本文目录一览：

• 1、 *** 存储技术的工作原理是什么？有图解释么？
• 2、绿联nas会泄露隐私吗
• 3、多台NAS一起故障有可能是什么样的问题，是否是被攻击造成？

*** 存储技术的工作原理是什么？有图解释么？

*** 存储技术（Network Storage Technologies）是基于数据存储的一种通用 *** 术语。 *** 存储结构大致分为三种：直连式存储（DAS：Direct Attached Storage）、 *** 存储设备（NAS：Network Attached Storage）和存储 *** （SAN：Storage Area Network）。

*** 存储技术

直连式存储（DAS）：这是一种直接与主机系统相连接的存储设备，如作为服务器的计算机内部硬件驱动。到目前为止，DAS 仍是计算机系统中最常用的数据存储 *** 。 DAS即直连方式存储，英文全称是Direct Attached Storage。中文翻译成“直接附加存储”。顾名思义，在这种方式中，存储设备是通过电缆（通常是SCSI接口电缆）直接到服务器的。I/O（输入/输入）请求直接发送到存储设备。DAS，也可称为SAS（Server-Attached Storage，服务器附加存储）。它依赖于服务器，其本身是硬件的堆叠，不带有任何存储操作系统。

DAS的适用环境为：

1） 服务器在地理分布上很分散，通过SAN（存储区域 *** ）或NAS（ *** 直接存储）在它们之间进行互连非常困难时(商店或银行的分支便是一个典型的例子)； 2） 存储系统必须被直接连接到应用服务器（如Microsoft Cluster Server或某些数据库使用的“原始分区”）上时； 3） 包括许多数据库应用和应用服务器在内的应用，它们需要直接连接到存储器上，群件应用和一些邮件服务也包括在内。 典型DAS结构如图所示： 典型DAS结构如图所示

对于多个服务器或多台PC的环境，使用DAS方式设备的初始费用可能比较低，可是这种连接方式下，每台PC或服务器单独拥有自己的存储磁盘，容量的再分配困难；对于整个环境下的存储系统管理，工作烦琐而重复，没有集中管理解决方案。所以整体的拥有成本（TCO）较高。目前DAS基本被NAS所代替。下面是DAS与NAS的比较。 DAS与NAS的比较图

*** 存储设备（NAS）：NAS 是一种采用直接与 *** 介质相连的特殊设备实现数据存储的机制。由于这些设备都分配有 IP 地址，所以客户机通过充当数据网关的服务器可以对其进行存取访问，甚至在某些情况下，不需要任何中间介质客户机也可以直接访问这些设备。

NAS *** 存储器

1. 更大存储容量

最存储大存储容量是指NAS存储设备所能存储数据容量的极限，通俗的讲，就是NAS设备能够支持的更大硬盘数量乘以单个硬盘容量就是更大存储容量。这个数值取决于NAS设备的硬件规格。不同的硬件级别，适用的范围不同，存储容量也就有所差别。通常，一般小型的NAS存储设备会支持几百GB的存储容量，适合中小型公司作为存储设备共享数据使用，而中高档的NAS设备应该支持T级别的容量（1T=1000G）。

2. 处理器

同普通电脑类似，NAS产品也都具有自己的处理器（CPU）系统，来协调控制整个系统的正常运行。其采用的处理器也常常与台式机或服务器的CPU大体相同。目前主要有以下几类。 （1）Intel系列处理器 （4）AMD系列处理器 （5）PA-RISC型处理器 （6）PowerPC处理器 （7）MIPS处理器 一般针对中小型公司使用NAS产品采用AMD的处理器或Intel PIII/PIV等处理器。而大规模应用的NAS产品则使用Intel Xeon处理器、或者RISC型处理器等。但是也不能一概而论，视具体应用和厂商规划而定。

