多种通知方式(如电子邮件、短信、Qmanager App 推送等),我们可以根据不同应用、事件类型和严重程度来自定义通知规则,这一点还是非常灵活的。
最后总结
以上就是我为大家整理出来的以上就是我为大家整理出来的威联通NAS安全加固的10条安全防护建议,这些设置看似微不足道,但每一项都能在关键时刻替你挡下一次潜在的风险。
使用 NAS 时千万不能抱有侥幸心理,任何细小的安全隐患都不应被忽视。虽然 NAS 的安全无法做到绝对,但只要我们做好系统防护,并养成良好的使用习惯,完全可以把风险降到最低,做到真正意义上的稳妥可靠。
好了,以上就是今天给大家分享的内容,我是爱分享的Stark-C,如果今天的内容对你有帮助请记得收藏,顺便点点关注,咱们下期再见!谢谢大家~