登出
QNAP 强化资安防护 防御网络恶意攻击
QNAP 对资安的承诺不打折,我们积极维护资安,并结合相关合作伙伴及社群的力量,强化 QNAP 产品安全性,对抗网络恶意软件攻击。此篇安全性概览可帮助您更进一步了解网络安全设置及 QNAP 产品安全性功能。
积极行动,对抗加密勒索软件
勒索软件像 Qlocker 或 Deadbolt 等,会通过加密设备内文件威胁受害者支付赎金。 QNAP 成立资安团队、升级产品安全,并与外部专家合作,协助用户对抗勒索软件与黑客网络犯罪。我们提醒用户检查下列所有注意事项与启用防护方案,减少暴露风险,多面强化防御。
QNAP 在发现资安攻击的当下,采取立即行动并修正潜在的安全性问题。于发现安全性问题的短时间内便会做出回应,并推出更新程序与修复版本提供用户下载,确保用户的数据安全。
安全的网络架构及设置
1. 正确架设 NAS
让 NAS 的网络端口直接连到因特网,就是不安全。首先,请务必确认您的 NAS 是连接到路由器 (Router) ,再通过路由器连接到网络服务供货商 (ISP) 提供的调制解调器 (Modem) 及对外因特网。在正确的设置下,路由器可以为你阻止来自因特网的恶意联机,降低网络攻击风险。
正确连接方式 - NAS 连接至路由器之后
错误连接方式 - NAS 直接至 Modem 之后
2. 正确设置路由器
您能登入路由器或请您的网络服务商协助您检查并关闭以下三个设置,否则您的 NAS 可能会暴露于外网:
-
关闭 UPnP
-
关闭 DMZ
(Demilitarized Zone, 非军事区域)
-
关闭 Port Forwarding
(通讯端口转发)
3. 启用自动更新
QNAP 不定期进行安全性、固件及软件更新,启用自动更新能确保 NAS 在第一时间获得新功能、修正问题及弱点。
强化账户安全性
1. 停用预设管理员账户 "admin" 账户
采用暴力破解密码的黑客一般会针对性攻击预设的管理员账户「admin」。我们建议用户停用默认 admin 帐户,重新建立并指定管理员账户。
了解更多:如何停用 admin 账户
内建 QTS 5.0.1 / QuTS hero h5.0.1 (或更新) 的机型,系统已默认 admin 账号停用
2. 启用存取保护 (IP / 账号)
「IP 存取保护」及「账号存取保护」可以防止密码被暴力破解,当特定 IP 或账号登入失败次数过多即会触发 IP 封锁或账号停用,阻止黑客尝试密码。
4. 停用 Telnet / SSH 功能
如非专业人员,强烈建议关闭「Telnet」及「SSH」功能。这两个功能一般是供 QNAP 客服或专业 IT 人员维护系统使用,一般的用户并不需要使用这个功能,因此建议保持关闭状态。
启用快照计划
当 NAS 遭受攻击时,您可以还原快照文件,找回被加密的数据。建议设置计划快照,并设置快照删除原则,保护您的数据安全同时保障可用存储空间。
了解更多:什么是快照 (Snapshot)?、快照备份设置教学 (Snapshot Replica)、SnapSync 区块层级快照同步设置教学 (*仅 QuTS hero 支持)
开启「存储与快照总管」,选定磁盘区后,开启「快照管理员」
点选「计划快照」,建议计划设置为「每日」或「每周」
建议启用「智能型版本控制」,可以设置快照保留原则来限制快照数量,避免快照文件占用过多空间
NAS 的「存储空间」是「存储池」架构,且「存储池」需有足够的可用空间供快照功能正常运作。请启用智能快照空间管理,并选用精简配置磁盘区 (Thin Volume) 以维持 NAS 与快照功能正常运作。
Security Center - QNAP NAS 安全中心
为 NAS 进行安全风险评估,主动分析与监控 NAS 系统状态、异常文件活动与潜在的网络安全威胁,协助您立即采取保护措施;更集成了防病毒与反恶意软件的应用程序,确保 NAS 环境安全无虞。
打开「Security Center」,选择符合需求的安全策略级别,然后点击「立即扫描」。
扫描后,若产生具有安全风险的扫描结果,您可以点击「建议设置助手」来协助您调整设置。
建议将「扫描排程」设置为至少每月一次,以便系统定期检查设置和系统状态。如果通知中心设置正确,当检测到风险时,你就会收到通知,以便尽快处理。
「异常文件活动监控」主动侦测 NAS 不寻常的文件异动量,您可通过图表快速掌握特定时间区间内的文件平均异动量。
QuFirewall - QNAP NAS 专用防火墙
QuFirewall 可根据用户规则,协助阻止并封锁来自跳板与洋葱路由 (Tor) 的可疑封包,同时每天侦测与动态更新恶意封包封锁列表,确保 QNAP 设备安全性。
打开「QuFirewall」进入初始界面。如无特殊的需要,建议选择「基本防护」,然后按「下一步」继续。
根据你的所在地,设置一个地区。这将有助于 NAS 阻止来自未知区域的可疑联机。您也可以后续新增更多地区。
进入 QuFirewall 的管理页面,可以看到「Basic protection」已经启用。点击「Basic protection」,即可展开及查看对应的防火墙规则,规则是依据传入的封包的信息进行检查,并按照防火墙规则允许通过或阻止。
Malware Remover
Malware Remover 可定时扫描您的 NAS 是否受到恶意软件影响,并在侦测到受感染的文件后将其立即清除,并与QNAP 安全中心联机,以第一时间获得病毒定义文件,帮助NAS 降低风险。
打开「Malware Remover」,可以查看到上一次扫瞄的状况,点选左侧的「设置」进入设置界面。
「扫瞄计划」建议设置成每天一次,让「Malware Remover」定期检查系统状况。另 外请确保「Malware Remover」自动更新功能保持打开。
设置警示通知
您可以于 Notification Center 通知中心设置以电子信件、简讯或推播等方式,通知您包括系统安全性或硬盘健康警示等讯息,或是设置「固件更新」通知,让您随时掌握 NAS 系统状态并实时采取行动。以下以「电子邮件」的设置为例。
打开「通知中心」 ,左方选单点选「服务账号与设备配对」,选择「电子邮件」 ,再点选「新增 SMTP 服务」
填入您的电子邮箱账号,并按指示完成邮箱的认证过程。
于「通知中心」左方点击「系统通知规则」,选择「警示通知」,再点选「建立规则」。
根据自己的需要修改「规则名称」,勾选「警告」及「错误」两个严重性层级,然后点击「下一步」后即可完成设置。