3. 内存

NAS从结构上讲就是一台精简型的电脑，每台NAS设备都配备了一定数量的内存，而且大多用户以后可以扩充。在NAS设备中，常见的内存类型由SDRAM（同步内存）、FLASH（闪存）等。不同的NAS产品出厂时配备的内存容量不同，一般为几十兆到数GB（1GB=1000MB）容量不等，这取决于NAS产品的应用范围，一般来讲，应用在小规模的局域网当中的NAS，如果只是应付几台设备的访问，64M以下内存容量即可。如果是上百个节点以上的访问，就得需要上G容量的内存。当然，这不是绝对的因素，NAS产品的综合性能发挥还取决于它的处理器能力、硬盘速度及其 *** 实际环境等因素的制约。总之，选购NAS产品时，应该综合考虑各个方面的性能参数。

4. 接口

NAS产品的外部接口比较简单，由于只是通过内置网卡与外界通讯，所以一般只具有以太 *** 接口，通常是RJ45规格，而这种接口网卡一般都是100M网卡或1000M网卡。另外，也有部分NAS产品需要与SAN（存储区域 *** ）产品连接提供更为强大的功能，所以也可能会有FC（Fiber Channel光纤通道）接口。

5. 预置软件系统

预制操作系统是指NAS产品出厂时随机带的操作系统或者管理软件。目前NAS产品一般带有以下几种系统软件。 精简的WINDOWS2000系统 这类系统只是保留了WINDOWS2000 SERVER系统核心 *** 中最重要的部分，能够驱动NAS产品正常工作。我们可以把它理解为WINDOWS2000的“精简版”。 FreeBSD嵌入式系统 FreeBSD是类UNIX系统，在 *** 应用方面具备极其优异的性能。 Linux嵌入式系统 Linux系统类似于UNIX操组系统，但相比之下具有界面友好、内核升级迅速等特点。常常用来作为电器等产品的嵌入式控制系统。

6. *** 管理

*** 管理，是指 *** 管理员通过 *** 管理程序对 *** 上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。 一般的 *** 满足SNMP MIB I / MIB II统计管理功能。常见的 *** 管理方式有以下几种： （1）SNMP管理技术 （2）RMON管理技术 （3）基于WEB的 *** 管理 SNMP是英文“Simple Network Management Protocol”的缩写，中文意思是“简单 *** 管理协议”。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。 SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范（见下表），它们提供了一种从 *** 上的设备中收集 *** 管理信息的 *** 。SNMP也为设备向 *** 管理工作站报告问题和错误提供了一种 *** 。 目前，几乎所有的 *** 设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从 *** 上的设备收集管理信息的公用通信协议。设备的管理者收集这些信息并记录在管理信息库（MIB）中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式，所以来自多个厂商的SNMP管理工具可以收集MIB信息，在管理控制台上呈现给系统管理员。 通过将SNMP嵌入数据通信设备，如交换机或集线器中，就可以从一个中心站管理这些设备，并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行，如Windows3.11、Windows95 、Windows NT和不同版本UNIX的等。 一个被管理的设备有一个管理 *** ，它负责向管理站请求信息和动作， *** 还可以借助于陷阱为管理站提供站动提供的信息，因此，一些关键的 *** 设备（如集线器、路由器、交换机等）提供这一管理 *** ，又称SNMP *** ，以便通过SNMP管理站进行管理。

