我們重視您的隱私

我們透過收集 Cookie 來提供給您個人化的網站體驗。這包括我們用於廣告和網站分析的第三方Cookie。請查看我們的隱私權聲明 Cookie 政策以了解有關我們如何收集與使用資料的更多資訊。

Cookie 選項
確定
知識中心

如何提升 Synology NAS 安全性?

更新日期:2024年11月26日

如何提升 Synology NAS 安全性?

目的

本文章將提供數種方法,協助您讓 Synology NAS 更加安全。

解決方法

啟動安全諮詢中心

安全諮詢中心是一款內建的 DSM 應用程式,會掃描您的 Synology NAS、檢查 DSM 設定、提供改善安全性弱點的建議。若要設定安全諮詢中心,請參閱此文章

設置 DSM 使用者的權限設定

  • 確認預設的 admin 帳號已停用以避免遭受惡意攻擊。
  • 設定使用者對共用資料夾與應用程式的權限,並針對不同服務設定空間配額與速度上限,藉此管理使用者對 Synology NAS 的存取權限。在新增群組 / 使用者時或建立後,您皆可以在控制台 > 使用者帳號 (DSM 6.2 或更早版本) 或使用者 & 群組 (DSM 7.0 或較新版本) 中,依群組層級個別層級進行設定。

設定密碼強度限制規則

確保使用者設定高強度密碼以降低被駭客入侵的風險。在以下位置勾選啟動密碼強度限制規則

  • 針對 DSM 7.0 及更新版本:前往控制台 > 使用者 & 群組 > 進階設定 > 密碼設定
  • 針對 DSM 6.2 及更早版本:前往控制台 > 使用者帳號 > 進階設定 > 密碼設定

若想了解更多關於密碼強度限制規則的資訊,請參閱此文章

設定密碼過期時間

您可以強制使用者在一段時間後必須變更密碼。在以下位置勾選啟動密碼過期

  • 針對 DSM 7.0 及更新版本:前往控制台 > 使用者 & 群組 > 進階設定 > 密碼過期
  • 針對 DSM 6.2 及更早版本:前往控制台 > 使用者帳號 > 進階設定 > 密碼過期

若想了解更多關於密碼過期的資訊,請參閱此文章

使用多重驗證

多重驗證可為您的 DSM 帳號提供多一層防護。啟動後,在登入 DSM 時,除了密碼之外,您還需要進行第二步身分驗證。若要了解關於多重驗證的資訊,請分別參閱 DSM 7.0DSM 6.2 的說明文章。

  • 針對 DSM 7.0 及更新版本:前往選項 > 個人設定 > 帳號 > 雙重驗證
  • 針對 DSM 6.2 及更早版本:前往選項 > 個人設定 > 帳號,勾選啟動兩步驟驗證

啟動自動封鎖與帳號保護

您可以啟動自動封鎖,藉此封鎖嘗試登入超過指定次數的 IP 位址,透過 SSH、Telnet、rsync、網路備份、共用資料夾同步、FTP、WebDAV、Synology 行動應用程式、File Station、DSM 登入皆適用此功能。請在以下位置設定自動封鎖

  • 針對 DSM 7.0 及更新版本:前往控制台 > 安全性 > 保護
  • 針對 DSM 6.2 及更早版本:前往控制台 > 安全性 > 帳號

您可以啟動帳號保護以降低被暴力密碼破解帳號的攻擊風險,此功能支援以下服務與套件:DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station、Synology 行動應用程式。請在控制台 > 安全性 > 帳號中設定帳號保護

使用加密連線

使用 HTTPS 來存取 DSM 和 Synology Chat、Synology Drive、Synology Photos、Surveillance Station 等網頁化套件,可透過 SSL/TLS 來加密連線,讓 Synology NAS 與用戶端之間的數據傳輸更加安全。您可以透過以下方法來啟用 HTTPS:

  • 若要用於登入 DSM,請前往控制台 > 登入入口 > DSM,勾選將 DSM 桌面的 HTTP 連線自動導到 HTTPS 或是啟用 HSTS 能強制瀏覽器使用加密連線 (若使用自訂網域,請勾選此選項)。為了避免連線發生問題,請不要同時勾選這兩個選項。
  • 若要用於設定入口或反向代理,設定下列項目時請勾選與 HSTS 相關的核取方塊:
  • 若要用於登入行動應用程式或桌面工具,請在 Synology 的行動應用程式或桌面工具的登入畫面勾選 HTTPS

完成上述設定後,下一步請新增有效的 SSL 憑證

此外,有些服務或套件亦提供連線加密功能,您可以執行下列事項來讓 Synology NAS 更安全:

  • 啟用 FTPSSFTP,並且停用未經加密的 FTP,因其無法保護傳輸數據。
  • 透過 Hyper Backup 來備份數據到遠端目的地時,勾選傳輸加密
  • 使用共用資料夾同步服務時,勾選啟用 SSH 傳輸加密

在路由器上僅為必要的服務開啟外部連接埠

您可輕易透過網際網路連接 Synology NAS,請參閱此應用教學以了解如何設定遠端存取。為確保 Synology NAS 的安全性,強烈建議您在路由器上僅為必要的服務開啟外部連接埠。

啟動 DoS 防護

您可以啟動 DoS (Denial of service,拒絕服務) 防護以防止受到來自網際網路的惡意攻擊。若要啟動,請前往控制台 > 安全性 > 保護,勾選啟動 DoS 防護,再按一下套用

啟動 DoS 防護後,Synology NAS 將針對不同 DSM 版本有不同回覆:

  • 針對 DSM 7.0 及更新版本:NAS 每秒最多回覆 1,000 個 ICMP Ping 封包;若頻率超過每秒 1,000 次請求,NAS 將停止回應額外的請求。
  • 針對 DSM 6.2 及更早版本:NAS 每秒僅會回覆一個 ICMP Ping 封包;若每秒收到超過一次請求,NAS 將不會回覆額外的請求。

變更預設管理連接埠

您可以自訂連接埠以封鎖惡意登入。預設連接埠如下:

  • HTTP:5000
  • HTTPS:5001
  • SSH:22

您可以在以下位置變更預設 HTTP / HTTPS 連接埠

  • 針對 DSM 7.0 及更新版本:控制台 > 登入入口 > DSM
  • 針對 DSM 6.2 及更早版本:控制台 > 網路 > DSM 設定

您可以在控制台 > 終端機 & SNMP > 終端機中變更預設 SSH 連接埠

延伸閱讀

目的
解決方法
啟動安全諮詢中心
設置 DSM 使用者的權限設定
設定密碼強度限制規則
設定密碼過期時間
使用多重驗證
啟動自動封鎖與帳號保護
使用加密連線
在路由器上僅為必要的服務開啟外部連接埠
啟動 DoS 防護
變更預設管理連接埠
延伸閱讀