7. *** 协议

*** 协议即 *** 中（包括互联网）传递、管理信息的一些规范。如同人与人之间相互交流是需要遵循一定的规矩一样，计算机之间的相互通信需要共同遵守一定的规则，这些规则就称为 *** 协议。 一台计算机只有在遵守 *** 协议的前提下，才能在 *** 上与其他计算机进行正常的通信。 *** 协议通常被分为几个层次，每层完成自己单独的功能。通信双方只有在共同的层次间才能相互联系。常见的协议有：TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是IPX/SPX.。用户如果访问Internet，则必须在 *** 协议中添加TCP/IP协议。 TCP/IP是“tran *** ission Control Protocol/Internet Protocol”的简写，中文译名为传输控制协议/互联 *** 协议）协议， TCP/IP（传输控制协议/网间协议）是一种 *** 通信协议，它规范了 *** 上的所有通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式。TCP/IP是INTERNET的基础协议，也是一种电脑数据打包和寻址的标准 *** 。在数据传送中，可以形象地理解为有两个信封，TCP和IP就像是信封，要传递的信息被划分成若干段，每一段塞入一个TCP信封，并在该信封面上记录有分段号的信息，再将TCP信封塞入IP大信封，发送上网。在接受端，一个TCP软件包收集信封，抽出数据，按发送前的顺序还原，并加以校验，若发现差错，TCP将会要求重发。因此，TCP/IP在INTERNET中几乎可以无差错地传送数据。 对普通用户来说，并不需要了解 *** 协议的整个结构，仅需了解IP的地址格式，即可与世界各地进行 *** 通信。 IPX/SPX是基于施乐的XEROX’S Network System（XNS）协议，而SPX是基于施乐的XEROX’S SPP（Sequenced Packet Protocol：顺序包协议）协议，它们都是由novell公司开发出来应用于局域网的一种高速协议。它和TCP/IP的一个显著不同就是它不使用ip地址，而是使用网卡的物理地址即（MAC）地址。在实际使用中，它基本不需要什么设置，装上就可以使用了。由于其在 *** 普及初期发挥了巨大的作用，所以得到了很多厂商的支持，包括microsoft等，到现在很多软件和硬件也均支持这种协议。 NetBEUI即NetBios Enhanced User Interface ，或NetBios增强用户接口。它是NetBIOS协议的增强版本，曾被许多操作系统采用，例如Windows for Workgroup、Win 9x系列、Windows NT等。NETBEUI协议在许多情形下很有用，是WINDOWS98之前的操作系统的缺省协议。总之NetBEUI协议是一种短小精悍、通信效率高的广播型协议，安装后不需要进行设置，特别适合于在“ *** 邻居”传送数据。所以建议除了TCP/IP协议之外，局域网的计算机更好也安上NetBEUI协议。另外还有一点要注意，如果一台只装了TCP/IP协议的WINDOWS98机器要想加入到WINNT域，也必须安装NetBEUI协议。

8. *** 文件协议

*** 文件系统是基于 *** 的分布式文件系统，其文件系统树的各节点可以存在于不同的联网计算机甚至不同的系统平台上，可以用来提供跨平台的信息存储与共享。 当今最主要的两大 *** 文件系统是Sun提出的NFS（Network File System）以及由微软、EMC和NetApp提出的CIFS（Common Internet File System），前者主要用于各种Unix平台，后者则主要用于Windows平台，我们熟悉的“网上邻居”的文件共享方式就是基于CIFS系统的。其他著名的 *** 文件系统还有Novell公司的NCP（ *** 控制协议）、Apple公司的AFP以及卡内基-梅隆大学的Coda等，NAS的主要功能之一便是通过各种 *** 文件系统提供存储服务。

9. *** 备份软件

目前在数据存储领域可以完成 *** 数据备份管理的软件产品主要有Legato公司的NetWorker、IBM公司 的Tivoli、Veritas公司 的NetBackup等。另外有些操作系统，诸如Unix的tar/cpio、Windows2000/NT的Windows Backup、Netware的Sbackup也可以作为NAS的备份软件。

NetBackup

NetBackup是Veritas公司推出的适用于中型和大型的存储系统的备份软件，可以广泛的支持各种开放平台。另外该公司还推出了适合低端的备份软件Backup Exec。

NetWorker

NetWorker是Legato公司推出的备份软件，它适用于大型的复杂 *** 环境，具有各种先进的备份技术机制，广泛的支持各种开放系统平台。值得一提的是， NetWorker中的Cellestra技术之一个在产品上实现了Serverless Backup（无伺服器备份）的思想。

IBM Tivoli

IBM Tivoli是IBM公司推出的备份软件，与Veritas的NetBackup和Legato的NetWorker相比，Tivoli Storage Manager更多的适用于IBM主机为主的系统平台，其强大的 *** 备份功能可以胜任大规模的海量存储系统的备份需要。 此外，CA公司原来的备份软件ARCServe，在低端市场具有相当广泛的影响力。其新一代备份产品--BrightStor，定位直指中高端市场，也具有不错的性能。 选购备份软件时，应该根据不同的用户需要选择合适的产品，理想的 *** 备份软件系统应该具备以下功能:

集中式管理

*** 存储备份管理系统对整个 *** 的数据进行管理。利用集中式管理工具的帮助，系统管理员可对全网的备份策略进行统一管理，备份服务器可以监控所有机器的备份作业，也可以修改备份策略，并可即时浏览所有目录。所有数据可以备份到同备份服务器或应用服务器相连的任意一台磁带库内。

全自动的备份

备份软件系统应该能够根据用户的实际需求，定义需要备份的数据，然后以图形界面方式根据需要设置备份时间表，备份系统将自动启动备份作业，无需人工干预。这个自动备份作业是可自定的,包括一次备份作业、每周的某几日、每月的第几天等项目。设定好计划后，备份作业就会按计划自动进行。

数据库备份和恢复

在许多人的观念里，数据库和文件还是一个概念。当然，如果你的数据库系统是基于文件系统的，当然可以用备份文件的 *** 备份数据库。但发展至今，数据库系统已经相当复杂和庞大，再用文件的备份方式来备份数据库已不适用。是否能够将需要的数据从庞大的数据库文件中抽取出来进行备份，是 *** 备份系统是否先进的标志之一。

在线式的索引

备份系统应为每天的备份在服务器中建立在线式的索引，当用户需要恢复时，只需点取在线式索引中需要恢复的文件或数据，该系统就会自动进行文件的恢复。

归档管理

用户可以按项目、时间定期对所有数据进行有效的归档处理。提供统一的Open Tape Format 数据存储格式从而保证所有的应用数据由一个统一的数据格式作为永久的保存，保证数据的永久可利用性。

有效的媒体管理

备份系统对每一个用于作备份的磁带自动加入一个电子标签，同时在软件中提供了识别标签的功能，如果磁带外面的标签脱落，只需执行这一功能，就会迅速知道该磁带的内容。

满足系统不断增加的需求

备份软件必须能支持多平台系统，当 *** 上连接上其它的应用服务器时，对于 *** 存储管理系统来说，只需在其上安装支持这种服务器的客户端软件即可将数据备份到磁带库或光盘库中。

10. 网站浏览器支持

网站浏览器支持是指能否够通过WEB（就是WWW，俗称互联网）手段对NAS产品进行管理，以及管理时使用的浏览器类型。绝大部分的NAS产品都支持WEB管理，这样的好处是管理方便，用户在任何地方只要能够上网就可以轻松的管理NAS设备。 目前NAS产品支持的常用浏览器有微软的IE（Internet Explorer）浏览器以及网景公司的Netscape浏览器。

11. *** 服务

*** 服务是指NAS产品在运行时系统能够提供何种服务。典型的 *** 服务有DHCP、DNS、FTP、Telnet、WINS、 *** TP等。

DHCP

DHCP的全名是“Dynamic Host Configuration Protocol”，即动态主机配置协议。在使用DHCP的 *** 里，用户的计算机可以从DHCP服务器那里获得上网的参数，几乎不需要做任何手工的配置就可以上网。 一般情况下，DHCP服务器会尽量保持每台计算机使用同一个IP地址上网。如果计算机长时间没有上网或配置为使用静态地址上网，DHCP服务器就会把这个地址分配给其他计算机。

WINS

WINS是“Windows Internet Name Service”的简称，中文为Windows网际命名服务，WINS服务器主要用于NetBIOS名字（计算机名称）服务，它处理的是NetBIOS计算机名(Computer Name)，所以也被称为NetBIOS名字服务器(NBNS，NetBIOS Name Server)。WINS服务器可以登记WINS-enabled工作站(下面简称为“WINS工作站”)的计算机名、IP地址、DNS域名等数据，当工作站查询名字时，它又可以将这些数据提供给工作站。

DNS

DNS，Domain Name System或者Domain Name Service（域名系统或者余名服务）。域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。

FTP

文件传输协议FTP(File Transfer Protocol)是Internet传统的服务之一。FTP使用户能在两个联网的计算机之间传输文件，它是Internet传递文件最主要的 *** 。使用匿名(Anonymous)FTP， 用户可以免费获取Internet丰富的资源。除此之外，FTP还提供登录、目录查询、文件操作及其他会话控制功能。

*** TP

*** TP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。 *** TP协议属于TCP/IP协议族,它帮助每台计算机在发送或中转信件时找到下一个目的地。通过 *** TP协议所指定的服务器,我们就可以把E－mail寄到收信人的服务器上了,整个过程只要几分钟。 *** TP服务器则是遵循 *** TP协议的发送邮件服务器，用来发送或中转你发出的电子邮件。

Telnet

有的时候我们需要运行一些很大的程序，而自己的PC又达不到运行这个程序所必须的配置，在这种情况下，我们可以通过 *** 连接上一台功能强大的计算机，并且把自己的PC模拟成那台计算机的终端，进而达到在该计算机上运行程序的目的。这种利用 *** 远程登录到其他计算机上，并且以虚拟终端方式遥控程序运行的做法就是TELNET。随着计算机硬件的发展，目前TELNET在一般 *** 用户中已经不是很普遍了，但是对于 *** 管理员来说，它仍然是个得力助手。

12. *** 安全

*** 安全是指 *** 系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行， *** 服务不中断。 *** 安全实际上包括两部分： *** 的安全和主机系统的安全。 *** 安全主要通过设置防火墙来实现，也可以考虑在路由器上设置一些数据包过滤的 *** 防止来自Internet上的黑客的攻击。至于系统的安全则需根据不同的操作系统来修改相关的系统文件，合理设置用户权限和文件属性。 NAS产品的 *** 安全应具有以下四个方面的特征： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性： 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修 改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例 如 *** 环境下拒绝服务、破坏 *** 和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。

13. NAS

NAS是英文“Network Attached Storage”的缩写, 中文意思是“ *** 附加存储”。按字面简单说就是连接在 *** 上, 具备资料存储功能的装置，因此也称为“ *** 存储器”或者“ *** 磁盘阵列”。 从结构上讲，NAS是功能单一的精简型电脑，因此在架构上不像个人电脑那么复杂，在外观上就像家电产品，只需电源与简单的控制钮， 结构图如下： NAS是一种专业的 *** 文件存储及文件备份设备，它是基于LAN（局域网）的，按照TCP/IP协议进行通信，以文件的I/O（输入/输出）方式进行数据传输。在LAN环境下，NAS已经完全可以实现异构平台之间的数据级共享，比如NT、UNIX等平台的共享。 一个NAS系统包括处理器，文件服务管理模块和多个硬盘驱动器(用于数据的存储)。 NAS 可以应用在任何的 *** 环境当中。主服务器和客户端可以非常方便地在NAS上存取任意格式的文件，包括 *** B格式（Windows）NFS格式(Unix, Linux)和CIFS（Common Internet File System）格式等等。典型的NAS的 *** 结构如下图所示： 存储 *** （SAN）：SAN 是指存储设备相互连接且与一台服务器或一个服务器群相连的 *** 。其中的服务器用作 SAN 的接入点。在有些配置中，SAN 也与 *** 相连。SAN 中将特殊交换机当作连接设备。它们看起来很像常规的以太 *** 交换机，是 SAN 中的连通点。SAN 使得在各自 *** 上实现相互通信成为可能，同时并带来了很多有利条件。 SAN英文全称：Storage Area Network，即存储区域 *** 。它是一种通过光纤集线器、光纤路由器、光纤交换机等连接设备将磁盘阵列、磁带等存储设备与相关服务器连接起来的高速专用子网。 SAN由三个基本的组件构成：接口（如SCSI、光纤通道、ESCON等）、连接设备（交换设备、网关、路由器、集线器等）和通信控制协议（如IP和SCSI等）。这三个组件再加上附加的存储设备和独立的SAN服务器，就构成一个SAN系统。SAN提供一个专用的、高可靠性的基于光通道的存储 *** ，SAN允许独立地增加它们的存储容量，也使得管理及集中控制（特别是对于全部存储设备都集群在一起的时候）更加简化。而且，光纤接口提供了10 km的连接长度，这使得物理上分离的远距离存储变得更容易.

绿联nas会泄露隐私吗

绿联 NAS 作为一种 *** 存储设备，其安全性与隐私保护问题是用户非常关心的。一般来说，绿联 NAS 设备本身并不会泄露用户的隐私，但如果用户没有正确设置和使用设备，或者设备存在漏洞，就有可能导致隐私泄露的风险。

为了保护您的隐私安全，建议您采取以下措施：

1. 设置强密码：使用强密码来保护您的绿联 NAS 账户，避免被他人猜测或破解。

2. 更新系统：及时更新绿联 NAS 的系统和应用程序，以修复已知的漏洞和安全问题。

3. 启用防火墙：启用绿联 NAS 的防火墙功能，限制外部访问，避免被黑客攻击或恶意软件感染。

4. 配置访问权限：根据需要设置绿联 NAS 的访问权限，避免未经授权的用户访问您的数据。

5. 备份数据：定期备份绿联 NAS 中的重要数据，以防止数据丢失或被损坏。

总之，只要您正确设置和使用绿联 NAS 设备，并采取必要的安全措施，就可以有效保护您的隐私安全。如果您有任何疑问或问题，建议您咨询绿联 NAS 的 *** 人员或技术支持。

多台NAS一起故障有可能是什么样的问题，是否是被攻击造成？

一、前言

相信最近一段时间很多玩NAS的小伙伴都一条新闻震惊甚至吓到了。新闻说“B站500万粉up主党妹被黑客勒索：交钱赎“人”！顶级安全专家：无解”。楼主大概看了下新闻，其大致内容为：视频主为了工作室在处理视频等文件的时候能够协同工作，于是通过Windows Server搭建了一个NAS。同时并将其放到了公网上，然后不到一天就被知名勒索病毒Buran攻击了。然后当然是文件被加密，等着给钱呗。

通过 *** 上的信息，我大概猜出她是如何被攻击的。首先自己将NAS放到了公网，且自己使用了比较简单的密码，导致了攻击这通过密码穷举的方式获得了密码（猜测IT应该没有设置密码允许尝试次数）。当然另外还有一个原因那就是它使用了Windos Server。大家都知道Window系统相对来说勒索病毒要多些。

看到这个新闻后我赶紧回顾和检测了自己的NAS各项设置和部署，确认了自己的NAS配置和使用还是比较安全的（世上没有绝对的安全）。

我想很多同学在使用NAS的时候，都不太清楚要怎么确保NAS的安全性。或者不知道自己的NAS设置和使用是否安全。所以接下来楼主将给大家分享楼主自己是如何确保自己的NAS的安全性的。

由于楼主使用的是群辉，所以接下里我将通过部署、配置和使用三个部分来介绍如何安全的使用群辉NAS，前提NAS系统的配置和设置也或多或少差不多，大家自己对照即可。

二、安全的部署

1、尽量不要用黑NAS

这个并不是要让大家都洗白（楼主也没有收NAS商的广告费），但是使用黑群确实有很多潜在的风险，无论是软件还是硬件。所以还是建议大家购买正规NAS比较靠谱一些，好歹服务商还有很多安全专家在幕后为我们的数据默默操心不是。退一万步说，如果某一天群辉或者铁威马被一个病毒攻破了，千千万万的用户能不找他说事？

2、安全的暴露到公网

说这个话题之前，强调一句“没有硬性需求还是建议大家不要将NAS部署暴露到公网，这才是最安全的策略，没有之一”。当然使用NAS的同学都应该离不开公网暴露，否则使用起来也就非常不方便。为此楼主为大家总结和对比了如下几种公网暴露的方案。

A、利用NAS服务商的 ***

比如对于群辉来说大家都应该比较清楚，官方提供了QuickConnect。通过该功能大家可以在没有公网IP无需DDNS的情况下，直接在外网访问家里的NAS。

缺点：比较慢一点，比较要依赖群辉的服务器。

优点：简单，相对安全。

至于其他NAS楼主没有用过，但是按道理应该也有类似的功能。

B、使用TeamViewer

在群辉上目前已经支持使用TeamViewer（比较出名且速度比较快的远程协助软件）了。即可以在群辉上开启TeamViewer，然后再外网通过TeamViewer客户端就可以远程到自己的NAS了。这个 *** 楼主没有试过，但是根据使用桌面版TeamViewer的经验来看，其速度应该不成问题。

优点：速度快

缺点：NAS的app无法访问。比如你不能再外网使用群辉提供的各项APP了。

C、通过架设NPV来访问（极力推荐）

这也是目前楼主使用的 *** 。首先在自己家里假设一个NPV服务端，然后外网先通过NPV连接进入家庭内网，接着就可以像在内网一样访问所有NAS服务了。NPV密码和NAS的登录密码一定要是强密码。

NPV架设：前提条件就是要有公网IP，同时使用DDNS（具体方式就不解释了，网上貌似也很多）。NPV可以通过路由器（一般路由器都有）或者群辉自带的NPV Server来架设。同时建议使用Open NPV，而不使用PPTP或者L2TP。因为Open NPV更加安全，这样可以确保你所有的通信都能够安全加密，不会被中间人攻击或者被窃取。通过群辉的NPV Server搭建Open NPV的 *** *** 上也很多，大家仔细搜索即可。

优点：速度快，安全(有两层安全认证NPV+NAS)

缺点：搭建比较复杂，访问相对麻烦（每次都需要先连接NPV）

D、直接将NAS的服务端 *** 露到公网（极不推荐）

这个和C *** 一样，都需要有公网IP和DDNS。但是不需要减少NPV，而是通过在路由器上设置虚拟机服务器，直接将NAS的服务暴露到公网上。这样在外面就可以通过公网IP（域名）+暴露端口直接访问到NAS。

优点：快速，使用简单

确定：不安全，NAS服务容易被扫描攻击，被密码穷举攻击等。

推荐方案：NPV方案 服务商的方案 TeamViewer方案

三、安全的配置

1、开启路由器防火墙

大家一定要开启自己路由器上的各种防火墙，以防被攻击。路由器也稍微买好点比较靠谱，建议使用商业路由器，贵是贵点，但是更加稳定安全。

2、通过虚拟服务器对外暴露服务

对外暴露服务，比如上面的NAS直接暴露或者NPV暴露。都建议通过在路由器上使用虚拟服务器通过端口转换的方式将外网的端口转换为内网的端口，这样可以将内网和外网隔离。可以对内网起到一个保护的作用。千万不要直接将NPV Sever或者NAS直接接在网关上，然后通过端 *** 露到公网中。

3、开启NAS的安全顾问定期扫描

安全资讯是一个内置 D *** 应用程序，可扫描 Synology NAS、检查 D *** 设置并提供有关如何解决安全漏洞的建议。只需按照 Security Advisor 的说明即可确保 Synology NAS 的安全。

4、设置强密码规则

设置规则要求用户必须设置符合复杂规则的密码，防止密码过于简单被穷举攻击。

5、设置密码过期规则

建议密码一个季度换一次，如果安全性要求更高，则建议设置更短的时间。

6、内网不要有不需要密码访问的服务或账号

内网或者NAS上不要对外开启不相关的服务，更不要开启不无需密码访问的服务或者账号。虽然你有NPV或者NAS登录作为防护，但是如果万一内网被攻破了，黑客能够访问到内网。此时如果你的内网所有访问服务都是强密码服务，那么又增加了黑客的攻击成本。所以建议内网所有设置开启认证机制，且强密码登录。特别是：NAS登录，路由器，SFTP服务等。如果有TV等终端需要访问，也建议开启强密码服务登录，或者设置IP登录限制，只允许TV的IP访问某个特定弱密码服务或者账号，同时需要在路由器上将TV的MAC地址和固定IP绑定。

7、开启管理员二级验证

在用户管理里面，建议开启二级验证。特别是管理员，一定要开启二级验证。

8、严格控制使用成员权限

在为用户分配权限的时候，一定要遵循“权限最小原则”。即能为该用户或者群体分配多小的权限就分配多小。切忌分配一些无用的权限。因为不是每个人都有强的安全意识。作为管理员，你可以确保你的账户不被泄露，但是很难确保使用者的密码不会泄露。所以要给其他使用者分配最小权限。

9、启动IP自动封锁

通过该封锁机制，可以防止用户不断的重试登录。当其登录失败次数超过设定值时，能够对其IP进行封锁，不允许再次登录，或者一段时间内不允许登录。这就能够很好的防止密码穷举攻击，以及其他的一些攻击尝试。

四、安全的使用

1、安全的使用密码

设置复杂的用户密码，并定期修改密码。同时不再电脑上记录密码（在浏览器记录密码很容易被看到明文，稍微有点web知识的人都能够做到）。

另外不要多个服务或者账号使用相同的密码，生活中，很多人为了方便都会将增加的各种账号设置成一样的密码，这样就很容易被撞库攻击。

2、不再公用电脑接入NAS

这一点真重要，不要使用公共电脑（特别是图书馆、网吧）接入NAS。因为我们都知道公共电脑是中毒的重灾区，大家都不知道电脑上有什么病毒，很有可能就有一个记录按键的病毒就将你的密码记录下来了。

3、数据多方备份（具体参考我之前写的文章）

数据多备份，可以参考我之前写的文章“如何使用NAS才能确保数据100%安全(数据存储解决方案)”；

4、核心数据定时冷备（热备存在问题）

为什么重要数据要冷备（通过USB备份到不联网的存储设备）？因为如果你的NAS不幸被勒索病毒攻击了。那么他会加密你所有的文件。然后由于你的热备机制（比如Cloud Sync）会自动将这些加密文件同步到云端从而覆盖你之前的备份，从而导致的云端的数据也被加密了。而冷备设备不和 *** 连接，就算NAS被攻破，也不会影响我们的数据。

冷备完成之后一定要让设备与NAS断开连接!

关于冷备的问题，我还特意质询了群辉官方，得到的答案也是“冷备才能够确保数据的绝对安全!”

5、window虚拟机的安全使用

相信用了NAS的同学很多都在NAS上使用虚拟机安装了Window系统。毕竟有些操作使用linux系统方便。但是使用window系统大家也一定要注意如下几点：

A、登录密码必须符合强密码

B、安装新版的Window版本（比如不要用win7）

C、及时安装最新补丁

D、不用的时候关机，需要用的时候再开机，不建议24 * 365在线

五、总结

其实永远没有绝对安全的策略，我们只有通过各种手段来增加系统（数据）的安全性，从而提高攻击者的攻击成本。比如：让你花100块钱的努力去获得一个价值50块钱的东西，有多少人会愿意干呢？记住：黑客也需要生活！

所有的策略总结起来就3点：

1、拥有极强的安全意识

2、重要数据多地多端备份

2、极其重要数据定时冷备